扬帆股票(piao)网(www.yfbx.cn)讯(xun):慢雾科技资安长23pds今(jin)(26)日发布推(tui)文警告,购买认证完成的Gmail账(zhang)号操作WorldCoin可能有资金被盗风险。
加密货币项目Worldcoin是由人工智能公司OpenAI创办人Sam Altman共同(tong)创办的,才于昨(25)日晚间宣布完成(cheng)C轮融资,募得1.15亿美元。随着WorldCoin项目走红,对于资安骗局的担忧也(ye)随之出现。
私钥明文备(bei)份在Google云端(duan)硬盘
据了解,符合条(tiao)件的国家/地区的用户经过验证后,就可以使用World App钱包于每月免费获得Worldcoin代币。在测试阶段,Worldcoin代(dai)币将按周分发,未来预计代(dai)币上线后则改为每月分发。
由于世界上许多地区仍没(mei)有Worldcoin虹膜(mo)辨识设备Orb,无法申请认(ren)证,因此许多希望(wang)获取Worldcoin空投的人,或是空投工作室,转而购买认证完成的(de)Gmail账号进行操(cao)作。
然而(er)值得注意的是,根据WorldCoin官网(wang)介绍,钱包私钥虽是「自行托管」,但是会直接将私钥(yao)明文备份在Google帐号的云端硬盘中。
23pds正是认为此机(ji)制存在资安隐忧。他表示,当卖家提供(gong)Gmail账号和密码供买(mai)家登录WorldCoin领取空投时,卖家仍有邮件转(zhuan)发、Key客户端登入等手法控(kong)制这个Gmail信箱。
也就是说(shuo),有心卖家只要刻(ke)意留后路,在日后登入该Gmail账(zhang)号,就能存取WorldCoin私钥,直接盗走钱包中(zhong)的资产和所有代(dai)币。
此备(bei)份机制也引发外界讨论,使用Google云(yun)端硬盘储存私钥固然(ran)方便,但如此「中心(xin)化」且未经加密的作法是否将引发更(geng)多资安问题,违背了Web3的「去(qu)中心化」本意。
走红过(guo)程争议不断
WorldCoin期望打造(zao)全球化金融公平与普惠的开源(yuan)协议之愿景,加上代币空(kong)投的热点,近期引发了大量(liang)关注。据WorldCoin官方(fang)说法,目前全球已(yi)有150万人加入World App的测试阶段,其中超过50万人每个(ge)月都使用这个World App、每日有超过10万人进行(xing)约60,000笔交易。
然而WorldCoin项目的推(tui)进过程却是争议不断,当前由于(yu)对隐私数据的安全隐患,已被(bei)许多国家禁用。此前甚至传出有中国KYC商从柬埔寨、肯亚等地收集当(dang)地村民虹膜,进而低价将验证(zheng)后的World ID卖给中国用(yong)户的负面消息。
将独一无二的虹(hong)膜信息扫描转换为(wei)「人类护照」ID,究竟能(neng)否解决没有合法身份或无法通过数(shu)字方式验证身份的痛点?仍有待时间考验。