加密货币安全公司CertiK透露,它最近发现了Worldcoin协议中的一个漏洞,该漏洞允许攻击者绕过验证过程成为Orb操作员。
据CertiK称,据报道,这个漏洞可以让任何人绕过验证要求,成为Worldcoin Orb运营商。例如,个人没有义务成为一家合法公司、接受适当的身份验证或通过审查面试。
“在正常情况下,只有通过世界币严格的身份验证程序的合法企业才能运行 Orb 操作,该操作会收集用户的虹膜信息,”CertiK 的线程中写道。
该安全公司表示,它通过 “标准的白帽披露 “程序向世界币报告了这一问题,之后该项目安全团队确认了这一漏洞,并 “迅速发布了修复程序”。
1/ 5月29日,CertiK向WorldCoin的安全团队报告了一个安全漏洞,该漏洞有可能让攻击者绕过验证过程成为 Orb 操作员。
据报道,
CertiK反过来也验证并确认该修复程序减轻了威胁。该安全公司补充说,它将 “在未来某个时间 “公布调查结果的细节以及如何缓解该漏洞。
“5月29日,CertiK的安全团队向Worldcoin报告了一个漏洞,该漏洞可能允许攻击者创建一个不活跃的操作员账户,”Worldcoin发言人告诉TCN。”该漏洞不允许任何人绕过建立操作员账户的人工审核,也不允许通过该漏洞访问Orbs或数据。Worldcoin安全团队在收到CertiK提供的信息后24小时内确认并修复了该问题,并证实该问题未被滥用。”
值得注意的是,就在CertiK披露信息一周后,世界币发布了一份由审计公司Nethermind和Least Authority对世界币协议进行的安全审计报告。
这些审计涵盖了大量领域,包括导致对抗行动和其他攻击的代码漏洞,以及防止恶意攻击和其他利用方法的保护措施。
Nethermind 审计在其安全评估中标出了 26 个项目,其中 24 个在验证阶段后被确定为已修复,1 个已得到缓解,其余 1 个得到确认。
据Worldcoin.
报道,Least Authority在协议中发现了三个问题,并提出了六条建议,所有这些问题要么已经解决,要么已经计划解决。
Concerns around Worldcoin
今年夏天早些时候,Worldcoin 推出了一个加密项目,旨在建立一个以虹膜扫描为中心的新型全球身份和金融网络。
该公司声称,随着人工智能变得越来越有影响力,这些世界身份证将变得至关重要,让人类能够证明自己不是机器人。
要加入这个网络,个人必须使用一种名为 Orb 的设备扫描虹膜。作为奖励,用户可以用该项目原生的 WLD 代币换取虹膜扫描结果。
该项目引发了一些有关数据隐私和安全的担忧。包括著名告密者爱德华-斯诺登(Edward Snowden)和以太坊联合创始人维塔利克-布特林(Vitalik Buterin)在内的批评者认为,Worldcoin 可能会收集过多的个人数据,这些数据有可能被滥用于恶意目的。
还有人担心虹膜的安全性–布特林在最近的博文中指出,Orbs是一种硬件设备,可以在系统中安装后门,允许恶意制造商创建多个虚假的人类身份。
麻省理工科技评论》也指责 Worldcoin 采取了欺骗性的营销手段,收集了比最初披露的更多的个人数据。
针对这些担忧,Worldcoin 声称其致力于保护用户隐私。
该公司的网站称,该项目 “完全符合有关生物识别数据收集和数据传输的所有法律法规,包括欧洲的《通用数据保护条例》(’GDPR’)”。
该公司补充说,”世界比特币基金会及其贡献者Tools for Humanity从未也永远不会出售任何个人数据”。