danh hiệu cấp một

tiêu đề phụ

1.1 Mô hình kinh doanh

Worldcoin bao gồm ba thành phần: danh tính kỹ thuật số toàn cầu (World ID), tiền điện tử kỹ thuật số toàn cầu (WLD) và ví được mã hóa (World App) có thể mang và sử dụng World ID và WLD. Hơn nữa, thông qua công nghệ blockchain, Worldcoin sẽ hỗ trợ phát triển các hợp đồng thông minh và các ứng dụng phi tập trung (DApps).

Vào tháng 6 năm 2021, Worldcoin lần đầu tiên được ra mắt công chúng và hoàn thành khoản tài trợ trị giá 25 triệu đô la Mỹ. Các nhà đầu tư bao gồm a 16 z, Coinbase Ventures, người sáng lập LinkedIn Reid Hoffman và Day One Ventures. Vào tháng 5 năm 2023, Worldcoin đã hoàn thành vòng tài trợ Series C trị giá 115 triệu đô la Mỹ, do Blockchain Capital dẫn đầu, với sự tham gia của 16 z, Bain Capital Crypto và Distributed Global, với mức định giá 3 tỷ đô la Mỹ.

Worldcoin phát triển một câu chuyện xoay quanh hệ thống nhận dạng World ID dựa trên công nghệ sinh trắc học. Người dùng quét mống mắt của họ thông qua thiết bị sinh trắc học Orb để lấy World ID nhằm chứng minh danh tính của họ. Worldcoin tuyên bố rằng bằng chứng không kiến ​​thức được sử dụng để bảo vệ quyền riêng tư của người dùng. Trong những năm gần đây, sự phát triển nhanh chóng của trí tuệ nhân tạo khiến con người lo lắng về việc bị AI thay thế, do đó, việc chứng minh danh tính con người một cách xác thực và duy nhất đã trở thành một chủ đề cực kỳ quan trọng. Worldcoin đề xuất một phương pháp mang tên"bằng chứng về tính cách"Khái niệm (Bằng chứng về nhân cách, PoP) sử dụng thiết bị sinh trắc học Orb để xác minh thông tin sinh học của con người bằng cách quét mống mắt của người dùng và đảm bảo quyền riêng tư của người tham gia thông qua bằng chứng không có kiến ​​thức, cung cấp giải pháp cho tương lai của loài người có thể phân biệt được con người từ AI.

tiêu đề phụ

chữ

Mô tả hình ảnh

Hình 1 Các thành phần cốt lõi và quá trình tương tác của hệ sinh thái Worldcoin

Người dùng muốn lấy World ID, Hình 1 bao gồm các bước đơn giản sau:

• Tải xuống ứng dụng Thế giới

• Xác định vị trí nhà cung cấp dịch vụ gần nhất, nhận quả cầu phần cứng sinh trắc học

• Hình ảnh mống mắt được chụp bằng Orb, thiết bị Orb xác định rằng ai đó là con người và duy nhất, hình ảnh mống mắt được chuyển đổi thành giá trị băm (mã mống mắt) bằng Neural Mesh và gửi đến máy chủ đăng ký

• Dịch vụ Tính duy nhất xác minh rằng mã này đủ khác biệt so với mã trước đó để gửi Lời hứa nhận dạng tới Trình sắp xếp đăng ký

• Máy chủ Sequencer chèn khóa chung của chứng chỉ nhận dạng người dùng vào cây Merkle trên mạng chính Ethereum

• Người dùng nhận được một và chỉ một World ID

Nói chung, người dùng quét mống mắt thông qua Orb và các chương trình Orb và World App xác thực rằng người dùng là người thật và mã mống mắt khác với tất cả những người dùng khác của hệ thống trước đó và đặt một và chỉ một khóa trong danh sách. Người dùng lấy World ID làm xác thực danh tính trong hệ sinh thái Worldcoin. Nhưng nếu người dùng là robot, anh ta không thể đặt bất kỳ chìa khóa nào vào danh sách và sẽ không nhận được World ID.

