去中心化物理基礎設施網絡 (DePIN) Io.net 最近遭遇了網絡安全漏洞。惡意用戶利用暴露的用戶 ID 令牌執行系統查詢語言 (SQL) 注入攻擊,導致圖形處理單元 (GPU) 網絡內的設備元數據發生未經授權的更改。
Io.net 的首席安全官 Husky.io 迅速採取行動,採取補救措施並升級安全措施以保護網絡。幸運的是,此次攻擊並未危及 GPU 的實際硬件,由於強大的權限層,其硬件仍然安全。
該漏洞是在 GPU 元資料 API 寫入操作激增期間檢測到的,並於 4 月 25 日太平洋標準時間凌晨 1:05 觸發警報。
為此,透過對應用程式介面 (API) 實施 SQL 注入檢查並加強對未經授權的嘗試的記錄來加強安全措施。此外,還迅速部署了使用 Auth0 和 OKTA 的特定用戶的身份驗證解決方案,以解決與通用授權令牌相關的漏洞。
來源:Hushky.io
不幸的是,此安全更新與獎勵計劃的快照同時發生,加劇了供應方參與者的預期減少。因此,未重新啟動和更新的合法 GPU 無法存取正常運行時間 API,導致活動 GPU 連線數從 600,000 個大幅下降至 10,000 個。
為了應對這些挑戰,Ignition Rewards 第二季已於 5 月啟動,以鼓勵供應方參與。持續的努力包括與供應商合作升級、重新啟動設備並將其重新連接到網路。
此次外洩源自於實施工作證明 (PoW) 機制以識別假 GPU 時引入的漏洞。事件發生前的積極安全修補程式促使攻擊方式升級,需要持續的安全審查和改進。
相關:人工智慧面臨硬體危機:去中心化雲端如何解決這個問題
攻擊者利用 API 中的漏洞在輸入/輸出瀏覽器中顯示內容,在按裝置 ID 搜尋時無意中洩漏使用者 ID。惡意行為者在洩漏事件發生前幾週將這些洩漏的資訊編譯到資料庫中。
攻擊者利用有效的通用身份驗證令牌來存取“worker-API”,無需用戶級身份驗證即可更改裝置元資料。
Husky.io 強調對公共端點進行持續的徹底審查和滲透測試,以及早發現和消除威脅。儘管面臨挑戰,我們仍在努力激勵供應方參與並恢復網路連接,確保平台的完整性,同時每月提供數萬個運算小時的服務。
Io.net計劃於3月份整合蘋果矽晶片硬件,以增強其人工智慧(AI)和機器學習(ML)服務。
雜誌:加密領域的真實人工智慧用例:基於加密的人工智慧市場和人工智慧財務分析
