Le protocole Worldcoin passe avec succès les audits de sécurité de Nethermind et de Least Authority

Worldcoin, un protocole basé sur la blockchain, a récemment fait l’objet de deux audits de sécurité distincts menés par les cabinets d’audit renommés Nethermind et Least Authority. Les audits ont débuté en avril 2023 et se sont concentrés sur divers aspects du protocole Worldcoin, notamment ses constructions cryptographiques, ses contrats intelligents et sa résistance aux attaques potentielles. Les résultats de ces audits ont désormais été rendus publics, démontrant l’engagement de Worldcoin en matière de transparence et de sécurité.
Le protocole de Worldcoin, qui comprend à la fois des composants hors chaîne et sur chaîne, est basé sur Semaphore du groupe Ethereum PSE. La mise en œuvre du protocole, y compris son utilisation de constructions cryptographiques et de contrats intelligents, est documentée dans le livre blanc de Worldcoin.
La portée des audits
Les audits ont porté sur un large éventail de domaines, notamment l'exactitude de la mise en œuvre, les erreurs de mise en œuvre courantes et spécifiques à chaque cas, les actions adverses, le stockage sécurisé des clés et la résistance aux attaques DDoS. Les autres domaines d'intérêt comprenaient les vulnérabilités potentielles conduisant à des actions adverses, la protection contre les attaques malveillantes, les problèmes de performances, la confidentialité des données et les autorisations inappropriées.
L’audit de Nethermind s’est concentré sur les contrats intelligents du protocole, qui comprennent les contrats World ID, le pont d’état World ID, les contrats d’exemple de largage aérien World ID, les contrats de subventions de jetons Worldcoin (WLD) et le contrat de jeton WLD ERC-20 et son portefeuille d’acquisition associé. Sur les 26 éléments qui ont fait surface au cours de cette évaluation de sécurité, 92,6 % (24) ont été identifiés comme corrigés après l’étape de vérification, tandis qu’un a été atténué et le reste a été reconnu.
Least Authority, quant à lui, s’est concentré sur l’utilisation de la cryptographie par le protocole. Cela incluait le protocole Semaphore et les améliorations apportées pour faire évoluer le protocole de manière plus efficace en termes de consommation de gaz. L’équipe a identifié trois problèmes et proposé six suggestions, qui ont toutes été résolues ou sont en cours de résolution. Le rapport de Least Authority indique : « Nous avons constaté que le composant cryptographique du protocole Worldcoin est généralement bien conçu et mis en œuvre. »
Dans certains cas, les éléments identifiés étaient dus aux dépendances du protocole sur Semaphore et Ethereum, comme la prise en charge de la précompilation de courbes elliptiques ou la configuration de la fonction de hachage Poseidon.
L'histoire de Worldcoin
Worldcoin s’est fait connaître en 2021 lorsqu’elle a annoncé qu’elle offrirait des jetons gratuits à tous les utilisateurs qui vérifieraient leur humanité, ce qu’ils pourraient faire en faisant scanner leur iris par un appareil appelé « Orb ». Le projet a été cofondé par Sam Altman, le cofondateur du développeur d’IA OpenAI. À l’époque, Altman et d’autres membres de l’équipe affirmaient que les robots IA deviendraient un problème croissant sur Internet si les gens ne trouvaient pas un moyen de vérifier leur humanité sans renoncer à leur vie privée. Selon la documentation du protocole, The Orb produit un hachage du scan de l’iris de l’utilisateur mais n’en conserve pas de copie.
Controverses et critiques
Le lancement public de Worldcoin a eu lieu le 25 juillet, après près de deux ans de développement et de tests bêta. Mais les critiques ont immédiatement éclaté. Le Information Commissioner’s Office (ICO) du Royaume-Uni aurait déclaré que l’organisme gouvernemental était en train de décider s’il fallait enquêter sur le projet pour violation des lois nationales sur la protection des données. L’agence française de protection des données CNIL a également remis en question la légalité de Worldcoin. La communauté crypto était divisée sur le lancement du projet, certains participants y voyant le début d’un avenir dystopique où la vie privée serait éliminée. En revanche, d’autres y voyaient une étape nécessaire pour protéger les humains contre les IA malveillantes.
Worldcoin a pour objectif d'établir une preuve d'identité décentralisée, respectueuse de la vie privée, open source et accessible à tous. La réussite de ces audits constitue une étape importante vers la réalisation de cet objectif, démontrant la robustesse et la sécurité du protocole Worldcoin.