1.2.2 Orb

Để phân biệt hiệu quả giữa người thật và người ảo hoặc người dùng AI, công nghệ sinh trắc học mống mắt Worldcoin yêu cầu một bộ thiết bị phần cứng Orb, bao gồm hai bán cầu và có hai công nghệ cốt lõi: hệ thống chụp và xử lý hình ảnh mống mắt. Thu thập mống mắt của người dùng để đạt được xác minh danh tính, đây là một phương tiện nhận dạng sinh trắc học.

Worldcoin cho biết, ngoài việc xem xét quyền riêng tư và bảo mật của người dùng, Worldcoin chủ yếu xử lý dữ liệu từ hai khía cạnh sau: hình ảnh mống mắt được quét sẽ chạy thuật toán tính mã mống mắt cục bộ trong Orb, sau đó xóa đi và xuất ra Iris của người tham gia. mã, mã này sẽ không liên kết với bất kỳ thông tin nào của người dùng, cũng như không liên kết với ví được mã hóa của người dùng - ví Ethereum. Ngoài ra, Worldcoin cho phép người tham gia xóa vĩnh viễn dữ liệu sinh trắc học gốc (hình ảnh mống mắt) để bảo vệ quyền riêng tư và bảo mật dữ liệu của người dùng.

Điều đáng chú ý là việc xác thực danh tính quét mống mắt của Orb đã bộc lộ một số mối nguy hiểm tiềm ẩn trong hoạt động và quảng bá thực tế. Ví dụ: ở Đông Nam Á, Châu Phi và những nơi khác, đã xảy ra vấn đề với việc giao dịch dữ liệu Orb. Ví dụ: trên thị trường tài khoản chợ đen, bạn có thể mua xác minh mống mắt chỉ với khoảng 30 đô la Mỹ, dân làng có thể nhận được 20 đô la Mỹ sau khi quét. tròng mắt của họ để giúp hoàn thành phần thưởng đăng ký Ứng dụng Thế giới. Sau khi Worldcoin ra mắt chính thức, liệu dữ liệu mống mắt có liên quan đến các vấn đề về quyền riêng tư và bảo mật hay không đã được các cơ quan quản lý có liên quan ở một số quốc gia điều tra. Ở giai đoạn này, Orb phần cứng sinh trắc học quét mống mắt mà Worldcoin sử dụng được vận hành bởi Worldcoin Foundation và phần cứng thiếu sự phân quyền hoàn toàn, do đó, ngay cả khi lớp phần mềm hoàn hảo và phi tập trung hoàn toàn, Worldcoin Foundation vẫn có khả năng chèn các cửa hậu vào hệ thống, tạo ra vô số danh tính giả của con người. Orb cần xác minh thêm về bảo mật dữ liệu và bảo vệ quyền riêng tư.

1.2.3 Bảo mật ứng dụng thế giới (Phiên bản Android)

Chúng tôi đã tìm thấy những rủi ro bảo mật sau trong các thử nghiệm bảo mật của các phiên bản sau của World App.

Tên ứng dụng: Ứng dụng thế giới

Số phiên bản: V 2.2.0.6

Tên gói: com.worldcoin

SHA 256: fe8c50821cf4b8dc434221532c1847ba4af63f4a99926a9487c6d0378dbf386d

(1) Lỗ hổng tiêm mã độc

Đưa mã độc vào APK, biên dịch lại thành APP lậu và xuất bản lên Internet để thực hiện các cuộc tấn công lừa đảo. Mã để lấy sổ địa chỉ đã được đưa vào thử nghiệm và sổ địa chỉ có thể được tải lên máy chủ riêng. Đồng thời, nhiều thông tin khác nhau như album ảnh trên điện thoại di động, tập tin, mật khẩu tài khoản, v.v. có thể được tải lên máy chủ riêng, dẫn đến rò rỉ quyền riêng tư và tài sản tài khoản bị đánh cắp.

