La société de sécurité Blockchain CertiK a récemment révélé une faille majeure qui met le système Worldcoin en danger. La sécurité et l'intégrité du système auraient pu être compromises si la vulnérabilité permettait aux opérateurs d'Orb un accès illimité.
Les informations sur l'iris de l'utilisateur ont été collectées dans le cadre des activités Orb de Worldcoin, nécessitant un processus de vérification rigoureux pour garantir que seules des entreprises réputées sont responsables des opérations.
La défaillance du système, cependant, a permis aux attaquants de passer le processus de vérification rigoureux sans répondre aux exigences.
Après le processus de divulgation whitehat habituel, CertiK a rapidement informé l'équipe de sécurité de Worldcoin de la vulnérabilité.
Correctif rapide : remédier à la vulnérabilité
Worldcoin a fourni un correctif pour remédier à la vulnérabilité en temps opportun en réponse à la menace. Les attaquants n'ont pas pu exploiter la vulnérabilité en raison de l'action rapide entreprise.
Bien que CertiK ait reconnu que le correctif réduisait effectivement la menace, il a choisi de réserver plus d'informations sur la vulnérabilité et son atténuation pour plus tard.
Ce choix visait probablement à empêcher les attaquants potentiels de découvrir la vulnérabilité avant que la plupart des utilisateurs aient eu la possibilité de mettre à jour leurs systèmes.
Worldcoin avait publié des rapports sur les audits de sécurité menés par Nethermind et Least Authority juste une semaine avant la découverte de cette vulnérabilité. Ces audits visaient à trouver des failles dans le code et à renforcer les défenses contre les intrusions.
L'audit de Nethermind a révélé environ 26 problèmes qui devaient être résolus, et 24 d'entre eux ont été rapidement résolus par Worldcoin pendant la phase d'audit. L'un des deux problèmes restants a été réduit, tandis que l'autre a été remarqué.
Six remèdes ont été proposés par Least Authority pour relever les trois défis, tous gérés par Worldcoin ou prévus pour être relevés.
Worldcoin confirme la faille, pas d'attaques dans le monde réel
Worldcoin a confirmé la prétendue faille , mais a souligné qu'elle n'était utilisée dans aucune attaque réelle. Ils ont souligné que la vulnérabilité n'a jamais permis d'accéder à Orbs ou aux données, et que le processus d'examen manuel pour créer des comptes d'opérateur pour Orbs n'a jamais été contourné.
Le fait que Worldcoin ait pu résoudre le problème dans les 24 heures suivant sa découverte a montré à quel point ils étaient déterminés à maintenir la sécurité du protocole.
Même après le succès initial des débuts publics de Worldcoin, avec des prix de jetons favorables et des taux d'inscription élevés, le projet est resté controversé en raison des craintes qu'une entreprise ait un contrôle total sur des quantités massives d'informations personnelles des utilisateurs. .
Pendant ce temps, des critiques sur les effets potentiels sur la confidentialité et la sécurité des données ont été formulées par des individus tels que le lanceur d'alerte de l'Agence américaine de sécurité nationale Edward Snowden et le co-fondateur d'Ethereum Vitalik Buterin.
Les inquiétudes concernant le potentiel du projet à amasser des quantités massives de données personnelles qui pourraient être utilisées pour des activités illicites ont légitimement suscité des inquiétudes quant aux problèmes éthiques entourant ces réseaux d'identification et financiers à la pointe de la technologie.
Image sélectionnée de Worldcoin