Trong tháng 5, CertiK, một công ty kiểm toán blockchain, đã phát hiện một lỗ hỏng bảo mật đáng báo động trong mã nguồn của Worldcoin. Lỗ hỏng này đã cho phép một người dùng không được chấp thuận có thể truy cập và trở thành người điều hành Orb, vượt qua quá trình xác minh nghiêm ngặt.
Theo CertiK, sự lỗ hỏng này đã dẫn đến khả năng xâm nhập và tránh qua các yêu cầu tham gia nghiêm ngặt của Worldcoin để trở thành người điều hành Orb.
Việc trở thành người điều hành Orb (Orb operator) đòi hỏi việc xác minh danh tính, phỏng vấn kiểm duyệt và tuân theo các yêu cầu đặc biệt của công ty. Chẳng hạn, một người điều hành Orb cần có doanh nghiệp địa phương được phép và đội người để thực hiện quá trình quét mống mắt trong hệ thống Worldcoin. Người điều hành Orb được đền bù bằng stablecoins hoặc tiền tệ.
Nếu lỗ hỏng này không được phát hiện, những người chưa được xác định hoặc kiểm duyệt đúng cách có thể đã trở thành người điều hành Orb và thu thập thông tin mống mắt nhạy cảm từ người dùng.
CertiK đã thông báo rằng đội an ninh của Worldcoin đã nhanh chóng xác minh và khắc phục lỗ hỏng này để loại bỏ nguy cơ. Vào ngày 28 tháng 7, Worldcoin đã công bố một báo cáo kiểm toán bảo mật toàn diện.
Giao thức Worldcoin đã được kiểm toán bởi các công ty an ninh mạng Nethermind và Least Authority, và đã phát hiện ra một số điểm yếu. Các công ty này đã phân tích các lĩnh vực dễ bị tấn công, phát triển chiến lược để bảo vệ khỏi các hành động và tấn công có hại, cũng như đề xuất triển khai các biện pháp phòng thủ chống lại các hoạt động độc hại và khai thác.
Ví dụ, kiểm toán của Nethermind đã tìm thấy 26 vấn đề liên quan đến giao thức, hầu hết đã được giải quyết thành công trong quá trình xác minh. Các vấn đề còn lại đã được nhận thức và xử lý. Trong khi đó, Least Authority đã chỉ ra ba vấn đề và đề xuất sáu giải pháp.
Worldcoin đã có phản ứng cẩn thận, giải quyết hoặc dự định giải quyết tất cả các vấn đề được xác định để duy trì hệ thống an toàn của họ.
Hiện tại, Kenya đã tạm dừng mọi hoạt động liên quan đến Worldcoin trong nước. Họ muốn kiểm tra nguy cơ đối với công chúng và cách thông tin có thể bị sử dụng. Tuy nhiên, Worldcoin cho biết họ đã tạm ngừng dịch vụ tại Kenya để đối phó với nhu cầu tăng cao và sẽ cùng với các quan chức địa phương để giải thích biện pháp bảo mật của họ.
Bất chấp tình hình này, Ricardo Macieira từ Tools for Humanity, tổ chức đứng sau Worldcoin, khẳng định họ vẫn sẽ tiếp tục mở rộng ở những nơi mà họ được chào đón.
Các nước như Đức, Pháp và Vương quốc Anh đang tiến hành cuộc điều tra về Worldcoin để xác định liệu họ tuân thủ quy tắc về dữ liệu của họ hay không.