Koncem května společnost CertiK, blockchainová auditorská firma, objevila vážnou bezpečnostní chybu v kódu Worldcoin, která by umožnila neschválenému uživateli získat přístup a stát se operátorem Orb, čímž by se obešel přísný ověřovací proces.

S touto chybou, dodává CertiK, by vetřelec snadno obešel přísná vstupní kritéria Worldcoinu, aby se stal operátorem Orb.

1/ Dne 29. května nahlásil CertiK bezpečnostnímu týmu#WorldCoinbezpečnostní chybu, která by mohla umožnit útočníkovi stát se operátorem Orb tím, že obejde proces ověření.

— CertiK (@CertiK) 3. srpna 2023

Stát se operátorem Orb je přísné a zahrnuje ověření totožnosti, prověřovací pohovory a splnění specifických požadavků společnosti. Například ověřený operátor Orb musí provozovat licencovanou místní firmu a mít tým, který nalodí lidi, kteří skenují jejich duhovku, do ekosystému Worldcoin. Orb operátoři jsou kompenzováni ve stablecoinech nebo fiat.

Pokud by chyba zůstala bez povšimnutí, jednotlivci, kteří nebyli řádně identifikováni nebo prověřeni, by se mohli stát operátory Orb a získávat citlivé informace o duhovkách od uživatelů.

CertiK řekl, že bezpečnostní tým Worldcoin okamžitě zasáhl, ověřil zranitelnost a implementoval opravu k odstranění hrozby.

28. července zveřejnil Worldcoin komplexní zprávu o bezpečnostním auditu.

Protokol Worldcoin prošel auditem společností zabývajících se kybernetickou bezpečností Nethermind a Least Authority, které odhalily několik nedostatků.

Také by se vám mohlo líbit: Sběr dat Worldcoin prošetřoval francouzský regulátor ochrany osobních údajů

Analyzovali zranitelné oblasti, vyvinuli strategie na ochranu před škodlivými akcemi a útoky a radili zavést obranu proti škodlivým činnostem a zneužívání.

Audit Nethermind například odhalil 26 protokolových problémů, z nichž většina byla úspěšně vyřešena během procesu ověřování. Zbývající byly uznány a řešeny. Na druhou stranu, Nejmenší autorita vybrala tři problémy a navrhla šest řešení.

Worldcoin jednal svědomitě, vyřešil nebo plánoval vyřešit všechny identifikované problémy podle svého závazku udržovat bezpečný systém.

Tento týden Keňa pozastavila veškeré aktivity Worldcoin v zemi. Chtějí prověřit rizika pro veřejnost a to, jak mohou být data použita.

Na druhou stranu Worldcoin uvedl, že zastavil služby v Keni, aby zvládl vysokou poptávku, ale bude spolupracovat s místními úředníky, aby vysvětlili svá opatření na ochranu soukromí.

Navzdory tomu Ricardo Macieira z Tools for Humanity, skupiny stojící za Worldcoinem, řekl, že budou pokračovat v expanzi tam, kde jsou vítáni.

Německo, Francie a Spojené království vyšetřují Worldcoin a zjišťují, zda dodržují jejich datová pravidla.

Přečtěte si více: Worldcoin rozšíří systém ověřování ID na podniky a vlády