SharkTeam:Worldcoin运营数据及业务安全分析

Worldcoin的白皮书中声明,Worldcoin旨在构建一个连接全球人类的新型数字经济系统,由OpenAI创始人Sam Altman于2020年发起。通过区块链技术在Web3世界中实现更加公平、开放和包容的经济体系,并将所有权赋予每个人。并且希望让全世界每一个人都能有最低的生活保障,提高全民基本收入,迎接共同富裕的未来。于 2023年7月24日Sam在推特社交平台宣布,Worldcoin正式推出。

1.Worldcoin基本面

1.1 业务模型

Worldcoin包含三个组成部分:全球数字身份(World ID)、全球数字加密货币(WLD)和一个可以承载和运用World ID和WLD加密钱包(World App)。此外,通过区块链技术,Worldcoin将支持智能合约和去中心化应用(DApps)的发展。

2021 年 6 月,Worldcoin首次向大众公开,并完成了 2500 万美元融资,投资方包括a16z、Coinbase Ventures、LinkedIn 创始人 Reid Hoffman、Day One Ventures。2023年5月Worldcoin完成1.15 亿美元 C 轮融资,Blockchain Capital 领投,a16z、Bain Capital Crypto 和 Distributed Global 参投,估值达到 30 亿美金。

Worldcoin围绕基于生物识别技术构建的World ID身份识别系统展开叙事,用户通过生物识别设备Orb扫描虹膜,获得World ID,来证明自己的身份,Worldcoin声明采用零知识证明保护用户的隐私。近年来,人工智能的迅速发展让人产生被AI替代的忧虑,因此真实、独特的人类身份证明成为极为重要的课题,Worldcoin提出了一种名为"人格证明"(Proof of Personhood,PoP)的概念,采用生物识别设备Orb,通过扫描用户虹膜来验证人的生物信息,通过零知识证明保证参与者的隐私,为人类未来提供一个可以区分人类和AI的解决方案。

在白皮书中,World ID被定义为加密经济的数字身份通行证,当前,全球范围内的数字经济互动很难实现,Worldcoin希望推动全世界所有人,随时随地都能获得World ID,参与全球数字经济、数字治理。在未来,Worldcoin如果成功,参与者可以拥有和直接管理数字货币,实现即时、无边界的资金转账,并且不需要第三方机构。在情况紧急的时候,比如之前乌克兰难民危机期间,可以通过数字货币USDC直接援助,这对跨境金融交易产生较深远的影响,极大地提高的交易效率。

1.2技术实现

1.2.1如何注册World ID

图 1 Worldcoin生态的核心组件及交互流程

用户想要获得World ID, 图1涉及以下几个简单的步骤:

(1)下载World App

(2)定位最近的运营商,获得生物识别硬件Orb

(3)使用Orb采集虹膜图像,Orb设备确定某人是人类且身份唯一,使用神经网格将虹膜图像转化成哈希值(虹膜代码),并发送给注册服务器

(4)唯一性检查(Uniqueness service)验证这个代码与之前的代码足够不同,将身份承诺发送给注册排序器(Signup Sequencer)

(5)Sequencer服务器将用户身份证明的公匙插入以太坊主网上的默克尔树上

(6)用户得到有且仅有一个World ID

总的来说,用户通过Orb扫描虹膜,Orb和World App程序认证用户是真人,且虹膜代码与之前所有系统其他用户不一样,就把一个且仅有一个密钥放在列表上。用户得到一个World ID作为在Worldcoin生态系统的身份认证。但如果用户是机器人,不能把任何密钥放在列表上,也就得不到World ID。

1.2.2 Orb

为了能有效区分真实人类和虚拟个体或者AI用户,Worldcoin虹膜生物识别技术需要一套硬件设备Orb,由两个半球组成,具备两个核心技术:虹膜图像捕获和处理系统。采集用户虹膜,实现身份验证,这种生物特征识别的手段。

Worldcoin声明,出于对用户隐私安全方面的考虑,Worldcoin主要从以下两个方面做数据处理:被扫描的虹膜图像将会在Orb本地运行计算虹膜代码的算法,然后被删除,接着输出参与者的虹膜代码,这个代码不会与用户的任何信息关联,也不会与用户的加密钱包-以太坊钱包关联。另外,Worldcoin允许参与者永久删除原始生物识别数据(虹膜图像),用于保护用户的隐私和数据安全。

