SharkTeam：Worldcoin運營數據及業務安全分析

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

SharkTeam：Worldcoin運營數據及業務安全分析

SharkTeam

2023-08-08 07:51

本文约5278字，阅读全文需要约21分钟

Worldcoin項目安全分析報告。

一級標題

二級標題

一級標題

二級標題

二級標題"1.1 業務模型"二級標題

二級標題

正文

圖片描述

正文

圖片描述
圖片描述
圖1 Worldcoin 生態的核心組件及交互流程
用戶想要獲得World ID, 圖1 涉及以下幾個簡單的步驟：
下載World App
定位最近的運營商，獲得生物識別硬件Orb

使用Orb 採集虹膜圖像，Orb 設備確定某人是人類且身份唯一，使用神經網格將虹膜圖像轉化成哈希值（虹膜代碼），並發送給註冊服務器

1.2.2 Orb

唯一性檢查（Uniqueness service）驗證這個代碼與之前的代碼足夠不同，將身份承諾發送給註冊排序器（Signup Sequencer）

Sequencer 服務器將用戶身份證明的公匙插入以太坊主網上的默克爾樹上

用戶得到有且僅有一個World ID

總的來說，用戶通過Orb 掃描虹膜，Orb 和World App 程序認證用戶是真人，且虹膜代碼與之前所有系統其他用戶不一樣，就把一個且僅有一個密鑰放在列表上。用戶得到一個World ID 作為在Worldcoin 生態系統的身份認證。但如果用戶是機器人，不能把任何密鑰放在列表上，也就得不到World ID。

為了能有效區分真實人類和虛擬個體或者AI 用戶，Worldcoin 虹膜生物識別技術需要一套硬件設備Orb，由兩個半球組成，具備兩個核心技術：虹膜圖像捕獲和處理系統。採集用戶虹膜，實現身份驗證，這種生物特徵識別的手段。

Worldcoin 聲明，出於對用戶隱私安全方面的考慮，Worldcoin 主要從以下兩個方面做數據處理：被掃描的虹膜圖像將會在Orb 本地運行計算虹膜代碼的算法，然後被刪除，接著輸出參與者的虹膜代碼，這個代碼不會與用戶的任何信息關聯，也不會與用戶的加密錢包-以太坊錢包關聯。另外，Worldcoin 允許參與者永久刪除原始生物識別數據（虹膜圖像），用於保護用戶的隱私和數據安全。

1.2.3 World App 安全性（Android 版本）

包名：com.worldcoin

SHA 256: fe8c50821cf4b8dc434221532c1847ba4af63f4a99926a9487c6d0378dbf386d

對如下版本World App 的安全測試，我們發現如下安全風險。

APP 名稱：World App

版本號：V 2.2.0.6

包名：com.worldcoin

（1）惡意代碼注入漏洞

將APK 注入惡意代碼，重新編譯成盜版APP 發佈到網上，用於釣魚攻擊。測試中註入了獲取通訊錄的代碼，可以將通訊錄上傳到私服。同時也可以上傳手機相冊、文件、賬號密碼等等各種信息到私服，導致隱私洩露，賬號資產被盜等。

（2）源代碼洩露風險

雖然對一些包名做了混淆處理，但是class 中代碼清晰可見，有破解和漏洞利用風險。

（3）資源文件洩露風險

使用Hook 框架，攻擊者可以繞過系統限制、修改別人發布的代碼、模擬調用隱藏API、獲取進程中的數據信息、插入惡意代碼等。

二級標題

正文

二級標題

二級標題

正文

Worldcoin（WLD）是ERC-20 代幣，用戶可以通過Orb 確認自己是人類且具備唯一性，在World App 上獲得World ID，並且可以在Optimism 主網上獲得WLD 資助。 Worldcoin 表示，用戶未來將可以在World APP 或者其他錢包應用中使用WLD 來進行付款，匯款，轉賬，支付服務費，買賣商品等服務。除此之外，WLD 還具有社區治理屬性，World ID 的一人一票，結合一代幣一票，這兩種機制組合成新的治理方式。 Worldcoin 基金會將在項目啟動後，向社區徵求意見，並且一起討論如何將World ID 和WLD 在新的治理模式下交互運行。

圖片描述

雖然WLD 同時具備支付和治理場景，但也存在安全隱患，前期WLD 的分配非常集中，前6 個地址持幣量佔比超過90% 。

在Worldcoin 實現去中心化和自給自足之前，Worldcoin 基金會將支持Worldcoin 生態系統，將75% 的代幣通過社區分配給三個群體：首先是用戶贈款，目標佔比在60% 及以上，包括1 枚歡迎補助金和階段常規性補助金（也被稱為創世紀贈款），第一階段（一般是啟動一周內）是25 枚WLD，而後的每一階段的創世紀贈款隨時間的推移預計會減少。

圖片描述

正文

圖片描述

正文

圖片描述

表2 ：Worldcoin 社區在未來15 年內每個時間段WLD 釋放模型

正文

1.3.4 Worldcoin 智能合約安全

Worldcoin 智能合約雖然經過了審計，但合約中在權限和中心化方面仍然存在一些風險項。

在World ID 合約中，WorldIDIdentityManagerImplV1合約繼承了openzeppelin 中的Ownable2StepUpgradeable合約。其中定義了中心化賬戶_owner 賬戶以及限制只能_owner 賬戶調用函數的onlyOwner 修改器。

（2）在執行交易前，加入時間鎖，只有通過一定的時間後，交易才能執行。這方便其他賬戶審核交易是否存在風險。只有安全的交易才能夠順利執行。

一級標題

二級標題

圖片描述

二級標題

圖片描述

2.2.1 幣價、流通量、市值

圖片描述

圖7 ：WLD 日流動性指標（該指標= 交易量/市值）

圖片描述

一級標題

圖片描述

一級標題

3.全球監管

（4）肯尼亞是Worldcoin 項目開啟的核心地區，在發行後，當地財產、安全和數據保護服務機構在8 月2 號展開對其調查，並且肯尼亞內政部在Facebook 頁面發布暫停Worldcoin 的運營。

圖片描述

一級標題

圖片描述

4.總結

關於我們

Worldcoin 作為去中心化的項目，有著廣闊的願景和野心，希望通過人格認證和公平空投席捲Web 3 世界和數字經濟時代。其技術背景Orb 和POP 機制相對歷史的身份認證機制在抗欺詐和可擴展性方面具有一定優勢，但是仍然存在隱私安全和合規風險，也受到各國監管部門的審查，需不斷優化和改善。目前項目還在初期階段，未來將會受諸多因素的影響，例如大規模硬件設備的製作，用戶對新生物技術的接受度以及各地政府監管政策可行性。

關於我們