Worldcoin, un protocolo basado en blockchain, se ha sometido recientemente a dos auditorías de seguridad independientes realizadas por las reconocidas firmas de auditoría Nethermind y Least Authority. Las auditorías comenzaron en abril de 2023 y se centraron en varios aspectos del protocolo Worldcoin, incluidas sus construcciones criptográficas, contratos inteligentes y resistencia a posibles ataques. Los resultados de estas auditorías ya se han hecho públicos, lo que demuestra el compromiso de Worldcoin con la transparencia y la seguridad.

El protocolo de Worldcoin, que incluye componentes dentro y fuera de la cadena, se basa en Semaphore del grupo Ethereum PSE. La implementación del protocolo, incluido el uso de construcciones criptográficas y contratos inteligentes, está documentada en el libro blanco de Worldcoin.

El alcance de las auditorías

Las auditorías abarcaron una amplia gama de áreas, entre ellas la corrección de la implementación, errores de implementación comunes y específicos de cada caso, acciones adversas, almacenamiento seguro de claves y resistencia a ataques DDoS. Otras áreas de interés incluyeron posibles vulnerabilidades que conducen a acciones adversas, protección contra ataques maliciosos, problemas de rendimiento, privacidad de datos y permisos inadecuados.

La auditoría de Nethermind se centró en los contratos inteligentes del protocolo, que incluyen los contratos World ID, el puente de estado World ID, los contratos airdrop de ejemplo World ID, los contratos de concesión de tokens Worldcoin (WLD) y el contrato de token WLD ERC-20 y su billetera asociada. De los 26 elementos que surgieron durante esta evaluación de seguridad, el 92,6 % (24) se identificaron como corregidos después de la etapa de verificación, mientras que uno se mitigó y el restante se reconoció.

Por otro lado, Least Authority se concentró en el uso de la criptografía en el protocolo. Esto incluyó el protocolo Semaphore y las mejoras realizadas para escalar el protocolo de una manera más eficiente en términos de consumo de gas. El equipo identificó tres problemas y ofreció seis sugerencias, todas las cuales se han resuelto o tienen resoluciones planificadas. El informe de Least Authority afirmó: “Encontramos que el componente criptográfico del Protocolo Worldcoin está, en general, bien diseñado e implementado”.

En algunos casos, los elementos identificados se debieron a las dependencias del protocolo en Semaphore y Ethereum, como el soporte de precompilación de curva elíptica o la configuración de la función hash de Poseidon.

La historia de fondo de Worldcoin

Worldcoin saltó a la fama por primera vez en 2021 cuando anunció que regalaría tokens gratis a cualquier usuario que verificara su humanidad, lo que podrían hacer escaneando su iris con un dispositivo llamado "Orb". El proyecto fue cofundado por Sam Altman, cofundador del desarrollador de inteligencia artificial OpenAI. En ese momento, Altman y otros miembros del equipo argumentaron que los bots de inteligencia artificial se convertirían en un problema cada vez mayor en Internet si las personas no encontraban una forma de verificar su humanidad sin renunciar a su privacidad. Según la documentación del protocolo, The Orb produce un hash del escaneo del iris del usuario, pero no guarda una copia del escaneo del iris.

Controversias y críticas

Worldcoin inició su lanzamiento público el 25 de julio, después de casi dos años de desarrollo y pruebas beta. Pero las críticas al respecto estallaron casi de inmediato. Según se informa, la Oficina del Comisionado de Información del Reino Unido (ICO) dijo que el organismo gubernamental estaba decidiendo si investigar el proyecto por violar las leyes de protección de datos del país. La agencia francesa de protección de datos CNIL también cuestionó la legalidad de Worldcoin. La comunidad criptográfica estaba dividida sobre el lanzamiento del proyecto, y algunos participantes lo vieron como el comienzo de un futuro distópico donde se eliminaría la privacidad. En contraste, otros lo vieron como un paso necesario para proteger a los humanos contra las IA maliciosas.

Worldcoin tiene como objetivo establecer una prueba de personalidad que sea descentralizada, que preserve la privacidad, de código abierto y accesible para todos. La finalización exitosa de estas auditorías es un paso significativo hacia la consecución de este objetivo, lo que demuestra la solidez y seguridad del protocolo Worldcoin.