值得注意的是,Orb虹膜扫描身份认证,在实际操作和推广落地方面已暴露了一些隐患。比如在东南亚、非洲等地,已经出现Orb数据买卖的问题,比如账户黑市,只需 30 美金左右的价格就可以买到一个虹膜验证;村民扫描虹膜帮助完成World App注册之后,就可领取 20 美金的奖励。在 Worldcoin正式推出之后,就虹膜数据是否涉及隐私安全问题,相继受到部分国家相关监管部门的调查。现阶段Worldcoin采用的虹膜扫描生物识别硬件Orb是由Worldcoin基金会负责运营,硬件缺乏完全的去中心化,因此,即使软件层完美且完全去中心化,Worldcoin 基金会仍然有能力在系统中插入后门,创建任意多个虚假的人类身份。Orb在数据安全和隐私保护方面还需要进一步验证。

1.2.3 World App安全性(Android版本)

对如下版本World App的安全测试,我们发现如下安全风险。

APP名称:World App

版本号:V2.2.0.6

包名:com.worldcoin

SHA256: fe8c50821cf4b8dc434221532c1847ba4af63f4a99926a9487c6d0378dbf386d

(1)恶意代码注入漏洞

将APK注入恶意代码,重新编译成盗版APP发布到网上,用于钓鱼攻击。测试中注入了获取通讯录的代码,可以将通讯录上传到私服。同时也可以上传手机相册、文件、账号密码等等各种信息到私服,导致隐私泄露,账号资产被盗等。

(2)源代码泄露风险

虽然对一些包名做了混淆处理,但是class中代码清晰可见,有破解和漏洞利用风险。

(3)资源文件泄露风险

APP中的assets目录和res目录下的主要资源没有做保护,可以随意修改和利用。

(4)本地数据泄露风险

APP开发中将账号密码、key等重要数据存储在本地,没有加密存储,容易被一些恶意程序拿到文件以及关键信息,例如开发中用到的shared-preference、数据库等。

(5)Hook调试风险

使用Hook框架,攻击者可以绕过系统限制、修改别人发布的代码、模拟调用隐藏API、获取进程中的数据信息、插入恶意代码等。

总的来说,World App客户端做为具有金融属性的应用,没有做有效的安全策略,风险系数比较高。

1.3 WLD代币经济学

1.3.1 WLD的效用

Worldcoin(WLD)是ERC-20 代币,用户可以通过Orb确认自己是人类且具备唯一性,在World App上获得World ID,并且可以在 Optimism 主网上获得WLD资助。Worldcoin表示,用户未来将可以在World APP或者其他钱包应用中使用WLD来进行付款,汇款,转账,支付服务费,买卖商品等服务。除此之外,WLD还具有社区治理属性,World ID的一人一票,结合一代币一票,这两种机制组合成新的治理方式。Worldcoin基金会将在项目启动后,向社区征求意见,并且一起讨论如何将World ID和WLD在新的治理模式下交互运行。

虽然WLD同时具备支付和治理场景,但也存在安全隐患,前期WLD的分配非常集中,前6个地址持币量占比超过90%。

1.3.2 WLD总量&分配

Worldcoin代币在启动后的15年内,供应总量为100亿枚,15 年后,如果用户通过治理开启通胀模式,每年最大通胀率为 1.5%。初始启动时的最大流通供应量为 1.43 亿枚 WLD,其中1 亿枚借给在美国境外运营的做市商(贷款周期为 3 个月),4300 万枚分配给在项目 Pre-Launch 阶段使用 Orb 验证的用户。未来,75%的代币将分配给Worldcoin社区,剩下25%分配给TFH(Tools for Humanity,World App开发团队)和初始团队。其中,开发团队占比9.8%,投资者占比13.5%,另外预留了1.7% WLD代币为未来TFH发展做储备(具体分配情况如下图2)。

image.png

图2:Worldcoin代币初始分配占比

在 Worldcoin 实现去中心化和自给自足之前,Worldcoin 基金会将支持 Worldcoin 生态系统,将75%的代币通过社区分配给三个群体:首先是用户赠款,目标占比在60%及以上,包括1枚欢迎补助金和阶段常规性补助金(也被称为创世纪赠款),第一阶段(一般是启动一周内)是25枚WLD,而后的每一阶段的创世纪赠款随时间的推移预计会减少。

Worldcoin设计了一个理想的代币分配模型(如图3),但目前还存在很多不确定因素,如每周新用户认证数量、Worldcoin用户使用量、商家数量等。

image.png

图3:代币分配模型

1.3.3 WLD解锁&释放

关于 WLD 释放模型,有两个特点:用户赠款不被锁定,而团队和投资者代币会被锁定。图5显示了未来 15 年的 WLD 解锁计划。这15年内,Worldcoin社区的WLD代币的释放速度将由治理分配,主要影响因素是Worldcoin用户数量的增长速度。图4呈现了代币解锁的最早时间,并且100亿代币中,75亿分配给社区,25亿分配给TFH和初始团队。这其中社区WLD的释放模型会根据不同的时间段做区分,具体如表2所示。

image.png

图4:WLD代币释放模型

image.png

表2:Worldcoin社区在未来15年内每个时间段WLD释放模型

每个时间段内,释放速度相同,不同时间段释放速度不同,前几年释放速度较快,第10年之后趋于平缓。根据ChainAegis数据分析,截至8月2日,WLD总释放量达到5.29亿。

