Io.net, rangkaian infrastruktur fizikal terdesentralisasi (DePIN), baru-baru ini mengalami pelanggaran keselamatan siber. Pengguna yang jahat mengeksploitasi token ID pengguna yang terdedah untuk melaksanakan serangan penyisipan bahasa pertanyaan sistem (SQL), yang mengakibatkan perubahan yang tidak dibenarkan dalam metadata peranti dalam rangkaian unit pemprosesan grafik (GPU).
Husky.io, pegawai keselamatan utama Io.net, menjawab dengan segera dengan tindakan pemulihan dan peningkatan keselamatan untuk melindungi rangkaian tersebut. Untungnya, serangan tersebut tidak mengkompromikan perkakas GPU yang sebenar, yang tetap selamat kerana lapisan kebenaran yang kukuh.
Pelanggaran ini dikesan semasa peningkatan operasi penulisan ke antara muka aplikasi metadata GPU (API), memicu amaran pada jam 1:05 pagi Waktu Piawai Pasifik pada 25 April.
Sebagai tindak balas, langkah-langkah keselamatan diperkuatkan dengan melaksanakan pemeriksaan penyisipan SQL pada API dan meningkatkan pencatatan percubaan yang tidak dibenarkan. Selain itu, penyelesaian pengesahan yang khusus untuk pengguna menggunakan Auth0 dengan OKTA dengan cepat dikerahkan untuk menangani kerentanan yang berkaitan dengan token kebenaran universal.
Malangnya, kemas kini keselamatan ini bertepatan dengan satu-satu program ganjaran, memburukkan penurunan peserta sisi bekalan yang dijangka. Oleh itu, GPU yang sah yang tidak memulakan semula dan mengemaskini tidak dapat mengakses API masa operasi, menyebabkan penurunan yang ketara dalam sambungan GPU aktif dari 600,000 kepada 10,000.
Untuk menangani cabaran ini, Ignition Rewards Musim 2 telah dimulakan pada Mei untuk menggalakkan penyertaan sisi bekalan. Usaha berterusan termasuklah berkerjasama dengan pembekal untuk mengemaskini, memulakan semula, dan menyambung semula peranti ke rangkaian.
Pelanggaran ini bermula daripada kerentanan yang diperkenalkan semasa melaksanakan mekanisme bukti kerja untuk mengenal pasti GPU palsu. Pembaikan keselamatan yang agresif sebelum kejadian ini menyebabkan peningkatan dalam kaedah serangan, memerlukan penilaian dan peningkatan keselamatan yang berterusan.
Berkaitan: AI menghadapi krisis perkakasan: Inilah bagaimana awan terdesentralisasi dapat memperbaikinya
Pelaku serangan mengeksploitasi kerentanan dalam API untuk memaparkan kandungan dalam peneroka input/output, secara tidak sengaja mendedahkan ID pengguna ketika mencari mengikut ID peranti. Pelaku jahat mengumpulkan maklumat yang bocor ini ke dalam pangkalan data beberapa minggu sebelum pelanggaran.
Pelaku serangan menggunakan token pengesahan universal yang sah untuk mengakses "worker-API," membolehkan perubahan metadata peranti tanpa memerlukan pengesahan peringkat pengguna.
Husky.io menekankan penilaian menyeluruh dan ujian tembusan berterusan pada titik akhir awam untuk mengesan dan menetralisir ancaman awal. Walaupun menghadapi cabaran, usaha sedang dilakukan untuk memberi insentif kepada penyertaan sisi bekalan dan memulihkan sambungan rangkaian, memastikan integriti platform sambil melayani puluhan ribu jam pengiraan setiap bulan.
Io.net merancang untuk mengintegrasikan perkakasan cip Apple silicon pada bulan Mac untuk meningkatkan perkhidmatan kecerdasan buatan dan pembelajaran mesin.
Majalah: Contoh penggunaan AI sebenar dalam kripto: Pasaran AI berdasarkan kripto, dan analisis kewangan AI
