Io.net 是一个去中心化物理基础设施网络 (DePIN),最近遭遇了网络安全漏洞。恶意用户利用暴露的用户 ID 令牌执行系统查询语言 (SQL) 注入攻击,从而导致图形处理单元 (GPU) 网络内的设备元数据发生未经授权的更改。
Io.net 首席安全官 Husky.io迅速做出反应,采取补救措施和安全升级来保护网络。幸运的是,这次攻击并未损害 GPU 的实际硬件,由于强大的权限层,该硬件仍保持安全。
该漏洞是在 GPU 元数据应用程序编程接口 (API) 写入操作激增期间检测到的,并于 4 月 25 日太平洋标准时间凌晨 1:05 触发警报。
为此,我们通过对 API 实施 SQL 注入检查并加强对未经授权的尝试的记录来加强安全措施。此外,还迅速部署了使用 Auth0 和 OKTA 的特定于用户的身份验证解决方案,以解决与通用授权令牌相关的漏洞。
不幸的是,此安全更新与奖励计划的快照同时发生,加剧了供应方参与者的预期减少。因此,未重新启动和更新的合法 GPU 无法访问正常运行时间 API,导致活动 GPU 连接数从 600,000 个大幅下降至 10,000 个。
为了应对这些挑战,Ignition Rewards 第二季已于 5 月启动,以鼓励供应方参与。持续的努力包括与供应商合作升级、重启设备并将其重新连接到网络。
此次泄露源于实施工作量证明机制以识别假冒 GPU 时引入的漏洞。事件发生前的积极安全补丁促使攻击方式升级,需要持续的安全审查和改进。
攻击者利用 API 中的漏洞在输入/输出浏览器中显示内容,在按设备 ID 搜索时无意中泄露用户 ID。恶意行为者在泄露事件发生前几周将这些泄露的信息编译到数据库中。
攻击者利用有效的通用身份验证令牌来访问“worker-API”,无需用户级身份验证即可更改设备元数据。
Husky.io 强调对公共端点进行持续的彻底审查和渗透测试,以及早发现和消除威胁。尽管面临挑战,我们仍在努力激励供应方参与并恢复网络连接,确保平台的完整性,同时每月提供数万个计算小时的服务。
Io.net计划在3月份整合苹果硅芯片硬件,以增强其人工智能和机器学习服务。
