Worldcoin, protokol berbasis blockchain, baru-baru ini menjalani dua audit keamanan terpisah yang dilakukan oleh firma audit terkenal Nethermind dan Least Authority. Audit dimulai pada bulan April 2023 dan berfokus pada berbagai aspek protokol Worldcoin, termasuk konstruksi kriptografinya, kontrak pintar, dan ketahanan terhadap potensi serangan. Hasil audit ini kini telah dipublikasikan, menunjukkan komitmen Worldcoin terhadap transparansi dan keamanan.
Protokol Worldcoin, yang mencakup komponen off-chain dan on-chain, didasarkan pada Semaphore dari grup Ethereum PSE. Implementasi protokol, termasuk penggunaan konstruksi kriptografi dan kontrak pintar, didokumentasikan dalam whitepaper Worldcoin.
Ruang Lingkup Audit
Audit tersebut mencakup berbagai bidang, termasuk kebenaran implementasi, kesalahan implementasi umum dan khusus kasus, tindakan adversarial, penyimpanan kunci yang aman, dan ketahanan terhadap serangan DDoS. Bidang fokus lainnya mencakup potensi kerentanan yang mengarah pada tindakan adversarial, perlindungan terhadap serangan jahat, masalah kinerja, privasi data, dan izin yang tidak sesuai.
Audit Nethermind difokuskan pada kontrak pintar protokol, yang mencakup kontrak World ID, jembatan status World ID, kontrak contoh airdrop World ID, kontrak hibah token Worldcoin (WLD), dan kontrak token ERC-20 WLD beserta dompet vesting terkait. Dari 26 item yang muncul selama penilaian keamanan ini, 92,6% (24) diidentifikasi sebagai tetap setelah tahap verifikasi, sementara satu diringankan dan sisanya diakui.
Di sisi lain, Least Authority berkonsentrasi pada penggunaan kriptografi dalam protokol tersebut. Ini termasuk protokol Semaphore dan penyempurnaan yang dilakukan untuk meningkatkan skala protokol dengan cara yang lebih hemat gas. Tim tersebut mengidentifikasi tiga masalah dan menawarkan enam saran, yang semuanya telah diselesaikan atau memiliki resolusi yang direncanakan. Laporan Least Authority menyatakan, "Kami menemukan bahwa komponen kriptografi dari Protokol Worldcoin secara umum dirancang dan diimplementasikan dengan baik."
Dalam beberapa kasus, item yang diidentifikasi disebabkan oleh ketergantungan protokol pada Semaphore dan Ethereum, seperti dukungan prakompilasi kurva eliptik atau konfigurasi fungsi hash Poseidon.
Latar Belakang Worldcoin
Worldcoin pertama kali menjadi terkenal pada tahun 2021 ketika mengumumkan akan memberikan token gratis kepada setiap pengguna yang memverifikasi kemanusiaan mereka, yang dapat mereka lakukan dengan memindai iris mata mereka menggunakan perangkat yang disebut "Orb." Proyek ini didirikan bersama oleh Sam Altman, salah satu pendiri pengembang AI OpenAI. Saat itu, Altman dan anggota tim lainnya berpendapat bahwa bot AI akan menjadi masalah yang semakin besar di internet jika orang tidak menemukan cara untuk memverifikasi kemanusiaan mereka tanpa mengorbankan privasi mereka. Menurut dokumentasi protokol, The Orb menghasilkan hash dari pemindaian iris mata pengguna tetapi tidak menyimpan salinan pemindaian iris mata tersebut.
Kontroversi dan Kritik
Worldcoin memulai peluncuran publiknya pada tanggal 25 Juli, setelah hampir dua tahun pengembangan dan pengujian beta. Namun kritik terhadapnya langsung muncul. Kantor Komisioner Informasi (ICO) Inggris dilaporkan mengatakan bahwa badan pemerintah tersebut sedang memutuskan apakah akan menyelidiki proyek tersebut karena melanggar undang-undang perlindungan data negara tersebut. Badan perlindungan data Prancis CNIL juga mempertanyakan legalitas Worldcoin. Komunitas kripto terbagi atas peluncuran proyek tersebut, dengan beberapa peserta melihatnya sebagai awal dari masa depan dystopian di mana privasi akan dihilangkan. Sebaliknya, yang lain melihatnya sebagai langkah yang diperlukan untuk melindungi manusia dari AI yang jahat.
Worldcoin bertujuan untuk membangun bukti identitas pribadi yang terdesentralisasi, menjaga privasi, bersumber terbuka, dan dapat diakses oleh semua orang. Penyelesaian audit ini secara sukses merupakan langkah penting untuk mencapai tujuan ini, yang menunjukkan ketahanan dan keamanan protokol Worldcoin.