(2) Nguy cơ rò rỉ mã nguồn

Mặc dù một số tên gói đã bị xáo trộn nhưng mã trong lớp vẫn hiển thị rõ ràng và có nguy cơ bị bẻ khóa và khai thác.

(3) Nguy cơ rò rỉ file tài nguyên

Các tài nguyên chính trong thư mục nội dung và thư mục res trong APP không được bảo vệ và có thể được sửa đổi và sử dụng theo ý muốn.

(4) Nguy cơ rò rỉ dữ liệu cục bộ

Trong quá trình phát triển APP, dữ liệu quan trọng như mật khẩu tài khoản và khóa được lưu trữ cục bộ mà không cần lưu trữ được mã hóa, đồng thời một số chương trình độc hại có thể dễ dàng lấy được các tệp và thông tin chính, chẳng hạn như tùy chọn chia sẻ và cơ sở dữ liệu được sử dụng trong quá trình phát triển.

(5) Rủi ro gỡ lỗi hook

Bằng cách sử dụng khung Hook, kẻ tấn công có thể bỏ qua các hạn chế của hệ thống, sửa đổi mã do người khác xuất bản, mô phỏng lệnh gọi đến các API ẩn, lấy thông tin dữ liệu trong quy trình, chèn mã độc, v.v.

tiêu đề phụ

chữ

1.3.1 Tiện ích của WLD

Worldcoin (WLD) là mã thông báo ERC-20. Người dùng có thể xác nhận rằng họ là con người và là duy nhất thông qua Orb, nhận World ID trên World App và nhận tài trợ WLD trên mạng chính Optimism. Worldcoin cho biết trong tương lai, người dùng sẽ có thể sử dụng WLD trong World APP hoặc các ứng dụng ví khác để thanh toán, chuyển tiền, chuyển khoản, thanh toán phí dịch vụ, mua bán hàng hóa và các dịch vụ khác. Ngoài ra, WLD còn có thuộc tính quản trị cộng đồng, World ID một người, một phiếu, kết hợp với một token, một phiếu, hai cơ chế này được kết hợp thành một phương thức quản trị mới. Worldcoin Foundation sẽ thu thập ý kiến ​​từ cộng đồng sau khi dự án được triển khai và thảo luận cách vận hành World ID và WLD một cách tương tác theo mô hình quản trị mới.

Mặc dù WLD có cả kịch bản thanh toán và quản trị nhưng cũng có những rủi ro về bảo mật. Việc phân phối WLD trong giai đoạn đầu rất tập trung và 6 địa chỉ đầu tiên chiếm hơn 90% lượng tiền nắm giữ.

1.3.2 Tổng WLD & Phân bổ

Mô tả hình ảnh

Hình 2: Tỷ lệ phân bổ ban đầu của Worldcoin Token

Cho đến khi Worldcoin được phân cấp và tự cung cấp, Worldcoin Foundation sẽ hỗ trợ hệ sinh thái Worldcoin bằng cách phân phối 75% số token thông qua cộng đồng cho ba nhóm: Thứ nhất, trợ cấp cho người dùng, với mục tiêu từ 60% trở lên, bao gồm 1 trợ cấp chào mừng và cấp thường xuyên giai đoạn (còn gọi là cấp Genesis), giai đoạn đầu tiên (thường trong vòng một tuần kể từ khi ra mắt) là 25 WLD, và cấp Genesis cho mỗi giai đoạn tiếp theo được ước tính theo thời gian sẽ giảm dần.

Mô tả hình ảnh

chữ

1.3.3 Mở khóa và giải phóng WLD

Mô tả hình ảnh

Hình 4: Mô hình phát hành mã thông báo WLD

Mô tả hình ảnh

Bảng 2: Mô hình phát hành WLD của cộng đồng Worldcoin theo từng khoảng thời gian trong 15 năm tới

chữ

1.3.4 Bảo mật hợp đồng thông minh Worldcoin

Mặc dù hợp đồng thông minh Worldcoin đã được kiểm toán nhưng vẫn tồn tại một số rủi ro về thẩm quyền và tính tập trung trong hợp đồng.

