criptopasion.com
La firma de criptoseguridad CertiK reveló que recientemente descubrió una vulnerabilidad en el protocolo Worldcoin que permitía a un atacante eludir el proceso de verificación para convertirse en un operador de Orb. Según CertiK, esta vulnerabilidad habría permitido a cualquiera eludir los requisitos de verificación para convertirse en un operador de Worldcoin Orb. El individuo no estaría obligado, por ejemplo, a ser una empresa legítima, someterse a una verificación de identidad adecuada o pasar una entrevista de investigación. “En un caso normal, solo las empresas legítimas que pasan el estricto proceso de verificación de identificación de Worldcoin pueden ejecutar una operación Orb. , que recopila la información del iris del usuario”, dice CertiK’s hiloLa firma de seguridad declaró que informó el problema a Worldcoin a través de un procedimiento de «divulgación whitehat estándar», después de lo cual el equipo de seguridad del proyecto confirmó la vulnerabilidad y «emitió una solución de inmediato».
1/ El 29 de mayo, CertiK reportó una vulnerabilidad de seguridad a #WorldCoinEl equipo de seguridad de que potencialmente podría permitir que un atacante se convierta en un operador de Orb al pasar por alto el proceso de verificación. — CertiK (@CertiK) 3 de agosto de 2023
CertiK, a su vez, supuestamente verificó y confirmó que la solución mitigó la amenaza. La compañía de seguridad agregó que hará públicos los detalles del hallazgo y cómo se mitigó la vulnerabilidad «en algún momento en el futuro». Vale la pena señalar que la revelación de CertiK solo una semana después de que Worldcoin publicara un informe sobre auditorías de seguridad del protocolo Worldcoin realizadas por firmas de auditoría Nethermind y Least Authority. Estas auditorías cubrieron una gran cantidad de áreas, incluidas las vulnerabilidades en el código que conducen a acciones adversarias y otros ataques, así como la protección contra ataques maliciosos y otros métodos de explotación. La auditoría de Nethermind marcó 26 elementos durante su evaluación de seguridad, de los cuales 24 fueron identificados como solucionados después de la etapa de verificación, mientras que uno fue mitigado y el restante fue reconocido. La Autoridad Menor identificó tres problemas en el protocolo y ofreció seis sugerencias, todas las cuales han sido resueltas o tienen resoluciones planificadas , según Worldcoin.CertiK y Worldcoin no respondieron de inmediato a las solicitudes de comentarios de Decrypt.
Preocupaciones en torno a Worldcoin
Lanzado a principios de este verano, Worldcoin es un proyecto criptográfico destinado a establecer una identidad global novedosa y una red financiera centrada en los escaneos de iris. La compañía afirma que estas identificaciones mundiales serán cruciales a medida que la inteligencia artificial se vuelve más influyente, permitiendo a los humanos demostrar que no lo son robots. Para participar en esta red, se requiere que las personas se escaneen el iris con un dispositivo conocido como Orb. Como incentivo, los usuarios son recompensados con el token WLD nativo del proyecto a cambio de su escaneo de iris. El proyecto ha generado varias preocupaciones con respecto a la privacidad y seguridad de los datos. Los críticos, incluido el famoso denunciante Edward Snowden y el cofundador de Ethereum, Vitalik Buterin, argumentan que Worldcoin podría estar recopilando una cantidad excesiva de datos personales, que podrían usarse indebidamente con fines maliciosos. También hay temores sobre la seguridad del iris, ya que Buterin señaló en su reciente publicación de blog, los orbes son dispositivos de hardware en los que se pueden instalar puertas traseras en el sistema, lo que permite a los fabricantes malintencionados crear múltiples identidades humanas falsas. MIT Technology Review también acusó a Worldcoin de participar en prácticas de marketing engañosas y reunir una mayor cantidad de datos personales que los revelados inicialmente. En respuesta a estas preocupaciones, Worldcoin ha afirmado su compromiso de salvaguardar la privacidad del usuario. El sitio web de la compañía afirma que el proyecto “cumple totalmente con todas las leyes y regulaciones que rigen la recopilación y transferencia de datos biométricos, incluida la Protección general de datos de Europa. Regulación (‘GDPR’)». La firma agregó que «la Fundación Worldcoin y su colaborador Tools for Humanity nunca han vendido ni venderán ningún dato personal».