Уязвимость Worldcoin: фирма по безопасности блокчейна раскрывает непроверенный доступ оператора Orb
Компания CertiK, занимающаяся безопасностью блокчейна, недавно обнаружила серьезную уязвимость, которая подвергает систему Worldcoin серьезному риску. Безопасность и целостность системы могли быть скомпрометированы, если уязвимость позволяла операторам Orb неограниченный доступ.
Информация об радужной оболочке пользователей была собрана в рамках деятельности Worldcoin Orb, что потребовало строгого процесса проверки, чтобы гарантировать, что только авторитетные компании несут ответственность за операции.
Однако ошибка системы позволила злоумышленникам пройти строгий процесс проверки, не выполнив требований.
Следуя обычному процессу раскрытия информации, CertiK быстро проинформировал команду безопасности Worldcoin об уязвимости.
Оперативное исправление: устранение уязвимости
Worldcoin предоставила исправление для оперативного устранения уязвимости в ответ на угрозу. Злоумышленники не смогли воспользоваться уязвимостью из-за предпринятых быстрых действий.
Хотя CertiK признал, что средство защиты эффективно уменьшило угрозу, они решили оставить дополнительную информацию об уязвимости и ее устранении на более позднее время.
Этот выбор, вероятно, был предназначен для того, чтобы потенциальные злоумышленники не узнали об уязвимости до того, как у большинства пользователей появится возможность обновить свои системы.
Worldcoin опубликовал отчеты об аудитах безопасности, проведенных Nethermind и Least Authority за неделю до обнаружения этой уязвимости. Эти аудиты были направлены на поиск недостатков кода и усиление защиты от вторжений.
Аудит Nethermind обнаружил около 26 проблем, которые необходимо было решить, и 24 из них были быстро решены Worldcoin на этапе проверки. Одна из оставшихся двух проблем была уменьшена, а другая отмечена.
Компания Least Authority предложила шесть средств для решения трех проблем, все из которых либо были решены Worldcoin, либо планировалось решить.
Worldcoin подтверждает дефект, никаких атак в реальном мире
Worldcoin подтвердила предполагаемую уязвимость, но подчеркнула, что она не использовалась в реальных атаках. Они подчеркнули, что уязвимость никогда не предоставляла доступ к Orbs или данным, и что процесс ручной проверки для создания учетных записей оператора для Orbs никогда не был обойден.
Тот факт, что Worldcoin удалось решить проблему в течение 24 часов с момента ее обнаружения, показал, насколько они привержены обеспечению безопасности протокола.
Даже после того, как публичный дебют Worldcoin изначально был успешным, с выгодными ценами на токены и высоким уровнем регистрации, проект оставался спорным из-за опасений, что один бизнес будет иметь полный контроль над огромным количеством личной информации пользователей.
Между тем, с критикой потенциального воздействия на конфиденциальность и безопасность данных выступили такие люди, как разоблачитель Агентства национальной безопасности США Эдвард Сноуден и соучредитель Ethereum Виталик Бутерин.
Обеспокоенность по поводу того, что проект может накапливать огромные объемы персональных данных, которые могут быть использованы для незаконной деятельности, обоснованно вызвала озабоченность по поводу этических проблем, связанных с такими передовыми идентификационными и финансовыми сетями.
Избранное изображение от Worldcoin