WEEX 唯客博客, 作者: flowie, ChainCatcher 編輯: Marco , ChainCatcher 4月25日下午,io.net 遭遇黑客攻擊,黑客通過 API 直接修改了 io.net 多台機器的名字和在線狀態。 由於發幣在即,io.net 的數據被肆意修改,讓社區充滿恐慌情緒,多個io.net 維權群也快速滿員。 在攻擊事件發生后,io.net 聯合創始人兼 CEO Ahmad Shadid 在X平台發文回應,受影響的是用戶前端元數據,未泄露 GPU 訪問許可權和用戶或設備數據。所有正常運行時間記錄均不受影響,不會影響供應商的計算獎勵。 儘管社區用戶擔心的積分獎勵計算不受影響,但由於僅需要通過API就能修改io.net的前端數據,從技術上來說,攻擊門檻偏低。黑客對於io.net的此次攻擊頗有些傷害性不大但侮辱性極強的意味。這也讓社群用戶對於io.net的安全性產生強烈的不信任感,團隊也被質疑過於草台。 io.net是Solana生態中的AI+DEPIN明星項目,今年3月份獲得HackVC、Multicoin Capital、Animoca Brands、Solana Ventures、Aptos、OKX一大批頂級資本以及知名項目方和交易所的3000萬美元融資。 社區用戶:攻擊漏洞早在一個月前就反饋了 社群用戶COOK在攻擊發生后當晚便向ChainCatcher爆料,曾在3月中旬左右他試跑io.net 官方挖礦腳本便發現了io.net 此次被攻擊的漏洞,即用戶的礦機可以被任何人修改。此外,他也懷疑io.net 還有組網系統等多個方面的安全問題。 COOK稱,其隨後在discord 官方頻道群組中向項目方反饋了漏洞。 COOK表示,當時也不止他一個人發現並在群里討論這個漏洞,但最終他們並沒有得到的反饋。另一社區用戶Box | 826.eth 也向ChainCatcher表示,一個月前也發現了問題。 COOK 等不少社群用戶也吐槽漏洞太明顯,攻擊門檻比較低,「像是外包給大學生團隊的產品」。 Box | 826.eth稱,「有人做了我們之前想做但沒有做的事情」。COOK 也有類似的攻擊想法,但考慮到該攻擊也帶來不了收益,最後並未付諸行動。此外這個明顯的漏洞未發酵,他們猜測也可能是有社區用戶想要利用漏洞來修改自己的積分獎勵。 對於社區用戶爆料的「官方未處理漏洞反饋」,ChainCatcher向io.net 團隊進行了求證。 io.net團隊相關負責人回應稱,他們技術團隊3月份收到社區漏洞反饋后,開始著手了系統升級,但是未和社區用戶同步他們的升級動態。 該負責人表示,團隊3月份便開始與OKTA 和 Cloudflare 進行系統的 API 訪問升級,在上周二已經實現了部分升級,原計劃後半部分的升級等到空投完成後進行。而原因在後半部分更新需要用戶掉線重啟礦機,工作量比較大,團隊認為在io.net上新版本時一起操作會更好。 隨著昨晚突然被攻擊,io.net團隊目前將後半部分的API 訪問升級計劃已提前。io.net 系統預計在一兩天內恢復正常。 而為什麼未能及時回應社區用戶的反饋,io.net團隊相關負責人表示,除了在社區「客服」上有一些力不從心外,最根本的原因是安全防禦是一個貓捉老鼠的遊戲。「提前告訴了項目的安全設定,可能會幫助黑客找到更多的攻擊漏洞」。 此外,關於黑客此次攻擊的動機,io.net團隊相關負責人猜測,因為空投發幣在即,不久前io.net集中清理了大量的虛假GPU,虛擬GPU將不會獲得獎勵,真實GPU也不會因此受到稀釋。 io.net團隊相關負責人透露,io.net 安全團隊此前一直對虛假GPU在做標記,但並沒有選擇立即清理,因為考慮到這些虛假GPU研發了新的抗檢測手段,團隊最終選擇了發幣前集中打擊。這就讓不少虛假GPU竹籃打水一場空,可能選擇了打擊報復。 發幣延期,io.net 路線圖將如何調整? 在發幣前夕,io.net 遭遇攻擊,其路線圖是否有些調整? 根據io.net 此前官方消息,目前IO代幣的TGE推遲到 4 月 28 日之後。 io.net團隊相關負責人進一步透露,預計在5月中旬左右。而推遲原因和此次攻擊事件沒有太大關聯,是交易平台要求延遲。空投獎勵也將延長,在延長時間內進行的活動也將獲得獎勵。 除此外,io.net團隊相關負責人表示,大部分io.net 路線圖應該還是找計劃進行,產品安全上會加大投入。 對於社區用戶而言,比此次攻擊事件讓他們擔心的是io.net 團隊後續的安全問題。io.net 團隊有如此強勢的投資天團和資金押注,社區用戶的預期也更高。此次門檻不算高的攻擊事件讓他們打破了高預期。 對於社區用戶的擔憂,io.net團隊相關負責人表示 io.net 在做的AI+ DEPIN開發是比較新的領域,io.net 也是該領域開發較快的項目。在探索AI+ DEPIN的框架中,很難避免各種bug甚至攻擊。 另一方面,io.net團隊相關負責人提到,io.net 對於測試網的預期原本是幾萬的容量,但目前已經到了幾十萬的量級,io.net 團隊有很多緊急的擴容在做,的確存在一些漏洞疏忽。 此次攻擊事件也會提醒他們強化AI+ DEPIN安全相關的開發。目前io.net整個團隊規模在70-80人,技術人員有50-60人。io.net團隊相關負責人表示,io.net正在和社區里的的一些網路安全團隊接洽,以加大對安全系統的投入。 WEEX唯客交易所官網:weex.com
