نقص امنیتی ورلدکوین به هر کسی اجازه میداد اپراتور گوی شود
در اواخر ماه مه، CertiK، یک شرکت حسابرسی بلاکچین، یک نقص امنیتی جدی را در کد ورلدکوین کشف کرد که به یک کاربر تأییدنشده اجازه میداد با دور زدن فرآیند تأیید دقیق، دسترسی پیدا کند و به اپراتور Orb تبدیل شود.
CertiK اضافه کرد با این نقص، به راحتی معیارهای سختگیرانه ورود به ورلدکوین برای تبدیل شدن به اپراتور Orb را دور میزد.
در ۲۹ می، CertiK یک باگ امنیتی را به تیم امنیتی ورلدکوین گزارش کرد که به طور بالقوه به مهاجمان اجازه میداد با دور زدن فرآیند تأیید، به اپراتور Orb تبدیل شود. — سرتیک (@CertiK) 3 اوت ۲۰۲۳
روند تبدیل شدن به اپراتور Orb بسیار سخت است و شامل تأیید هویت، بررسی مصاحبهها و برآورده کردن الزامات خاص شرکت است. به عنوان مثال، یک اپراتور Orb تأیید شده باید یک کسب و کار محلی دارای مجوز را راهاندازی کند و تیمی داشته باشد تا افرادی را که عنبیه چشم خود را اسکن میکنند به اکوسیستم ورلدکوین بفرستند. به اپراتورهای Orb با این استیبل کوین یا فیات پرداخت میشود.
اگر این باگ مورد توجه قرار نمی گرفت، افرادی که به درستی شناسایی یا بررسی نشده بودند ممکن بود بتوانند به اپراتور Orb تبدیل شوند و اطلاعات عنبیه را از کاربران جمعآوری کنند.
سرتیک گفت تیم امنیتی ورلدکوین به سرعت وارد عمل شد ، باگ را تأیید و راهحلی برای از بین بردن تهدید اجرا کرد.
در ۲۸ جولای، ورلدکوین یک گزارش جامع ممیزی امنیتی منتشر کرد. پروتکل ورلدکوین توسط شرکتهای امنیت سایبری، Nethermind و Least Authority مورد بازرسی قرار گرفت، چندین ضعف ار پروتکل شناسایی و برطرف شد.
آنها ویژگیهای آسیبپذیر احتمالی را تجزیه و تحلیل کردند، استراتژیهایی را برای محافظت در برابر حملات ایجاد کردند، و روشهای دفاعی در برابر فعالیتهای مخرب و بهره برداری را اجرا کردند.
به عنوان مثال، شرکت ندرمایند، ۲۶ مشکل پروتکل را نشان داد که اکثر آنها با موفقیت در فرآیند تأیید بررسی شدند. مابقی نیز شناسایی و با آنها برخورد شد. از سوی دیگر، Least Authority سه مشکل را انتخاب و شش راهحل را پیشنهاد کرد.
ورلدکوین برای حل و فصل یا برنامهریزی برای رسیدگی به تمام مسائل شناساییشده بر اساس تعهد خود به حفظ یک سیستم ایمن با جدیت عمل کرده است.
این هفته، کنیا تمام فعالیتهای ورلدکوین در این کشور را به حالت تعلیق درآورد. آنها می خواهند خطرات عمومی و نحوه استفاده از دادهها را بررسی کنند.
از سوی دیگر، ورلدکوین گفت که آنها خدمات خود را در کنیا متوقف کردند تا تقاضای بالا را مدیریت کنند، اما با مقامات محلی همکاری خواهند کرد تا اقدامات حفظ حریم خصوصی خود را بررسی کنند.
آلمان، فرانسه و بریتانیا در حال بررسی ورلدکوین هستند و تعیین میکنند که آیا آنها با قوانین داده خود مطابقت دارند یا خیر.
پیشنهاد مطالعه: هر آنچه که باید در مورد ChatGPT در حوزۀ هوش مصنوعی بدانید!
