慢雾科技：WorldCoin私钥会自动备份Google云端 小心资金被盗

零零生活网讯：慢雾科技资安长23pds今(26)日发布推文警告，购买认证完成的Gmail账号操作WorldCoin可能有资金被盗风险。

加密货币项目Worldcoin是由人工智能公司OpenAI创办人Sam Altman共同创办的，才于昨(25)日晚间宣布完成C轮融资，募得1.15亿美元。随着WorldCoin项目走红，对于资安骗局的担忧也随之出现。

私钥明文备份在Google云端硬盘

据了解，符合条件的国家/地区的用户经过验证后，就可以使用World App钱包于每月免费获得Worldcoin代币。在测试阶段，Worldcoin代币将按周分发，未来预计代币上线后则改为每月分发。

由于世界上许多地区仍没有Worldcoin虹膜辨识设备Orb，无法申请认证，因此许多希望获取Worldcoin空投的人，或是空投工作室，转而购买认证完成的Gmail账号进行操作。

然而值得注意的是，根据WorldCoin官网介绍，钱包私钥虽是「自行托管」，但是会直接将私钥明文备份在Google帐号的云端硬盘中。

23pds正是认为此机制存在资安隐忧。他表示，当卖家提供Gmail账号和密码供买家登录WorldCoin领取空投时，卖家仍有邮件转发、Key客户端登入等手法控制这个Gmail信箱。

也就是说，有心卖家只要刻意留后路，在日后登入该Gmail账号，就能存取WorldCoin私钥，直接盗走钱包中的资产和所有代币。

此备份机制也引发外界讨论，使用Google云端硬盘储存私钥固然方便，但如此「中心化」且未经加密的作法是否将引发更多资安问题，违背了Web3的「去中心化」本意。

走红过程争议不断

WorldCoin期望打造全球化金融公平与普惠的开源协议之愿景，加上代币空投的热点，近期引发了大量关注。据WorldCoin官方说法，目前全球已有150万人加入World App的测试阶段，其中超过50万人每个月都使用这个World App、每日有超过10万人进行约60,000笔交易。

然而WorldCoin项目的推进过程却是争议不断，当前由于对隐私数据的安全隐患，已被许多国家禁用。此前甚至传出有中国KYC商从柬埔寨、肯亚等地收集当地村民虹膜，进而低价将验证后的World ID卖给中国用户的负面消息。

将独一无二的虹膜信息扫描转换为「人类护照」ID，究竟能否解决没有合法身份或无法通过数字方式验证身份的痛点？仍有待时间考验。