Io.net 是一個(gè)去中心化物理基礎(chǔ)設(shè)施網(wǎng)絡(luò) (DePIN),最近遭遇了網(wǎng)絡(luò)安全漏洞。惡意用戶利用暴露的用戶 ID 令牌執(zhí)行系統(tǒng)查詢語(yǔ)言 (SQL) 注入攻擊,從而導(dǎo)致圖形處理單元 (GPU) 網(wǎng)絡(luò)內(nèi)的設(shè)備元數(shù)據(jù)發(fā)生未經(jīng)授權(quán)的更改。
Io.net 首席安全官 Husky.io迅速做出反應(yīng),采取補(bǔ)救措施和安全升級(jí)來(lái)保護(hù)網(wǎng)絡(luò)。幸運(yùn)的是,這次攻擊并未損害 GPU 的實(shí)際硬件,由于強(qiáng)大的權(quán)限層,該硬件仍保持安全。
該漏洞是在 GPU 元數(shù)據(jù)應(yīng)用程序編程接口 (API) 寫入操作激增期間檢測(cè)到的,并于 4 月 25 日太平洋標(biāo)準(zhǔn)時(shí)間凌晨 1:05 觸發(fā)警報(bào)。
為此,我們通過(guò)對(duì) API 實(shí)施 SQL 注入檢查并加強(qiáng)對(duì)未經(jīng)授權(quán)的嘗試的記錄來(lái)加強(qiáng)安全措施。此外,還迅速部署了使用 Auth0 和 OKTA 的特定于用戶的身份驗(yàn)證解決方案,以解決與通用授權(quán)令牌相關(guān)的漏洞。
不幸的是,此安全更新與獎(jiǎng)勵(lì)計(jì)劃的快照同時(shí)發(fā)生,加劇了供應(yīng)方參與者的預(yù)期減少。因此,未重新啟動(dòng)和更新的合法 GPU 無(wú)法訪問(wèn)正常運(yùn)行時(shí)間 API,導(dǎo)致活動(dòng) GPU 連接數(shù)從 600,000 個(gè)大幅下降至 10,000 個(gè)。
為了應(yīng)對(duì)這些挑戰(zhàn),Ignition Rewards 第二季已于 5 月啟動(dòng),以鼓勵(lì)供應(yīng)方參與。持續(xù)的努力包括與供應(yīng)商合作升級(jí)、重啟設(shè)備并將其重新連接到網(wǎng)絡(luò)。
此次泄露源于實(shí)施工作量證明機(jī)制以識(shí)別假冒 GPU 時(shí)引入的漏洞。事件發(fā)生前的積極安全補(bǔ)丁促使攻擊方式升級(jí),需要持續(xù)的安全審查和改進(jìn)。
攻擊者利用 API 中的漏洞在輸入/輸出瀏覽器中顯示內(nèi)容,在按設(shè)備 ID 搜索時(shí)無(wú)意中泄露用戶 ID。惡意行為者在泄露事件發(fā)生前幾周將這些泄露的信息編譯到數(shù)據(jù)庫(kù)中。
攻擊者利用有效的通用身份驗(yàn)證令牌來(lái)訪問(wèn)“worker-API”,無(wú)需用戶級(jí)身份驗(yàn)證即可更改設(shè)備元數(shù)據(jù)。
Husky.io 強(qiáng)調(diào)對(duì)公共端點(diǎn)進(jìn)行持續(xù)的徹底審查和滲透測(cè)試,以及早發(fā)現(xiàn)和消除威脅。盡管面臨挑戰(zhàn),我們?nèi)栽谂?lì)供應(yīng)方參與并恢復(fù)網(wǎng)絡(luò)連接,確保平臺(tái)的完整性,同時(shí)每月提供數(shù)萬(wàn)個(gè)計(jì)算小時(shí)的服務(wù)。
Io.net計(jì)劃在3月份整合蘋果硅芯片硬件,以增強(qiáng)其人工智能和機(jī)器學(xué)習(xí)服務(wù)。