La società di sicurezza blockchain CertiK ha recentemente rivelato un grave difetto che mette a serio rischio il sistema Worldcoin. La sicurezza e l'integrità del sistema potrebbero essere state compromesse se la vulnerabilità consentisse agli operatori di Orb un accesso illimitato.
Le informazioni sull'iride degli utenti sono state raccolte come parte delle attività Orb di Worldcoin, richiedendo un rigoroso processo di verifica per garantire che solo aziende affidabili siano responsabili delle operazioni.
L'errore del sistema, tuttavia, ha consentito ai malintenzionati di superare il rigoroso processo di verifica senza soddisfare i requisiti.
Dopo il consueto processo di divulgazione whitehat, CertiK ha rapidamente informato il team di sicurezza di Worldcoin della vulnerabilità.
Patching rapido: affrontare la vulnerabilità
Worldcoin ha fornito una patch per affrontare la vulnerabilità in modo tempestivo come risposta alla minaccia. Gli aggressori non sono stati in grado di sfruttare la vulnerabilità a causa della rapida azione intrapresa.
Sebbene CertiK abbia riconosciuto che il rimedio ha effettivamente ridotto la minaccia, ha scelto di riservare ulteriori informazioni sulla vulnerabilità e la sua mitigazione per un momento successivo.
Questa scelta aveva probabilmente lo scopo di impedire a potenziali aggressori di venire a conoscenza della vulnerabilità prima che la maggior parte degli utenti avesse la possibilità di aggiornare i propri sistemi.
Worldcoin aveva pubblicato rapporti sugli audit di sicurezza condotti da Nethermind e Least Authority solo una settimana prima della scoperta di questa vulnerabilità. Questi audit hanno cercato di trovare difetti nel codice e rafforzare le difese contro le intrusioni.
L'audit di Nethermind ha riscontrato circa 26 problemi che dovevano essere risolti e 24 di questi sono stati rapidamente risolti da Worldcoin durante la fase di verifica. Uno dei restanti due problemi è stato ridotto, mentre l'altro è stato notato.
Sei rimedi sono stati proposti da Least Authority per affrontare le tre sfide, tutte gestite da Worldcoin o pianificate per essere affrontate.
Worldcoin conferma il difetto, nessun attacco nel mondo reale
Worldcoin ha confermato il presunto difetto , ma ha sottolineato che non è stato utilizzato in alcun attacco nel mondo reale. Hanno sottolineato che la vulnerabilità non ha mai consentito l'accesso a Orbs o ai dati e che il processo di revisione manuale per la creazione di account operatore per Orbs non è mai stato eluso.
Il fatto che Worldcoin sia stato in grado di affrontare il problema entro 24 ore dalla sua scoperta ha mostrato quanto fossero dediti a sostenere la sicurezza del protocollo.
Anche dopo che il debutto pubblico di Worldcoin è stato inizialmente un successo, con prezzi dei token favorevoli e alti tassi di iscrizione, il progetto è rimasto controverso a causa delle preoccupazioni che un'azienda avrebbe il controllo completo su enormi quantità di informazioni personali degli utenti.
Nel frattempo, le critiche sui potenziali effetti sulla privacy e sulla sicurezza dei dati sono state avanzate da individui come l'informatore della US National Security Agency Edward Snowden e il co-fondatore di Ethereum Vitalik Buterin.
Le preoccupazioni circa il potenziale del progetto di accumulare enormi quantità di dati personali che potrebbero essere utilizzati per attività illecite hanno legittimamente suscitato preoccupazioni circa le questioni etiche che circondano tali reti di identificazione e finanziarie all'avanguardia.
Immagine in primo piano da Worldcoin