4일(현지시간) 코인텔레그래프에 따르면, 최근 서틱(CertiK)은 X(구 트위터)를 통해 논란이 되고 있는 월드코인 프로젝트에는 “심각한 보안 취약점”이 있다고 지적했다. 월드코인(WLD)은 오브(Orb)라고 불리는 장치를 통해 홍채 스캔을 제출하면 월드 ID 및 WLD 보상을 부여한다.
이와 관련해 보안 플랫폼 서틱에 따르면, 운영자를 위한 조사 프로세스 내 취약성으로 인해 공격자가 확인 프로세스를 우회 및 적절한 ID 확인없이도 오브를 작동시킬 수 있는 것으로 드러났다.
앞서 비평가들은 이미 봇 필터링을 통해 월드 앱(World App) 지갑 지원을 목표로 하고 있는 이 프로젝트에 대해 “윤리적으로 의심스럽고 디스토피아적 악몽의 구성 요소를 포함하고 있다”고 지적한다.
또한 프로젝트는 오픈 소스가 아니며, 이에 대한 규제 당국의 입장도 회의적인 것으로 들려온다.
다만 이에 대해 월드코인의 대변인은 “서틱는 월드코인의 공식 감사 기관이 아니며, 그들의 기여에 감사드린다”고 밝혔다.
또 대변인에 따르면, 해당 버그로 인해 공격자가 비활성 운영자 계정을 생성할 수 있지만 이 버그는 ‘어느 누구도 운영자 계정 설정을 위해 수동 검토를 우회하는 것’을 허용하지 않기 때문에, 공격자가 버그를 통해 활성화된 오브 또는 데이터에 액세스할 수 없다는 설명이다.
“월드코인 보안 팀은 서틱으로 부터 정보를 얻은 후, 24시간 내에 해당 문제를 인정 및 수정했으며, 악용되지 않았음을 확인했다.”