一场事先张扬的黑客袭击，io.net 漏洞 1 个月前已被社区上报

作者： flowie， ChainCatcher

编辑： Marco ， ChainCatcher

4月25日下午，io.net 遭遇黑客攻击，黑客可以未经授权访问 io.net 元数据 API 。社群用户反馈， io.net 多台机器的名字和在线状态被修改。

由于发币在即，io.net 的此次攻击，让社区出现了一定的恐慌情绪，也冒出一些“io.net 维权群”。

在攻击事件发生后，io.net 联合创始人兼 CEO Ahmad Shadid 在X平台发文回应，受影响的是用户前端元数据，未泄露 GPU 访问权限和用户或设备数据。所有正常运行时间记录均不受影响，不会影响供应商的计算奖励。

尽管社区用户担心的积分奖励计算不受影响，但此次攻击也会让io.net面临一定程度的信任危机。

io.net是Solana生态中的AI+DEPIN明星项目，今年3月份获得HackVC、Multicoin Capital、Animoca Brands、Solana Ventures、Aptos、OKX一大批顶级资本以及知名项目方和交易所的3000万美元融资。

社区用户：攻击漏洞早在一个月前就反馈了

社群用户COOK在攻击发生后当晚便向ChainCatcher爆料，曾在3月中旬左右他试跑io.net 官方挖矿脚本便发现了io.net 此次被攻击的漏洞，即用户的矿机可以被任何人修改。此外，他也怀疑io.net 还有组网系统等多个方面的安全问题。

COOK称，其随后在discord官方频道群组中向项目方反馈了漏洞。

COOK表示，当时也不止他一个人发现并在群里讨论这个漏洞，但最终他们并没有得到的反馈。另一社区用户Box | 826.eth 也向ChainCatcher表示，一个月前也发现了问题。

Box | 826.eth称，“有人做了我们之前想做但没有做的事情”。COOK 也有类似的攻击想法，但考虑到该攻击也带来不了收益，最后并未付诸行动。此外这个明显的漏洞未发酵，他们猜测也可能是有社区用户想要利用漏洞来修改自己的积分奖励。

从Box | 826.eth X 平台发布的信息来看，其有公开出售超低价GPU代跑io.net服务，比如出售2元一天的4090显卡代跑，由于该出售价格低于4090显卡一天消耗的电费，其显卡真实性存疑。而COOK是否曾经出售过类似的算力或代跑服务暂时未得到证实。

由于io.net暂未发币，这类攻击一般也难得到漏洞赏金，黑客攻击动机是什么？有加密kol@bamboobee5 猜测，可能是前段时间虚假GPU被清理后的报复行为。

io.net团队相关负责人透露，io.net 安全团队此前一直对虚假GPU在做标记，但并没有选择立即清理，因为考虑到这些虚假GPU研发了新的抗检测手段，团队最终选择了发币前集中打击。

而这次虚假GPU的清理，可能就让不少虚假GPU竹篮打水一场空。

而对于社区用户爆料的“官方未处理漏洞反馈”，ChainCatcher也向io.net 团队进行了求证。

io.net团队相关负责人回应称，他们技术团队3月份收到社区漏洞反馈后，开始着手了系统升级，但是出于防攻击考虑，没有向社区披露所有安全工作的时间表和细节。

该负责人表示，团队3月份便开始与OKTA 和 Cloudflare 进行系统的 API 访问升级，在上周二已经实现了部分升级，原计划后半部分的升级等到空投完成后进行。“而原因在后半部分更新需要用户重启GPU Worker矿机并执行新的上线和验证流程，不再兼容旧版本，涉及较复杂的用户学习和磨合的过程，故团队原计划在io.net更新大版本时要求用户执行此更新。”

随着昨晚突然被攻击，io.net团队目前将后半部分的API 访问升级计划已提前。io.net 系统预计在一两天内恢复正常。

发币延期，io.net 路线图将如何调整？

在发币前夕，io.net 遭遇攻击，其路线图是否有些调整？

根据io.net 此前官方消息，目前IO代币的TGE推迟到 4 月 28 日之后。

io.net团队相关负责人进一步透露，预计在5月中旬左右。而推迟原因和此次攻击事件没有太大关联，是交易平台要求延迟。空投奖励也将延长，在延长时间内进行的活动也将获得奖励。

除此外，io.net团队相关负责人表示，大部分io.net 路线图应该还是照计划进行，产品安全上会加大投入。

对于@tonifungg为代表的部分社区用户而言，比此次攻击事件让他们担心的是io.net 团队后续的安全问题。io.net 团队背后有如此强势的投资团队和资金押注，社区用户对io.net安全性预期也较高。

对于社区用户的担忧，io.net团队相关负责人表示 io.net 在做的AI+ DEPIN开发是比较新的领域，io.net 也是该领域开发较快的项目。在探索AI+ DEPIN的框架中，很难避免各种bug甚至攻击。

另一方面，io.net团队相关负责人提到，io.net 对于测试网的预期原本是几万的容量，但目前已经到了几十万的量级，io.net 团队有很多紧急的扩容在做，对于快速发展中可能暴露出来的问题和缺陷，他们会积极处理。

此次攻击事件也会提醒他们强化AI+ DEPIN安全相关的开发。目前io.net整个团队规模在70-80人，技术人员有50-60人。io.net团队相关负责人表示，io.net正在和社区里的的一些网络安全团队接洽，以加大对安全系统的投入。