Firma CertiK, zajmująca się bezpieczeństwem kryptowalut, ujawniła, że niedawno odkryła lukę w protokole Worldcoin, która pozwoliła atakującemu ominąć proces weryfikacji, aby zostać operatorem Orb.
Według CertiK, luka ta podobno umożliwiłaby każdemu obejście wymagań weryfikacyjnych, aby zostać operatorem Worldcoin Orb. Osoba fizyczna nie byłaby na przykład zobowiązana do bycia legalną firmą, poddania się odpowiedniej weryfikacji tożsamości lub przejścia rozmowy weryfikacyjnej.
„W normalnym przypadku tylko legalne firmy, które przejdą rygorystyczny proces weryfikacji tożsamości Worldcoin, mogą uruchomić operację Orb, która zbiera informacje o tęczówce użytkownika” – czytamy w wątku CertiK.
Firma zajmująca się bezpieczeństwem stwierdziła, że zgłosiła problem do Worldcoin za pomocą „standardowej procedury ujawniania whitehat”, po czym zespół ds. bezpieczeństwa projektu potwierdził lukę i „niezwłocznie wydał poprawkę”.
1/ 29 maja firma CertiK zgłosiła zespołowi ds. bezpieczeństwa WorldCoin lukę w zabezpieczeniach, która potencjalnie może pozwolić atakującemu na zostanie operatorem Orb poprzez ominięcie procesu weryfikacji.
– CertiK (@CertiK) August 3, 2023
Z kolei
CertiK podobno zweryfikował i potwierdził, że poprawka złagodziła zagrożenie. Firma zajmująca się bezpieczeństwem dodała, że „w pewnym momencie w przyszłości” upubliczni szczegóły dotyczące znaleziska i sposobu, w jaki luka została złagodzona.
„29 maja zespół ds. bezpieczeństwa CertiK zgłosił Worldcoinowi błąd, który mógł umożliwić atakującemu utworzenie nieaktywnego konta operatora” – powiedział TCN rzecznik Worldcoina. „Błąd nie pozwalał nikomu na ominięcie ręcznej weryfikacji przy zakładaniu konta operatora i w żadnym momencie nie umożliwiał dostępu do Orbs ani danych. Zespół bezpieczeństwa Worldcoin potwierdził i naprawił błąd w ciągu 24 godzin od otrzymania informacji od CertiK i zweryfikował, że nie był on nadużywany”.
Warto zauważyć, że rewelacje CertiK pojawiły się zaledwie tydzień po tym, jak Worldcoin opublikował raport z audytów bezpieczeństwa protokołu Worldcoin przeprowadzonych przez firmy audytorskie Nethermind i Least Authority.
Audyty te obejmowały wiele obszarów, w tym luki w kodzie prowadzące do wrogich działań i innych ataków, a także ochronę przed złośliwymi atakami i innymi metodami wykorzystania.
Audyt przeprowadzony przez Nethermind wykazał 26 błędów podczas oceny bezpieczeństwa, z czego 24 zostały zidentyfikowane jako naprawione po etapie weryfikacji, podczas gdy jeden został złagodzony, a pozostały został uznany.
Least Authority zidentyfikował trzy problemy w protokole i zaproponował sześć sugestii, z których wszystkie zostały rozwiązane lub mają zaplanowane rozwiązania, zgodnie z Worldcoin.
Obawy wokół Worldcoin
Rozpoczęty latem tego roku Worldcoin to projekt kryptowalutowy mający na celu ustanowienie nowatorskiej globalnej sieci tożsamości i finansów opartej na skanach tęczówki oka.
Firma twierdzi, że te światowe identyfikatory będą miały kluczowe znaczenie, ponieważ sztuczna inteligencja staje się coraz bardziej wpływowa, pozwalając ludziom udowodnić, że nie są robotami.
Aby uczestniczyć w tej sieci, osoby muszą zeskanować swoje tęczówki za pomocą urządzenia znanego jako Orb. W ramach zachęty użytkownicy są nagradzani natywnym tokenem WLD projektu w zamian za skan tęczówki.
Projekt wywołał szereg obaw dotyczących prywatności i bezpieczeństwa danych. Krytycy, w tym słynny demaskator Edward Snowden i współzałożyciel Ethereum Vitalik Buterin, twierdzą, że Worldcoin może gromadzić nadmierną ilość danych osobowych, które mogą być potencjalnie wykorzystywane do złośliwych celów.
Istnieją również obawy dotyczące bezpieczeństwa tęczówki – jak wskazał Buterin w swoim ostatnim wpisie na blogu, Orbs to urządzenia sprzętowe, w których można zainstalować backdoory, umożliwiając złośliwym producentom tworzenie wielu fałszywych ludzkich tożsamości.
MIT Technology Review oskarżył również Worldcoin o angażowanie się w zwodnicze praktyki marketingowe i gromadzenie większej ilości danych osobowych niż początkowo ujawniono.
W odpowiedzi na te obawy Worldcoin zapewnił o swoim zaangażowaniu w ochronę prywatności użytkowników.
Na stronie internetowej firmy czytamy, że projekt „jest w pełni zgodny ze wszystkimi przepisami i regulacjami dotyczącymi gromadzenia i przesyłania danych biometrycznych, w tym z europejskim ogólnym rozporządzeniem o ochronie danych („RODO”)”.
Firma dodała, że „Fundacja Worldcoin i jej współpracownik Tools for Humanity nigdy nie sprzedawali i nigdy nie będą sprzedawać żadnych danych osobowych.”
