Orb da Worldcoin tinha séria vulnerabilidade de segurança na integração do operador, diz CertiK
O auditor do contrato inteligente descobriu que a verificação do operador poderia permitir que os operadores entrassem no sistema sem um ID verificado ou mesmo sendo uma empresa.
O controverso projeto Worldcoin tinha uma séria vulnerabilidade de segurança, divulgou a CertiK no X (anteriormente conhecido como Twitter). A Worldcoin paga as pessoas para se tornarem parte de seu ecossistema World ID, enviando varreduras de suas íris por meio de um dispositivo que a Worldcoin chama de Orb.
De acordo com a plataforma de segurança CertiK, a vulnerabilidade no processo de verificação para operadores pode ter permitido que um invasor ignorasse o processo de verificação e operasse um Orb sem ser questionado ou ter uma identificação adequada. “Não precisaria ser uma empresa”, segundo o post.
1/ On May 29th, CertiK reported a security vulnerability to #WorldCoin’s security team that could potentially allow an attacker to become an Orb operator by bypassing the verification process.
— CertiK (@CertiK) August 3, 2023
A CertiK relatou a vulnerabilidade à equipe de segurança do Worldcoin (WLD) como uma “divulgação padrão de whitehat” e foi corrigida, disse. A descoberta da vulnerabilidade pode aumentar a controvérsia mundial em torno da privacidade e uso de dados do projeto.
Os críticos já sugeriram que o projeto, lançado pelo fundador da OpenAI Sam Altman e destinado a apoiar sua carteira World App filtrando bots, é eticamente questionável e contém os ingredientes de um “pesadelo distópico”. O projeto não é de código aberto. Os reguladores também têm se mostrado céticos.
O projeto depende da adoção em massa para seu sucesso. Milhões de pessoas em todo o mundo fizeram fila ansiosamente pela oportunidade de vender seus dados de retina por cerca de US$ 50. Observadores especulam que o projeto não ganhou o apoio que esperava, mas seu ímpeto não diminuiu.
HERE WE GO FOLKS: Hundreds of youth voluntarily line-up to have their eyeballs scanned with a Worldcoin orb to get their new digital ID with “free money” Worldcoins in their new digital wallet. This is exactly how #CBDC will be rolled out globally…
pic.twitter.com/whWgxdg7lm— Patrick Henningsen (@21WIRE) July 26, 2023
“A CertiK não é um auditor oficial da Worldcoin e agradecemos a eles por sua contribuição”, disse um porta-voz da Worldcoin ao Cointelegraph.
O porta-voz disse que o bug “poderia permitir que um invasor criasse uma conta de operador inativa. O bug não permitiu que ninguém contornasse a revisão manual para estabelecer uma conta de Operador e em nenhum momento o acesso a Orbs ou dados foi ativado por meio do bug. A equipe de segurança da Worldcoin reconheceu e corrigiu o problema dentro de 24 horas após o recebimento das informações da CertiK e verificou que não houve abuso.”
O projeto alegou estar atraindo 400.000 novos usuários por semana em meados de julho, e esse número aumentou para mais de 545.000 no momento da escrita, de acordo com o site do projeto, para um total de mais de 2.188.000. Ele registrou uma média diária de mais de 193.000 transações de carteira nos últimos sete dias.
O site também afirmou que 366 esferas estiveram ativas na última semana e 2.000 delas foram fabricadas.