4 月 28 日,Io.net 的创始人将通过直播演示实时集群形成过程,以消除人们的忧虑、不确定性和恐惧。
最近,名为 Io.net 的去中心化物理基础设施网络 (DePIN) 遭受了网络攻击。在 GPU 网络上,恶意用户能够通过使用暴露的用户 ID 令牌执行 SQL 注入攻击,对设备元数据进行未经授权的更改。
Io.net 的首席安全官 Husky.io 迅速实施修复和安全补丁来巩固系统。由于其强大的权限层,GPU 的实体硬件幸运地没有受到攻击的损害。
太平洋标准时间 4 月 25 日凌晨 1:05,GPU 元资料 API 写入作业的增加触发了警报,在此期间发现了漏洞。
答案是透过加大将 SQL 注入 API 的难度以及更好地记录非法尝试的实例来增强安全性。针对 UAT 问题的另一个快速解决方案是实施基于 Auth0 和 OKTA 的使用者特定身份验证系统。
这次安全升级恰好与奖励计划的快照同时发生,这很糟糕,因为它将使预计的供应方参与度下降更加严重。结果,活动 GPU 连线数从 600,000 个急剧下降到 10,000 个,因为无法重新启动和更新的有效 GPU 无法使用正常运行时间 API。
针对这些困难,我们在 5 月推出了 Ignition Rewards 第二季,以激励供应方参与。升级、重新启动设备以及将设备重新连接到网路是一项持续的操作,需要与供应商进行协调。
检测假 GPU 的工作量证明方法实作中的漏洞导致了这次泄漏。由于事件发生前应用的激进安全修补程式导致攻击策略增加,因此有必要进行持续的安全评估和增强。
攻击者利用允许在输入/输出资源管理器中显示内容的 API 漏洞,在按装置 ID 进行搜寻时意外暴露了使用者 ID。这些被盗资料在事件发生前几周就已经存在资料库中。
犯罪者透过使用合法的通用身份验证令牌获得了对「worker-API」的存取权限,这使他们能够修改装置讯息,而无需在使用者层级进行身份验证。
Husky.io 强调需要对公共端点进行定期、全面的检查和渗透测试,以便及时识别和缓解攻击。虽然遇到了挫折,但重建网路连接和促进供应方参与的工作仍在继续,这将保证平台的完整性并使其每月能够服务数千个运算小时。
今年 3 月,Io.net 打算透过整合 Apple 矽处理器系列的技术来改进其 AI 和 ML 产品。
