Фірма безпеки блокчейну CertiK виявив уразливість у Worldcoin протокол, який дозволяв неавторизований доступ для оператора Orb.
У нещодавній темі Twitter CertiK пояснив, що вразливість дозволяла будь-кому обійти вимоги перевірки, щоб стати оператором Orb, не відповідаючи необхідним критеріям, таким як бути легітимною компанією або проходити перевірочну співбесіду.
«Через цю вразливість безпеки зловмисник міг обійти перевірку та суворі критерії участі в процесі прийняття Worldcoin Operator», — написала компанія.
Звичайний процес дозволяє лише законним компаніям, які проходять сувору перевірку ідентифікації, запускати операцію Orb, яка збирає інформацію про райдужну оболонку очей користувачів.
У CertiK заявили, що повідомили про проблему Worldcoin через процедуру розкриття інформації, і команда безпеки проекту швидко усунула вразливість, виправивши її.
«З тих пір CertiK перевірив і підтвердив, що виправлення пом’якшило загрозу», – написала компанія.
Примітно, що CertiK оприлюднив інформацію лише через тиждень після того, як Worldcoin опублікував звіт про перевірки безпеки, проведені Nethermind і Least Authority.
Перевірки охоплювали різні сфери, включаючи вразливості в коді, які могли призвести до змагальних дій та інших атак, а також захист від зловмисних атак і методів експлуатації.
Аудит Nethermind виявив 26 елементів під час оцінки безпеки, з яких 24 було виправлено після етапу перевірки, один було пом’якшено, а один було підтверджено.
З іншого боку, Least Authority виявив три проблеми в протоколі та надав шість пропозицій, усі з яких або були вирішені, або мають планові рішення, згідно з Worldcoin.
Worldcoin стикається з новими проблемами через призупинення в Кенії
Минулого тижня Міністерство внутрішніх справ Кенії видав указ призупинення реєстрації Worldcoin через занепокоєння щодо автентичності, законності, безпеки, фінансових послуг і захисту даних.
В офіційному повідомленні міністерство повідомило, що відповідні відомства почали розслідування проекту.
«Відповідні служби безпеки, фінансові служби та агентства із захисту даних розпочали розслідування, щоб встановити достовірність і законність вищезазначеної діяльності», — заявив тоді міністр внутрішніх справ Кітуре Кіндікі.
Worldcoin, співзасновником якого є генеральний директор OpenAI Сем Альтман і оцінюється в понад 2 мільярди доларів, має на меті створити мережу «доказу особистості» реєстрація перевірених людей за допомогою сканування очного яблука.
Проект вже отримав помітну критику з моменту свого дебюту.
Оскільки Worldcoin сканує райдужку та очі людей, щоб забезпечити справедливий розподіл криптовалюти, деякі висловлюють занепокоєння конфіденційністю та безпекою.
Збір біометричних даних також викликав питання про те, як ця конфіденційна інформація буде зберігатися, захищатися та потенційно використовуватися.
Крім того, деякі поставили під сумнів методи отримання згоди Worldcoin.
2022 рік розслідування MIT Review встановлено, що Worldcoin використовував оманливі маркетингові методи, збирав більше персональних даних, ніж розкривав, і не зміг отримати значущу інформовану згоду.
Буквально нещодавно це стало відомо європейський регулятори, в т.ч Французька національна комісія з інформатики та свободи (CNIL) і Баварська державна влада в Німеччині, співпрацюють з розслідуванням проекту.