Bug de Worldcoin PermitiĆ³ Que Cualquiera Pudiese Convertirse en Operador de Orbes: CertiK
En Resumen
- CertiK encontrĆ³ una vulnerabilidad en Worldcoin que permitĆa evadir la verificaciĆ³n para ser operador Orb.
- Worldcoin corrigiĆ³ rĆ”pidamente la vulnerabilidad reportada por CertiK.
- Preocupaciones sobre privacidad y seguridad han surgido a nivel global en torno a Worldcoin debido a la recopilaciĆ³n de datos personales y la seguridad de escaneos de iris.
La firma de seguridad en criptomonedas CertiK revelĆ³ recientemente una vulnerabilidad en el protocolo de Worldcoin que permitĆa a un atacante evadir el proceso de verificaciĆ³n para convertirse en un operador Orb.
SegĆŗn CertiK, esta vulnerabilidad habrĆa permitido a cualquier persona eludir los requisitos de verificaciĆ³n para convertirse en un operador Orb de Worldcoin. La persona no estarĆa obligada, por ejemplo, a ser una empresa legĆtima, someterse a una verificaciĆ³n de identidad adecuada o pasar una entrevista de evaluaciĆ³n.
“En un caso normal, solo las empresas legĆtimas que pasan el estricto proceso de verificaciĆ³n de identificaciĆ³n de Worldcoin pueden llevar a cabo una operaciĆ³n Orb, que recopila informaciĆ³n del iris del usuario”, dice el hilo de CertiK.
La firma de seguridad informĆ³ del problema a Worldcoin a travĆ©s de “un procedimiento estĆ”ndar de divulgaciĆ³n de whitehat”, despuĆ©s de lo cual el equipo de seguridad del proyecto confirmĆ³ la vulnerabilidad y “emitiĆ³ rĆ”pidamente una soluciĆ³n”.
1/ On May 29th, CertiK reported a security vulnerability to #WorldCoinās security team that could potentially allow an attacker to become an Orb operator by bypassing the verification process.
ā CertiK (@CertiK) August 3, 2023
CertiK, a su vez, informĆ³ y confirmĆ³ que la soluciĆ³n mitigĆ³ la amenaza. La empresa de seguridad agregĆ³ que harĆ” pĆŗblicos los detalles del hallazgo y cĆ³mo se mitigĆ³ la vulnerabilidad “en algĆŗn momento en el futuro”.
Cabe destacar que la revelaciĆ³n de CertiK se produce apenas una semana despuĆ©s de que Worldcoin publicara un informe sobre auditorĆas de seguridad del protocolo Worldcoin realizadas por las firmas de auditorĆa Nethermind y Least Authority.
Estas auditorĆas abarcaron una amplia variedad de Ć”reas, incluyendo vulnerabilidades en el cĆ³digo que podrĆan llevar a acciones adversas y otros ataques, asĆ como protecciĆ³n contra ataques maliciosos y otros mĆ©todos de explotaciĆ³n.
La auditorĆa de Nethermind identificĆ³ 26 elementos durante su evaluaciĆ³n de seguridad, de los cuales 24 fueron corregidos despuĆ©s de la etapa de verificaciĆ³n, mientras que uno fue mitigado y el restante fue reconocido.
Least Authority identificĆ³ tres problemas en el protocolo y ofreciĆ³ seis sugerencias, todas las cuales han sido resueltas o tienen resoluciones planeadas, segĆŗn Worldcoin.
CertiK y Worldcoin no respondieron de inmediato a las solicitudes de comentarios de Decrypt.
Preocupaciones sobre Worldcoin
Lanzado a principios de este verano, Worldcoin es un proyecto de criptomonedas destinado a establecer una nueva red global de identidad y finanzas centrada en escaneos de iris.
La compaƱĆa afirma que estas identificaciones de World serĆ”n cruciales a medida que la inteligencia artificial se vuelva mĆ”s influyente, permitiendo a los humanos demostrar que no son robots.
Para participar en esta red, se requiere que las personas escaneen sus iris utilizando un dispositivo conocido como el Orb. Como incentivo, los usuarios son recompensados con el token nativo del proyecto, WLD, a cambio de su escaneo de iris.
El proyecto ha generado varias preocupaciones en cuanto a la privacidad y seguridad de los datos. CrĆticos, incluyendo al famoso denunciante Edward Snowden y al co-fundador de Ethereum, Vitalik Buterin, argumentan que Worldcoin podrĆa estar recopilando una cantidad excesiva de datos personales, los cuales podrĆan ser utilizados de manera maliciosa.
TambiĆ©n existen preocupaciones sobre la seguridad del iris, como seƱalĆ³ Buterin en su reciente publicaciĆ³n de blog, los Orbs son dispositivos de hardware donde se podrĆan instalar puertas traseras en el sistema, permitiendo a fabricantes maliciosos crear mĆŗltiples identidades humanas falsas.
MIT Technology Review tambiƩn ha acusado a Worldcoin de participar en prƔcticas de marketing engaƱosas y recopilar una mayor cantidad de datos personales de lo inicialmente revelado.
En respuesta a estas preocupaciones, Worldcoin ha afirmado su compromiso de proteger la privacidad de los usuarios.
El sitio web de la empresa afirma que el proyecto “cumple totalmente con todas las leyes y regulaciones que rigen la recopilaciĆ³n y transferencia de datos biomĆ©tricos, incluido el Reglamento General de ProtecciĆ³n de Datos de Europa (‘GDPR’).”
La empresa agregĆ³ que “la FundaciĆ³n Worldcoin y su colaborador Tools for Humanity nunca han vendido ni venderĆ”n ningĆŗn dato personal”.
Stay on top of crypto news, get daily updates in your inbox.
CrƩdito: Enlace fuente
Responses