セキュリティ企業がワールドコインの脆弱性を発見
ブロックチェーンセキュリティ企業サーティック(CertiK)は、ワールドコイン(Worldcoin)システムを重大なリスクにさらす重大欠陥を明らかにしたことが分かった。
1/ On May 29th, CertiK reported a security vulnerability to #WorldCoin’s security team that could potentially allow an attacker to become an Orb operator by bypassing the verification process.
— CertiK (@CertiK) August 3, 2023
1/ 5月29日、CertiKはWorldCoinのセキュリティ チームに、攻撃者が検証プロセスをバイパスすることでOrb オペレーターになる可能性があるセキュリティ上の脆弱性を報告しました。
脆弱性により、オーブ(Orb)オペレーターに無制限アクセスが許可された場合、システムのセキュリティと整合性が侵害された可能性があるという。ユーザーの虹彩情報はワールドコインのオーブ活動の一環として収集されたため、評判の良い企業のみが運営を担当していることを保証するための強力な検証プロセスが必要であった。しかし、システムの欠陥により、悪意ある者が要件を満たさずに厳格な検証プロセスを通過する可能性がある。
通常のホワイトハット開示プロセスに従い、サーティックはすぐにワールドコインセキュリティチームに脆弱性を通知している。
脆弱性は迅速なパッチ適用で対処
ワールドコインは、脅威への対応策として、脆弱性に対処するパッチを迅速に提供しており、迅速な対応によって攻撃者はこの脆弱性を悪用することはできなかったとのことだ。
サーティックは、今回の救済策により脅威が効果的に軽減されたことを認めまたものの、脆弱性とその軽減策に関する詳細情報は後の機会へと保留にしている。この選択はおそらく、ほとんどのユーザーがシステムをアップグレードする前に、潜在的な攻撃者が脆弱性について知るのを防ぐことを目的としている。ワールドコインは、この脆弱性が発見される1週間前に、プログラミング言語「Nethermind」と「Least Authority」によって実施されたセキュリティ監査レポートしか公開していない。これらの監査では、コードの欠陥を発見し、侵入に対する防御を強化することが目的であったとのこと。
Nethermindの監査により、対処が必要な26件の問題が見つかり、そのうち24件は検証段階でワールドコインによって迅速に解決されており、残る2つの問題のうち1つは軽減されたが、もう1つは注目される形となった。これら3つの課題に対処するために最小権限機関によって6つの救済策が提案されており、それらはすべてワールドコインによって処理されたか、対処される予定であった。
ワールドコインは欠陥を確認し実攻撃はない
ワールドコインは疑惑の欠陥を認めたが、実際の攻撃には使用されていないと強調した。
この脆弱性によってオーブやデータへのアクセスが提供されることは決してなく、オーブのオペレーターアカウントを作成するための手動レビュープロセスが回避されることは決してなかったと強調した。ワールドコインが発見から24時間以内に問題に対処できたという事実は、ワールドコインがプロトコルのセキュリティの維持にどれほど献身的に取り組んでいたかを示唆している。
データのプライバシーとセキュリティに対する潜在的な影響については、米国家安全保障局の内部告発者エドワード・スノーデン(Edward Snowden)氏やイーサリアム(Ethereum)共同創設者のヴィタリック・ブテリン(Vitalik Buterin)氏などの人物から批判を受けている。
