慢霧首席資安長警告,購買認證完成的 Gmail 帳號操作 WorldCoin 可能有資金被盜風險。
(前情提要:Worldcoin 完成1.15億鎂C輪融資、a16z三度參投,OpenAI創辦人做對了什麼? )
(背景補充:Worldcoin亂象》中國找柬埔寨人掃虹膜「領空投」,黑市代領一次30鎂 )
慢霧科技資安長 23pds 今 (26) 日發布推文警告,購買認證完成的 Gmail 帳號操作 WorldCoin 可能有資金被盜風險。
加密貨幣項目 Worldcoin 是由人工智慧公司 OpenAI 創辦人 Sam Altman 共同創辦的,才於昨 (25) 日晚間宣布完成 C 輪融資,募得 1.15 億美元。隨著 WorldCoin 項目走紅,對於資安騙局的擔憂也隨之出現。
延伸閱讀:Worldcoin 完成1.15億鎂C輪融資、a16z三度參投,OpenAI創辦人做對了什麼?
私鑰明文備份在 Google 雲端硬碟
據了解,符合條件的國家 / 地區的用戶經過驗證後,就可以使用 World App 錢包於每月免費獲得 Worldcoin 代幣。在測試階段,Worldcoin 代幣將按週分發,未來預計代幣上線後則改為每月分發。
由於世界上許多地區仍沒有 Worldcoin 虹膜辨識設備 Orb,無法申請認證,因此許多希望獲取 Worldcoin 空投的人,或是空投工作室,轉而購買認證完成的 Gmail 帳號進行操作。
然而值得注意的是,根據 WorldCoin 官網介紹,錢包私鑰雖是「自行託管」,但是會直接將私鑰明文備份在 Google 帳號的雲端硬碟中。
23pds 正是認為此機制存在資安隱憂。他表示,當賣家提供 Gmail 帳號和密碼供買家登錄 WorldCoin 領取空投時,賣家仍有郵件轉發、Key 客戶端登入等手法控制這個 Gmail 信箱。
也就是說,有心賣家只要刻意留後路,在日後登入該 Gmail 帳號,就能存取 WorldCoin 私鑰,直接盜走錢包中的資產和所有代幣。
此備份機制也引發外界討論,使用 Google 雲端硬碟儲存私鑰固然方便,但如此「中心化」且未經加密的作法是否將引發更多資安問題,違背了 Web3 的「去中心化」本意。
走紅過程爭議不斷
WorldCoin 期望打造全球化金融公平與普惠的開源協議之願景,加上代幣空投的熱點,近期引發了大量關注。據 WorldCoin 官方說法,目前全球已有 150 萬人加入 World App 的測試階段,其中超過 50 萬人每個月都使用這個 World App、每日有超過 10 萬人進行約 60,000 筆交易。
然而 WorldCoin 項目的推進過程卻是爭議不斷,當前由於對隱私數據的安全隱患,已被許多國家禁用。此前甚至傳出有中國 KYC 商從柬埔寨、肯亞等地收集當地村民虹膜,進而低價將驗證後的 World ID 賣給中國用戶的負面消息。
延伸閱讀:Worldcoin亂象》中國找柬埔寨人掃虹膜「領空投」,黑市代領一次30鎂
將獨一無二的虹膜資訊掃描轉換為「人類護照」ID,究竟能否解決沒有合法身份或無法通過數位方式驗證身份的痛點?仍有待時間考驗。
📍相關報導📍
Worldcoin 完成1.15億鎂C輪融資、a16z三度參投,OpenAI創辦人做對了什麼?