Trong hợp đồng World ID, hợp đồng WorldIDIdentityManagerImplV1 kế thừa hợp đồng Ownable2StepUpgradeable trong openzeppelin. Nó xác định tài khoản _owner tài khoản tập trung và công cụ sửa đổi onlyOwner chỉ hạn chế tài khoản _owner gọi hàm.

Trong hợp đồng WorldIDIdentityManagerImplV1, công cụ sửa đổi onlyOwner được sử dụng ở nhiều nơi, đặc biệt khi nó liên quan đến chức năng cài đặt và sửa đổi của một số biến trạng thái. Ví dụ: các hàm liên quan đến stateBridge chỉ có thể hợp lệ khi các điều kiện khác được đáp ứng và các hàm chỉ có thể được gọi bởi _owner.

Có các chức năng khác như cài đặt và sửa đổi liên quan đến trạng thái hợp đồng. Các chức năng này phải được gọi bởi tài khoản _owner và các trạng thái này có liên quan chặt chẽ đến trạng thái hoạt động của hợp đồng, bảo mật tài sản, v.v. Một khi khóa riêng của tài khoản _owner bị kẻ tấn công ác ý đánh cắp, nó sẽ mang lại thiệt hại kinh tế to lớn hoặc thậm chí là đòn tàn khốc cho toàn bộ hợp đồng và thậm chí cả dự án. Do đó, việc giữ đúng khóa riêng của các tài khoản tập trung có thẩm quyền cao như _owner là vấn đề mà bên dự án phải cân nhắc.

Ngoài ra, các phương tiện kỹ thuật khác cũng có thể được sử dụng để giảm bớt công tác kiểm toán và giải quyết triệt để rủi ro tập trung này. bao gồm nhưng không giới hạn trong:

(1) Sử dụng mn đa chữ ký. Trong số n tài khoản, giao dịch chỉ có thể được thực hiện nếu m tài khoản trong số đó chấp thuận giao dịch.

(2) Trước khi thực hiện giao dịch, hãy thêm khóa thời gian và chỉ sau một khoảng thời gian nhất định, giao dịch mới có thể được thực hiện. Điều này giúp các tài khoản khác dễ dàng xem xét rủi ro hơn trong giao dịch. Chỉ những giao dịch an toàn mới có thể được thực hiện suôn sẻ.

danh hiệu cấp một

tiêu đề phụ

2.1 Tình trạng đăng ký

Mô tả hình ảnh

Hình 5: Phân bổ toàn cầu của người dùng được chứng nhận Orb (do TFH cung cấp)

tiêu đề phụ

2.2 Trạng thái giao dịch

2.2.1 Giá tiền, lưu thông, giá trị thị trường

Mô tả hình ảnh

Mô tả hình ảnh

Hình 7: Chỉ báo thanh khoản hàng ngày của WLD (chỉ báo này = khối lượng giao dịch/vốn hóa thị trường)

Để phân tích mối quan hệ giữa khối lượng giao dịch và giá trị thị trường, khái niệm chỉ số thanh khoản được đưa ra ở đây. Rõ ràng, thanh khoản của WLD đã giảm đáng kể và đã cải thiện đôi chút vào ngày 2 tháng 8 sau khi giảm xuống dưới 0,5 vào cuối tháng 7. Nhìn chung, WLD có lượng lưu thông thấp hơn so với các loại tiền điện tử chính thống khác do thời gian trực tuyến ngắn và giá của nó cũng tương đối không ổn định.

