根据 Cointelegraph 报道,去中心化物理基础设施网络(DePIN)io.net最近遭遇网络安全漏洞。恶意用户利用暴露的用户 ID 令牌执行了一次系统查询语言(SQL)注入攻击,导致图形处理单元(GPU)网络中的设备元数据发生未经授权的更改。
io.net 的首席安全官 Husky.io 立即采取了补救措施和安全升级来保护网络。幸运的是,该攻击没有损害 GPU 的实际硬件,它仍然得益于强大的权限层而保持安全。
该漏洞是在4月25日太平洋标准时间凌晨1:05发生的 GPU 元数据应用程序接口(API)大量写入操作期间被检测到的。
为此,通过在 API 上实施 SQL 注入检查和增强未经授权尝试的日志记录来加强了安全措施。此外,还迅速部署了使用Auth0和 OKTA 的用户特定身份验证解决方案,以解决通用授权令牌相关的漏洞。
不幸的是,这一安全更新恰逢奖励计划的快照时间,加剧了预期的供给侧参与者减少。因此,未重启和更新的合法 GPU 无法访问正常运行时间 API,导致活跃 GPU 连接从60万减少到1万。
为了应对这些挑战,5月启动了第二季 Ignition Rewards 计划来鼓励供给侧参与。正在进行的工作包括与供应商合作,升级、重启并重新连接设备到网络。
这一漏洞源于在实施一种用于识别假冒 GPU 的工作证明机制时引入的漏洞。在事故发生前的积极安全修补促使了攻击方法的升级,需要进行持续的安全审查和改进。
攻击者利用 API 中的漏洞来显示输入/输出浏览器中的内容,无意中泄露了搜索设备 ID 时的用户ID。恶意行为者在漏洞发生前几周就将这些泄露的信息编译成了一个数据库。
攻击者利用一个有效的通用认证令牌访问了"worker-API",从而能够在不需要用户级身份验证的情况下更改设备元数据。
Husky.io 强调将继续对公共端点进行彻底审查和渗透测试,以及早发现和中和威胁。尽管面临挑战,但正在努力激励供给方参与并恢复网络连接,确保在为每月数万个计算小时提供服务的同时保持平台的完整性。
AI
Web3
