Worldcoin, protokół oparty na blockchainie, niedawno przeszedł dwa oddzielne audyty bezpieczeństwa przeprowadzone przez renomowane firmy audytorskie Nethermind i Least Authority. Audyty rozpoczęły się w kwietniu 2023 r. i koncentrowały się na różnych aspektach protokołu Worldcoin, w tym na jego konstrukcjach kryptograficznych, inteligentnych kontraktach i odporności na potencjalne ataki. Wyniki tych audytów zostały teraz upublicznione, co pokazuje zaangażowanie Worldcoin w przejrzystość i bezpieczeństwo.

Protokół Worldcoin, który obejmuje zarówno komponenty pozałańcuchowe, jak i w łańcuchu, opiera się na Semaphore z grupy Ethereum PSE. Implementacja protokołu, w tym wykorzystanie konstrukcji kryptograficznych i inteligentnych kontraktów, jest udokumentowana w białej księdze Worldcoin.

Zakres audytów

Audyty obejmowały szeroki zakres obszarów, w tym poprawność implementacji, typowe i specyficzne dla danego przypadku błędy implementacji, działania przeciwników, bezpieczne przechowywanie kluczy i odporność na ataki DDoS. Inne obszary zainteresowania obejmowały potencjalne luki prowadzące do działań przeciwników, ochronę przed złośliwymi atakami, problemy z wydajnością, prywatność danych i niewłaściwe uprawnienia.

Audyt Nethermind skupił się na inteligentnych kontraktach protokołu, które obejmują kontrakty World ID, most stanowy World ID, przykładowe kontrakty airdrop World ID, kontrakty grantów tokenów Worldcoin (WLD) oraz kontrakt tokena WLD ERC-20 i powiązany z nim portfel nabywczy. Spośród 26 pozycji, które pojawiły się podczas tej oceny bezpieczeństwa, 92,6% (24) zostało zidentyfikowanych jako naprawione po etapie weryfikacji, podczas gdy jeden został złagodzony, a pozostały został potwierdzony.

Z drugiej strony Least Authority skupiło się na wykorzystaniu kryptografii przez protokół. Obejmowało to protokół Semaphore i ulepszenia wprowadzone w celu skalowania protokołu w sposób bardziej wydajny pod względem zużycia gazu. Zespół zidentyfikował trzy problemy i zaproponował sześć sugestii, z których wszystkie zostały rozwiązane lub mają zaplanowane rozwiązania. W raporcie Least Authority stwierdzono: „Odkryliśmy, że kryptograficzny komponent protokołu Worldcoin jest ogólnie dobrze zaprojektowany i wdrożony”.

W niektórych przypadkach zidentyfikowane elementy wynikały z zależności protokołu od Semaphore i Ethereum, takich jak obsługa wstępnej kompilacji krzywych eliptycznych lub konfiguracja funkcji skrótu Poseidon.

Historia Worldcoin

Worldcoin po raz pierwszy zyskał na znaczeniu w 2021 r., kiedy ogłosił, że rozda darmowe tokeny wszystkim użytkownikom, którzy potwierdzą swoją przynależność do gatunku ludzkiego, co można zrobić, skanując tęczówkę oka za pomocą urządzenia o nazwie „Orb”. Projekt został współzałożony przez Sama Altmana, współzałożyciela firmy OpenAI, zajmującej się tworzeniem sztucznej inteligencji. W tym czasie Altman i inni członkowie zespołu argumentowali, że boty AI staną się coraz większym problemem w Internecie, jeśli ludzie nie znajdą sposobu na potwierdzenie swojej przynależności do gatunku ludzkiego bez rezygnowania z prywatności. Zgodnie z dokumentacją protokołu, The Orb generuje skrót skanu tęczówki oka użytkownika, ale nie przechowuje kopii skanu tęczówki oka.

Kontrowersje i krytyka

Worldcoin zainicjował swoje publiczne uruchomienie 25 lipca, po prawie dwóch latach rozwoju i testów beta. Jednak krytyka wybuchła niemal natychmiast. Według doniesień brytyjskie Biuro Komisarza ds. Informacji (ICO) stwierdziło, że organ rządowy podejmuje decyzję o zbadaniu projektu pod kątem naruszenia krajowych przepisów o ochronie danych. Francuska agencja ochrony danych CNIL również zakwestionowała legalność Worldcoin. Społeczność kryptowalut była podzielona w sprawie uruchomienia projektu, a niektórzy uczestnicy widzieli w nim początek dystopijnej przyszłości, w której prywatność zostanie wyeliminowana. Z kolei inni postrzegali go jako konieczny krok w kierunku ochrony ludzi przed złośliwymi SI.

Worldcoin ma na celu ustanowienie dowodu osobowości, który jest zdecentralizowany, chroniący prywatność, open-source i dostępny dla każdego. Pomyślne zakończenie tych audytów jest znaczącym krokiem w kierunku osiągnięcia tego celu, demonstrując solidność i bezpieczeństwo protokołu Worldcoin.