Das umstrittene Worldcoin-Projekt wies eine schwerwiegende Sicherheitslücke auf, wie CertiK auf X (früher bekannt als Twitter) offengelegt hat. Worldcoin bezahlt Menschen dafür, Teil seines World ID-Ökosystems zu werden, indem sie Scans ihrer Iris über ein Gerät senden, das Worldcoin Orb nennt.
Laut der Sicherheitsplattform CertiK hätte die Schwachstelle im Überprüfungsprozess für Betreiber es einem Angreifer ermöglichen können, den Überprüfungsprozess zu umgehen und einen Orb zu bedienen, ohne interviewt zu werden oder über einen ordnungsgemäßen Ausweis zu verfügen. „Es müsste kein Unternehmen sein“, heißt es in dem Beitrag.
1/ Am 29. Mai meldete CertiK eine Sicherheitslücke bei #WorldCoinDas Sicherheitsteam könnte es einem Angreifer möglicherweise ermöglichen, durch Umgehung des Verifizierungsprozesses zum Orb-Operator zu werden.
— CertiK (@CertiK) 3. August 2023
CertiK habe die Schwachstelle dem Worldcoin (WLD)-Sicherheitsteam als „Standard-Whitehat-Offenlegung“ gemeldet und sie sei behoben worden, hieß es. Die Entdeckung der Schwachstelle könnte die weltweite Kontroverse um den Datenschutz und die Datennutzung des Projekts weiter anheizen.
Verwandt: Benutzer sagten, die Warnung von CertiK sei ein Fehlalarm gewesen – dann scheiterte das Projekt
Kritiker haben bereits darauf hingewiesen, dass das vom OpenAI-Gründer Sam Altman ins Leben gerufene Projekt, dessen World App Wallet durch das Herausfiltern von Bots unterstützt werden soll, ethisch fragwürdig ist und das Zeug zu einem „dystopischen Albtraum“ enthält. Das Projekt ist nicht Open Source. Auch die Aufsichtsbehörden waren skeptisch.
Der Erfolg des Projekts hängt von der Massenakzeptanz ab. Millionen von Menschen auf der ganzen Welt haben sich sehnsüchtig für die Gelegenheit angemeldet, ihre Netzhautdaten für rund 50 US-Dollar zu verkaufen. Beobachter spekulieren, dass das Projekt zwar nicht die erhoffte Unterstützung erhalten hat, seine Dynamik aber nicht nachgelassen hat.
Es geht los, Leute: Hunderte Jugendliche stehen freiwillig Schlange, um ihre Augäpfel mit einer Worldcoin-Kugel scannen zu lassen, um ihre neue digitale ID mit „kostenlosen“ Worldcoins in ihrer neuen digitalen Geldbörse zu erhalten. Genau so geht es #CBDC wird weltweit eingeführt…
pic.twitter.com/whWgxdg7lm— Patrick Henningsen (@21WIRE) 26. Juli 2023
„CertiK ist kein offizieller Prüfer von Worldcoin und wir danken ihnen für ihren Beitrag“, sagte ein Worldcoin-Sprecher gegenüber Cointelegraph.
Der Sprecher sagte, der Fehler „könnte es einem Angreifer ermöglichen, ein inaktives Betreiberkonto zu erstellen.“ Der Fehler erlaubte es niemandem, die manuelle Überprüfung zur Einrichtung eines Operator-Kontos zu umgehen, und zu keinem Zeitpunkt wurde durch den Fehler der Zugriff auf Orbs oder Daten ermöglicht. Das Worldcoin-Sicherheitsteam hat das Problem innerhalb von 24 Stunden nach Erhalt der Informationen von CertiK erkannt und behoben und bestätigt, dass kein Missbrauch vorliegt.“
Das Projekt gab an, Mitte Juli 400.000 neue Benutzer pro Woche anzuziehen, und diese Zahl ist laut der Website des Projekts zum Zeitpunkt des Schreibens auf über 545.000 gestiegen, was einer Gesamtzahl von über 2.188.000 entspricht. In den letzten sieben Tagen wurden täglich durchschnittlich über 193.000 Wallet-Transaktionen verzeichnet.
Auf der Website heißt es außerdem, dass in der letzten Woche 366 Kugeln aktiv waren und 2.000 davon hergestellt wurden.
Magazin: Wenn Privatsphäre ein Privileg ist: Jun Li von Ontology über Blockchain-basierte digitale ID