Worldcoin, протокол на основе блокчейна, недавно прошел два отдельных аудита безопасности, проведенных известными аудиторскими фирмами Nethermind и Least Authority. Аудиты начались в апреле 2023 года и были сосредоточены на различных аспектах протокола Worldcoin, включая его криптографические конструкции, смарт-контракты и устойчивость к потенциальным атакам. Результаты этих аудитов теперь обнародованы, что демонстрирует приверженность Worldcoin прозрачности и безопасности.
Протокол Worldcoin, включающий как оффчейн, так и ончейн компоненты, основан на Semaphore из группы Ethereum PSE. Реализация протокола, включая использование криптографических конструкций и смарт-контрактов, задокументирована в whitepaper Worldcoin.
Объем аудита
Аудиты охватывали широкий спектр областей, включая правильность реализации, общие и специфические для конкретного случая ошибки реализации, состязательные действия, безопасное хранение ключей и устойчивость к DDoS-атакам. Другие области фокусировки включали потенциальные уязвимости, ведущие к состязательным действиям, защиту от вредоносных атак, проблемы производительности, конфиденциальность данных и ненадлежащие разрешения.
Аудит Nethermind был сосредоточен на смарт-контрактах протокола, которые включают контракты World ID, мост состояния World ID, контракты Airdrop примера World ID, грантовые контракты токенов Worldcoin (WLD) и контракт токенов WLD ERC-20 и связанный с ним кошелек вестинга. Из 26 пунктов, которые были обнаружены в ходе этой оценки безопасности, 92,6% (24) были идентифицированы как исправленные после этапа проверки, в то время как один был смягчен, а оставшийся был признан.
Least Authority, с другой стороны, сосредоточился на использовании протоколом криптографии. Это включало протокол Semaphore и усовершенствования, внесенные для масштабирования протокола более экономичным способом. Команда выявила три проблемы и предложила шесть предложений, все из которых были решены или имеют запланированные решения. В отчете Least Authority говорилось: «Мы обнаружили, что криптографический компонент протокола Worldcoin в целом хорошо спроектирован и реализован».
В некоторых случаях выявленные элементы были обусловлены зависимостями протокола от Semaphore и Ethereum, такими как поддержка предварительной компиляции эллиптических кривых или конфигурация хэш-функции Poseidon.
Предыстория Worldcoin
Worldcoin впервые приобрел известность в 2021 году, когда объявил, что будет раздавать бесплатные токены всем пользователям, которые подтвердят свою человечность, что они могли сделать, отсканировав радужную оболочку глаза с помощью устройства под названием «Orb». Проект был соучредителем Сэма Альтмана, соучредителя разработчика ИИ OpenAI. В то время Альтман и другие члены команды утверждали, что ИИ-боты станут все большей проблемой в Интернете, если люди не найдут способ подтвердить свою человечность, не отказываясь от своей конфиденциальности. Согласно документации протокола, The Orb создает хэш сканирования радужной оболочки глаза пользователя, но не сохраняет копию сканирования радужной оболочки.
Споры и критика
Worldcoin начал свой публичный запуск 25 июля, после почти двух лет разработки и бета-тестирования. Но критика в его адрес разразилась почти сразу. Как сообщается, Управление комиссара по информации Соединенного Королевства (ICO) заявило, что правительственный орган решает, расследовать ли проект на предмет нарушения законов страны о защите данных. Французское агентство по защите данных CNIL также усомнилось в законности Worldcoin. Криптовалютное сообщество разделилось по поводу запуска проекта, некоторые участники увидели в нем начало антиутопического будущего, в котором конфиденциальность будет устранена. Напротив, другие увидели в нем необходимый шаг на пути к защите людей от вредоносного ИИ.
Worldcoin стремится создать доказательство личности, которое является децентрализованным, сохраняющим конфиденциальность, открытым и доступным для всех. Успешное завершение этих аудитов является значительным шагом на пути к достижению этой цели, демонстрируя надежность и безопасность протокола Worldcoin.