WorldCoin,一個由OpenAI創辦人Sam Altman共同創立的加密貨幣項目,因私鑰明文備份在Google雲端硬碟而受到資安隱憂警告。在未來代幣上線後,每月免費獲得Worldcoin代幣的用戶需密切關注資安問題。本文將詳述有關WorldCoin的資安風險,並探討其在創新金融科技方面的努力與挑戰。
購買認證完成的Gmail帳號操作WorldCoin可能有資金被盜風險。據了解,符合條件的國家/地區的用戶在經過驗證後,可以使用World App錢包每月免費獲得Worldcoin代幣。由於很多地區尚無Worldcoin虹膜辨識設備Orb,無法申請認證,因此許多希望獲取Worldcoin空投的人,或空投工作室,轉而購買認證完成的Gmail帳號進行操作。然而,根據WorldCoin官網介紹,錢包私鑰雖是「自行託管」,但會直接將私鑰明文備份在Google帳號的雲端硬碟中。漫霧科技資安長23pds認為此機制存在資安隱憂。
23pds表示,當賣家提供Gmail帳號和密碼供買家登錄WorldCoin領取空投時,賣家仍有郵件轉發、Key客戶端登入等手法控制這個Gmail信箱。換句話說,有心賣家只要刻意留後路,在日後登入該Gmail帳號,就能存取WorldCoin私鑰,直接盜走錢包中的資產和所有代幣。此備份機制引發外界討論,使用Google雲端硬碟儲存私鑰固然方便,但此「中心化」且未經加密的作法是否將引發更多資安問題,違背了Web3的「去中心化」本意。
WorldCoin期望打造全球化金融公平與普惠的開源協議之願景,加上代幣空投的熱點,近期引發了大量關注。據WorldCoin官方說法,目前全球已有150萬人加入World App的測試階段,其中超過50萬人每個月都使用這個World App、每日有超過10萬人進行約60,000筆交易。然而,WorldCoin項目的推進過程卻是爭議不斷,當前由於對隱私數據的安全隱患,已被許多國家禁用。此前甚至傳出有中國KYC商從柬埔寨、肯亞等地收集當地村民虹膜,進而低價將驗證後的World ID賣給中國用戶的負面消息。
將獨一無二的虹膜資訊掃描轉換為「人類護照」ID,究竟能否解決沒有合法身份或無法通過數位方式驗證身份的痛點?仍有待時間考驗。面對這些挑戰,WorldCoin需要在保護用戶隱私和資安方面作出更多努力,以達到其金融科技創新的目標,並為未來的發展創造更多機遇。在這個快速變化的數字時代,隨著更多的人加入到加密貨幣和區塊鏈技術的行列,資安問題將成為各項目在不斷成長過程中必須面對和解決的關鍵因素。
.jpg)
.jpg)