Mô tả hình ảnh

Bảng 3: Top 10 cặp giao dịch WLD đều là WLD/USDT, giá giao dịch cụ thể, khối lượng giao dịch và dữ liệu chuyên sâu trong 24 giờ qua ngày 3/8

Bảng 3 là danh sách TOP xếp hạng khối lượng giao dịch của WLD trong 24 giờ qua ngày 3/8, tất cả đều là các cặp giao dịch WLD/USDT. Cao nhất là WLD/USDT trên sàn giao dịch Binance với khối lượng giao dịch là 19,97 triệu USD.

Mô tả hình ảnh

Mô tả hình ảnh

Mô tả hình ảnh

Mô tả hình ảnh

danh hiệu cấp một

3. Quy định toàn cầu

Kể từ khi Worldcoin chính thức ra mắt, các cơ quan quản lý ở nhiều quốc gia đã tiến hành điều tra dự án này, trục sự kiện cụ thể và sự phân bổ của các cơ quan điều tra được thể hiện trong Hình 12.

(1) Vương quốc Anh công bố đánh giá Worldcoin một ngày sau khi Worldcoin được phát hành.

(2) Cơ quan bảo mật CNIL của Pháp nghi ngờ tính hợp pháp của việc thu thập và lưu trữ dữ liệu sinh trắc học của Worldcoin và đã công bố một cuộc điều tra.

(3) Cho rằng dữ liệu được xử lý là mống mắt sinh học, dữ liệu tương đối nhạy cảm và sẽ được bao phủ trên quy mô lớn trong tương lai, cơ quan quản lý dữ liệu của Đức đã công bố một cuộc điều tra vào cuối tháng 7.

(4) Kenya là khu vực cốt lõi nơi dự án Worldcoin được triển khai. Sau khi phát hành, cơ quan dịch vụ bảo vệ dữ liệu, an ninh và tài sản địa phương đã mở một cuộc điều tra về dự án này vào ngày 2 tháng 8 và Bộ Nội vụ Kenya đã thông báo trên trang Facebook rằng hoạt động của Worldcoin đã bị đình chỉ.

Mô tả hình ảnh

danh hiệu cấp một

4. Tóm tắt

Là một dự án phi tập trung, Worldcoin có tầm nhìn và tham vọng rộng lớn, hy vọng sẽ càn quét thế giới Web 3 và kỷ nguyên nền kinh tế kỹ thuật số thông qua xác thực nhân cách và các đợt airdrop công bằng. Nền tảng kỹ thuật của nó Cơ chế Orb và POP có những lợi thế nhất định về chống gian lận và khả năng mở rộng so với cơ chế xác thực danh tính lịch sử, nhưng vẫn có những rủi ro về tuân thủ và bảo mật quyền riêng tư, đồng thời cũng phải được cơ quan quản lý ở nhiều quốc gia xem xét và cần phải liên tục được tối ưu hóa và cải tiến. Hiện tại, dự án vẫn đang ở giai đoạn đầu và tương lai sẽ bị ảnh hưởng bởi nhiều yếu tố, như việc sản xuất thiết bị phần cứng quy mô lớn, sự chấp nhận của người dùng đối với công nghệ sinh học mới và tính khả thi của các chính sách quản lý của chính quyền địa phương.

về chúng tôi

về chúng tôi

Tầm nhìn của SharkTeam là bảo mật hoàn toàn thế giới Web 3. Nhóm bao gồm các chuyên gia bảo mật giàu kinh nghiệm và các nhà nghiên cứu cấp cao từ khắp nơi trên thế giới. Họ thành thạo lý thuyết cơ bản về blockchain và hợp đồng thông minh, đồng thời cung cấp các dịch vụ bao gồm kiểm toán hợp đồng thông minh, phân tích trên chuỗi và ứng phó khẩn cấp. Nó đã thiết lập mối quan hệ hợp tác lâu dài với những người chơi chủ chốt trong các lĩnh vực khác nhau của hệ sinh thái blockchain, như Polkadot, Moonbeam, Polygon, OKC, Huobi Global, imToken, ChainIDE, v.v.

Trang web chính thức: https://www.sharkteam.org