La empresa de seguridad Blockchain CertiK reveló recientemente una falla importante que pone en grave riesgo al sistema Worldcoin. La seguridad y la integridad del sistema podrían haberse visto comprometidas si la vulnerabilidad permitiera a los operadores de Orb acceso sin restricciones.
La información del iris del usuario se recopiló como parte de las actividades de Orb de Worldcoin, lo que requiere un riguroso proceso de verificación para garantizar que solo las empresas acreditadas sean responsables de las operaciones.
Sin embargo, la falla del sistema permitió que los atacantes pasaran el riguroso proceso de verificación sin cumplir con los requisitos.
Después del proceso habitual de divulgación de whitehat, CertiK notificó rápidamente al equipo de seguridad de Worldcoin sobre la vulnerabilidad.
Aplicación de parches rápidos: abordar la vulnerabilidad
Worldcoin ha proporcionado un parche para abordar la vulnerabilidad de manera oportuna como respuesta a la amenaza. Los atacantes no pudieron aprovechar la vulnerabilidad debido a la rápida acción realizada.
Si bien CertiK reconoció que la corrección efectivamente redujo la amenaza, optó por reservar más información sobre la vulnerabilidad y su mitigación para más adelante.
Esta elección probablemente tenía la intención de evitar que los posibles atacantes se enteraran de la vulnerabilidad antes de que la mayoría de los usuarios tuvieran la oportunidad de actualizar sus sistemas.
Worldcoin había publicado informes sobre auditorías de seguridad realizadas por Nethermind y Least Authority solo una semana antes del descubrimiento de esta vulnerabilidad. Estas auditorías buscaron encontrar fallas en el código y fortalecer las defensas contra las intrusiones.
La auditoría de Nethermind encontró alrededor de 26 problemas que debían resolverse, y Worldcoin resolvió rápidamente 24 de ellos durante la fase de auditoría. Uno de los dos problemas restantes se ha reducido, mientras que el otro se ha notado.
Least Authority ha propuesto seis remedios para abordar los tres desafíos, todos gestionados por Worldcoin o planeados para ser abordados.
Worldcoin confirma falla, no hay ataques en el mundo real
Worldcoin confirmó la supuesta falla , pero enfatizó que no se usó en ningún ataque del mundo real. Señalaron que la vulnerabilidad nunca permitió el acceso a los orbes ni a los datos, y que nunca se eludió el proceso de revisión manual para crear cuentas de operador para los orbes.
El hecho de que Worldcoin pudiera abordar el problema dentro de las 24 horas posteriores a su descubrimiento mostró cuán dedicados estaban a mantener la seguridad del protocolo.
Incluso después de que el debut público de Worldcoin fuera inicialmente exitoso, con precios de fichas favorables y altas tasas de registro, el proyecto siguió siendo controvertido debido a la preocupación de que una empresa tuviera control total sobre cantidades masivas de información personal de los usuarios.
Mientras tanto, personas como el denunciante de la Agencia de Seguridad Nacional de EE. UU., Edward Snowden, y el cofundador de Ethereum, Vitalik Buterin, han criticado los posibles efectos en la privacidad y la seguridad de los datos.
Las preocupaciones sobre el potencial del proyecto para acumular cantidades masivas de datos personales que podrían usarse para actividades ilícitas han suscitado legítimamente preocupaciones sobre los problemas éticos que rodean tales redes financieras y de identificación de última generación.
Imagen destacada de Worldcoin