Orb від Worldcoin мав серйозну вразливість в безпеці під час реєстрації операторів: CertiK

CertiK, аудитор смартконтрактів, нещодавно виявив серйозну вразливість у процесі реєстрації операторів Orb від Worldcoin. Worldcoin, проект, запущений засновником OpenAI Семом Альтманом, платить людям за приєднання до своєї екосистеми World ID шляхом надання сканів райдужної оболонки ока через пристрій під назвою Orb.

За даними CertiK, процес перевірки операторів мав вразливість, яка могла дозволити зловмиснику обійти процес верифікації та отримати доступ до Orb без належної ідентифікації чи співбесіди. Вразливість не вимагала від зловмисника представляти компанію, що робило її значною проблемою з точки зору безпеки.

Виявивши вразливість, CertiK негайно повідомила про неї команду безпеки Worldcoin. Команда визнала проблему і швидко виправила її, щоб запобігти потенційному зловживанню. Однак, виявлення цього недоліку безпеки додало суперечок навколо Worldcoin, критики висловлюють занепокоєння з приводу етики, а регулятори демонструють скептицизм.

Успіх Worldcoin залежить від масового прийняття, і він має на меті стимулювати мільйони людей по всьому світу продавати дані про свою сітківку ока приблизно за 50 доларів. Попри певну критику та етичні дебати, проект продовжує привертати увагу. У середині липня проект стверджував, що залучає 400 000 нових користувачів щотижня. На момент написання цього звіту ця цифра зросла до понад 545 000, згідно з інформацією на сайті проекту, і в цілому становить понад 2 188 000. За останні сім днів було зафіксовано в середньому понад 193 000 щоденних транзакцій через гаманці.

У відповідь на повідомлення CertiK представник Worldcoin висловив подяку за внесок. Також вони пояснили, що баг дозволяв зловмиснику створити неактивний обліковий запис Оператора, але не обходив ручну перевірку при створенні запису. Команда безпеки оперативно виправила проблему, і баг не дозволив отримати доступ до Orb або даних.