事前に公表されたハッカー攻撃、io.netの脆弱性は1ヶ月前にコミュニティによって報告されていた。

作者：flowie， ChainCatcher

編集： Marco ， ChainCatcher

4月25日の午後、io.netがハッキング攻撃を受け、ハッカーは無許可でio.netのメタデータAPIにアクセスできるようになりました。コミュニティのユーザーからのフィードバックによると、io.netの複数のマシンの名前とオンライン状態が変更されました。

発行が迫る中、io.netへの今回の攻撃はコミュニティに一定のパニックを引き起こし、「io.net権利擁護グループ」なるものも現れました。

攻撃事件が発生した後、io.netの共同創設者兼CEOであるAhmad ShadidはXプラットフォームで声明を発表し、影響を受けたのはユーザーのフロントエンドメタデータであり、GPUアクセス権やユーザーまたはデバイスデータは漏洩していないと述べました。すべての正常な稼働時間の記録は影響を受けず、供給者の計算報酬にも影響しないとのことです。

コミュニティのユーザーが懸念しているポイント報酬の計算には影響がないものの、今回の攻撃はio.netに一定の信頼危機をもたらすことになります。

io.netはSolanaエコシステム内のAI+DEPINのスタープロジェクトであり、今年3月にはHackVC、Multicoin Capital、Animoca Brands、Solana Ventures、Aptos、OKXなどのトップ資本や著名なプロジェクトおよび取引所から3000万ドルの資金調達を行いました。

コミュニティユーザー：攻撃の脆弱性は1ヶ月前にフィードバックされていた

コミュニティユーザーのCOOKは、攻撃が発生した当晩にChainCatcherに情報を提供し、3月中旬頃にio.netの公式マイニングスクリプトを試した際に、io.netが今回攻撃を受けた脆弱性を発見したと述べました。つまり、ユーザーのマイニングマシンは誰でも変更可能であるということです。さらに、彼はio.netにネットワークシステムなどの複数のセキュリティ問題があるのではないかと疑っています。

COOKは、その後Discordの公式チャンネルグループでプロジェクト側に脆弱性をフィードバックしたと述べました。

COOKによれば、当時彼だけでなく他の人もこの脆弱性を発見し、グループ内で議論していたが、最終的には彼らはフィードバックを得られなかったとのことです。別のコミュニティユーザーBox | 826.ethもChainCatcherに対し、1ヶ月前に問題を発見したと述べました。

Box | 826.ethは、「誰かが私たちが以前にやりたかったができなかったことをやった」と述べました。COOKも似たような攻撃の考えを持っていましたが、その攻撃が利益をもたらさないことを考慮し、結局行動には移しませんでした。また、この明らかな脆弱性が発酵しなかったのは、コミュニティのユーザーが自分のポイント報酬を変更するために脆弱性を利用しようとしていた可能性があると推測しています。

Box | 826.ethがXプラットフォームで公開した情報によると、彼は超低価格でGPUを代行するio.netサービスを販売しているとのことです。例えば、1日2元で4090グラフィックカードを代行するというもので、その販売価格は4090グラフィックカードの1日の電気代を下回っているため、そのグラフィックカードの真実性には疑問があります。COOKが類似の計算能力や代行サービスを販売したかどうかは、現時点では確認されていません。

io.netはまだ発行を行っていないため、この種の攻撃では脆弱性報奨金を得ることは難しく、ハッカーの攻撃動機は何でしょうか？暗号KOLの@bamboobee5は、最近の虚偽GPUが排除された後の報復行為である可能性があると推測しています。

io.netチームの関連責任者は、io.netのセキュリティチームが以前から虚偽GPUに対してマークを付けていたが、即座に排除することは選択せず、これらの虚偽GPUが新しい検出回避手段を開発したことを考慮し、チームは最終的に発行前に集中して打撃を加えることを選択したと述べました。

今回の虚偽GPUの排除は、多くの虚偽GPUにとって無駄な努力となる可能性があります。

コミュニティユーザーからの「公式が脆弱性フィードバックを処理していない」という情報について、ChainCatcherはio.netチームに確認を行いました。

io.netチームの関連責任者は、彼らの技術チームが3月にコミュニティからの脆弱性フィードバックを受け取った後、システムのアップグレードに着手したが、攻撃防止の観点から、すべてのセキュリティ作業のタイムラインや詳細をコミュニティに開示しなかったと述べました。

その責任者は、チームが3月にOKTAとCloudflareとのシステムAPIアクセスのアップグレードを開始し、先週の火曜日に一部のアップグレードを実現したと述べました。後半部分のアップグレードはエアドロップが完了した後に行う予定でした。「後半部分の更新にはユーザーがGPU Workerマイニングマシンを再起動し、新しいオンラインおよび検証プロセスを実行する必要があり、旧バージョンと互換性がなく、ユーザーの学習と調整のプロセスが複雑であるため、チームはio.netの大規模更新時にユーザーにこの更新を実行するよう求める予定でした。」

昨晩の突然の攻撃を受けて、io.netチームは現在、後半部分のAPIアクセスアップグレード計画を前倒ししています。io.netシステムは1、2日内に正常に戻る見込みです。

発行延期、io.netのロードマップはどのように調整されるのか？

発行前夜にio.netが攻撃を受け、そのロードマップに何らかの調整があるのでしょうか？

io.netの以前の公式情報によれば、現在IOトークンのTGEは4月28日以降に延期されています。

io.netチームの関連責任者はさらに、5月中旬頃を見込んでいると述べました。延期の理由は今回の攻撃事件とはあまり関係がなく、取引プラットフォームの要求によるものです。エアドロップ報酬も延長され、延長期間内に行われる活動も報酬を得ることができます。

さらに、io.netチームの関連責任者は、ほとんどのio.netのロードマップは計画通りに進行するべきであり、製品の安全性に対しては投資を増やすと述べました。

@tonifunggを代表とする一部のコミュニティユーザーにとって、今回の攻撃事件よりも心配なのはio.netチームの今後の安全問題です。io.netチームの背後には非常に強力な投資チームと資金があり、コミュニティユーザーはio.netの安全性に対する期待も高いです。

コミュニティユーザーの懸念に対し、io.netチームの関連責任者は、io.netが行っているAI+DEPINの開発は比較的新しい分野であり、io.netもこの分野で比較的早く開発が進んでいるプロジェクトであると述べました。AI+DEPINのフレームワークを探求する中で、さまざまなバグや攻撃を避けることは難しいです。

一方で、io.netチームの関連責任者は、io.netのテストネットの予想容量は数万だったが、現在は数十万の規模に達しており、io.netチームは多くの緊急の拡張作業を行っていると述べました。急速に発展する中で露呈する可能性のある問題や欠陥について、彼らは積極的に対処していくとしています。

今回の攻撃事件は、AI+DEPINの安全関連の開発を強化するように彼らに警告を与えることになるでしょう。現在、io.net全体のチーム規模は70-80人で、技術者は50-60人います。io.netチームの関連責任者は、io.netがコミュニティ内のいくつかのネットワークセキュリティチームと接触しており、安全システムへの投資を増やしていると述べました。