WorldCoin私钥会「自动备份」Go

慢雾首席资安长警告，购买认证完成的 Gmail 帐号操作 WorldCoin 可能有资金被盗风险。
（前情提要：Worldcoin 完成1.15亿镁C轮融资、a16z三度参投，OpenAI创办人做对了什么？ ）
（背景补充：Worldcoin乱象》中国找柬埔寨人扫虹膜「领空投」，黑市代领一次30镁 ）

慢雾科技资安长 23pds 今 (26) 日发布推文警告，购买认证完成的 Gmail 帐号操作 WorldCoin 可能有资金被盗风险。

加密货币项目 Worldcoin 是由人工智慧公司 OpenAI 创办人 Sam Altman 共同创办的，才于昨 (25) 日晚间宣布完成 C轮融资，募得 1.15 亿美元。随着 WorldCoin 项目走红，对于资安骗局的担忧也随之出现。

延伸阅读：Worldcoin 完成1.15亿镁C轮融资、a16z三度参投，OpenAI创办人做对了什么？

私钥明文备份在 Google 云端硬碟

据了解，符合条件的国家 / 地区的用户经过验证后，就可以使用 World App 钱包于每月免费获得 Worldcoin代币。在测试阶段，Worldcoin 代币将按周分发，未来预计代币上线后则改为每月分发。

由于世界上许多地区仍没有 Worldcoin 虹膜辨识设备 Orb，无法申请认证，因此许多希望获取 Worldcoin空投的人，或是空投工作室，转而购买认证完成的 Gmail 帐号进行操作。

然而值得注意的是，根据 WorldCoin 官网介绍，钱包私钥虽是「自行托管」，但是会直接将私钥明文备份在 Google 帐号的云端硬碟中。

23pds 正是认为此机制存在资安隐忧。他表示，当卖家提供 Gmail 帐号和密码供买家登录 WorldCoin 领取空投时，卖家仍有邮件转发、Key客户端登入等手法控制这个 Gmail 信箱。

也就是说，有心卖家只要刻意留后路，在日后登入该 Gmail 帐号，就能存取 WorldCoin 私钥，直接盗走钱包中的资产和所有代币。

此备份机制也引发外界讨论，使用 Google 云端硬碟储存私钥固然方便，但如此「中心化」且未经加密的作法是否将引发更多资安问题，违背了 Web3的「去中心化」本意。

走红过程争议不断

WorldCoin 期望打造全球化金融公平与普惠的开源协议之愿景，加上代币空投的热点，近期引发了大量关注。据 WorldCoin 官方说法，目前全球已有 150 万人加入 World App 的测试阶段，其中超过 50 万人每个月都使用这个 World App、每日有超过 10 万人进行约 60,000笔交易。

然而 WorldCoin 项目的推进过程却是争议不断，当前由于对隐私数据的安全隐患，已被许多国家禁用。此前甚至传出有中国 KYC商从柬埔寨、肯亚等地收集当地村民虹膜，进而低价将验证后的 World ID 卖给中国用户的负面消息。

延伸阅读：Worldcoin乱象》中国找柬埔寨人扫虹膜「领空投」，黑市代领一次30镁

将独一无二的虹膜资讯扫描转换为「人类护照」ID，究竟能否解决没有合法身份或无法通过数位方式验证身份的痛点？仍有待时间考验。

📍相关报导📍

Worldcoin 完成1.15亿镁C轮融资、a16z三度参投，OpenAI创办人做对了什么？

Worldcoin乱象》中国找柬埔寨人扫虹膜「领空投」，黑市代领一次30镁

观点》Worldcoin在低收入国家「假爱心援助」，强迫民众以0.14镁卖出个资