Worldcoin divulga relatórios de auditoria mostrando problemas de segurança resolvidos

Protocolo de prova de humanidade A Worldcoin divulgou seus relatórios de auditoria em 28 de julho, à medida que as críticas às suas práticas de coleta de dados continuam aumentando. Os novos relatórios foram conduzidos pelas empresas de consultoria de segurança Nethermind e Least Authority.
De acordo com um anúncio da Worldcoin, a Nethermind encontrou 26 problemas de segurança com o protocolo, dos quais 24 foram “identificados como corrigidos” durante a fase de verificação, enquanto um foi mitigado e outro foi reconhecido.
A autoridade mínima descobriu três problemas e fez seis sugestões, todas as quais “foram resolvidas ou têm resoluções planejadas”, afirmou o anúncio.
Saiba mais sobre os resultados de duas auditorias de segurança separadas do protocolo Worldcoin, realizadas por @NethermindEth e @LeastAuthority.https://t.co/fXa50wNBYE
— Worldcoin (@worldcoin) 28 de julho de 2023
A Worldcoin ganhou destaque pela primeira vez em 2021, quando anunciou que daria tokens grátis a qualquer usuário que verificasse sua humanidade, o que poderia ser feito tendo sua íris escaneada por um dispositivo chamado "Orb". O projeto foi cofundado por Sam Altman, o cofundador do desenvolvedor de IA OpenAI.
Na época, Altman e outros membros da equipe argumentaram que os bots de IA se tornariam um problema crescente na internet se as pessoas não encontrassem uma maneira de verificar sua humanidade sem abrir mão de sua privacidade. De acordo com a documentação do protocolo, o Orb produz um hash da varredura da íris do usuário, mas não mantém uma cópia da varredura da íris.
Relatório de auditoria da Worldcoin da Nethermind. Fonte: Github
A Worldcoin iniciou seu lançamento público em 25 de julho, após quase dois anos de desenvolvimento e testes beta. Mas as críticas a ela surgiram quase imediatamente. O Information Commissioner's Office (ICO) do Reino Unido teria dito que o órgão governamental estava decidindo se investigaria o projeto por violar as leis de proteção de dados do país. A agência francesa de proteção de dados CNIL também questionou a legalidade da Worldcoin.
A comunidade cripto estava dividida sobre o lançamento do projeto, com alguns participantes vendo-o como o início de um futuro distópico onde a privacidade seria eliminada. Em contraste, outros viram-no como um passo necessário para proteger os humanos contra IAs maliciosas.
Os novos relatórios de auditoria abrangem uma ampla variedade de tópicos de segurança, incluindo resistência a ataques DDoS, erros de implementação específicos de caso, armazenamento de chaves e gerenciamento adequado de criptografia e assinatura de chaves, vazamento de dados e integridade de informações, entre outros. Alguns problemas encontrados foram resultado de dependências no Semaphore e no Ethereum, incluindo "suporte de pré-compilação de curva elíptica ou configuração de função hash Poseidon", afirmou o anúncio.
Todos os problemas, exceto um, foram corrigidos, mitigados ou têm correções planejadas. O único problema de segurança que não foi corrigido no momento da verificação tem uma gravidade de "indeterminado" e está listado como "reconhecido".