Io.net 響應 GPU 元數(shù)據(jù)攻擊

Io.net 是一個去中心化物理基礎設施網(wǎng)絡 (DePIN)，最近遭遇了網(wǎng)絡安全漏洞。惡意用戶利用暴露的用戶 ID 令牌執(zhí)行系統(tǒng)查詢語言 (SQL) 注入攻擊，從而導致圖形處理單元 (GPU) 網(wǎng)絡內的設備元數(shù)據(jù)發(fā)生未經(jīng)授權的更改。

Io.net 首席安全官 Husky.io迅速做出反應，采取補救措施和安全升級來保護網(wǎng)絡。幸運的是，這次攻擊并未損害 GPU 的實際硬件，由于強大的權限層，該硬件仍保持安全。

該漏洞是在 GPU 元數(shù)據(jù)應用程序編程接口 (API) 寫入操作激增期間檢測到的，并于 4 月 25 日太平洋標準時間凌晨 1:05 觸發(fā)警報。

為此，我們通過對 API 實施 SQL 注入檢查并加強對未經(jīng)授權的嘗試的記錄來加強安全措施。此外，還迅速部署了使用 Auth0 和 OKTA 的特定于用戶的身份驗證解決方案，以解決與通用授權令牌相關的漏洞。

不幸的是，此安全更新與獎勵計劃的快照同時發(fā)生，加劇了供應方參與者的預期減少。因此，未重新啟動和更新的合法 GPU 無法訪問正常運行時間 API，導致活動 GPU 連接數(shù)從 600,000 個大幅下降至 10,000 個。

為了應對這些挑戰(zhàn)，Ignition Rewards 第二季已于 5 月啟動，以鼓勵供應方參與。持續(xù)的努力包括與供應商合作升級、重啟設備并將其重新連接到網(wǎng)絡。

此次泄露源于實施工作量證明機制以識別假冒 GPU 時引入的漏洞。事件發(fā)生前的積極安全補丁促使攻擊方式升級，需要持續(xù)的安全審查和改進。

攻擊者利用 API 中的漏洞在輸入/輸出瀏覽器中顯示內容，在按設備 ID 搜索時無意中泄露用戶 ID。惡意行為者在泄露事件發(fā)生前幾周將這些泄露的信息編譯到數(shù)據(jù)庫中。

攻擊者利用有效的通用身份驗證令牌來訪問“worker-API”，無需用戶級身份驗證即可更改設備元數(shù)據(jù)。

Husky.io 強調對公共端點進行持續(xù)的徹底審查和滲透測試，以及早發(fā)現(xiàn)和消除威脅。盡管面臨挑戰(zhàn)，我們仍在努力激勵供應方參與并恢復網(wǎng)絡連接，確保平臺的完整性，同時每月提供數(shù)萬個計算小時的服務。

Io.net計劃在3月份整合蘋果硅芯片硬件，以增強其人工智能和機器學習服務。