1.3.4 Worldcoin智能合约安全

Worldcoin智能合约虽然经过了审计,但合约中在权限和中心化方面仍然存在一些风险项。

在World ID合约中,WorldIDIdentityManagerImplV1合约继承了openzeppelin中的Ownable2StepUpgradeable合约。其中定义了中心化账户_owner账户以及限制只能_owner账户调用函数的onlyOwner修改器。

在WorldIDIdentityManagerImplV1合约中,多处使用到了onlyOwner修改器,尤其是涉及到一些状态变量的设置和修改函数。比如跟stateBridge相关的函数,在满足其他条件时,只能由_owner来调用函数才能有效。

还有其他的一些跟合约状态相关的设置、修改等函数。这些函数必须由_owner账户来调用,而且这些状态跟合约的运行状态、资产安全等有着密切的联系。一旦_owner账户的私钥被恶意的攻击者窃取,这将会对整个合约甚至项目带来巨大的经济损失,甚至是毁灭性打击。因此,妥善保存类似_owner的高权限中心化账户的私钥是项目方必须考虑的问题。

另外,也可以采用其他技术手段来缓解审计彻底解决这种中心化风险。包括但不限于:

(1)使用m-n多重签名。在n个账户中,只有其中的m个账户批准交易,交易才可以执行。

(2)在执行交易前,加入时间锁,只有通过一定的时间后,交易才能执行。这方便其他账户审核交易是否存在风险。只有安全的交易才能够顺利执行。

(3)使用DAO机制,再加上时间锁定等机制,可以彻底解决合约中的中心化风险。但也要预防DAO中存在的一些漏洞,如针对DAO的闪电贷攻击、治理攻击等。

1.运营数据

2.1注册情况

从2021年5月到2023年7月,超过200万人在30多个国家通过Orb设备验证了他们的World ID。具体分布如下方图5所示。很显然,认证的用户大多来自发展中国家,亚洲和非洲占比最高,均超过30%。7月25日消息,Worldcoin发推称,今年夏天和秋天将在全球超过35个城市扩展至1500个可用Orbs。

image.png

图5:全球Orb认证用户分布(由TFH提供)

据ChainAegis数据显示,截至8月5日Optimism链上持有WLD代币的Optimism钱包数量为408,721个,环比7月25号提升148%。最大的地址占比超一半,占据57%的供应量,并且前100持有者总共拥有95.08%的WLD。

2.2交易情况

2.2.1 币价、流通量、市值

7月24日 Worldcoin开盘之后币价随即大幅度拉升,最高涨至3.58美元,但在发布后的24小时之内持续性下跌,最低跌到1.66美元,在经历两天较大波动之后,币价稳定在2.3美元左右,且呈现较轻微地上升趋势(图6)。WLD的交易量在发布后24小时之内达到峰值6.47亿,随着Worldcoin话题热度降温,以及各国政府的监管政策实施,以及其相关负面新闻的播报影响,用户对WLD保持较理性的态度,交易量逐日下滑,于8月2日跌至1.14亿。

image.png

image.png

image.png

图6:WLD日交易流通数据

image.png

图7:WLD日流动性指标(该指标 = 交易量/市值)

为了分析交易量与市值的关系,这里引入流动性指标的概念。显然,WLD的流通性显著下滑,在7月底跌到0.5以下后在8月2日有小幅提升。综合来看,WLD因为上线时间短,流通性较其他加主流密货币低,且价格也较不稳定。

2.2.2 WLD交易情况

表3:WLD TOP10交易对均为WLD/USDT,具体8月3日当天近24小时的交易价格,交易量以及深度数据

表3为WLD于8月3日当天近24小时交易量排名TOP榜单,均为WLD/USDT交易对。最高的是WLD/USDT在币安交易所,交易量达到1,997万美元。

为了对WLD进行长周期观测,这里选取中心化交易所币安和去中心化交易所Uniswap分别来看每天的交易情况。币安交易所交易体量大,特别是WLD/USDT交易对,日交易量排名第一,并且第一天飙升至4,400万,随后逐天下滑,跌至500万以下,在八月初有小幅提升,但增势不强(见图8);而WLD/BTC交易量远小于WLD/USDT,交易走势相似。Uniswap V3在发布日爆发虽不及中心化交易所,但是在发布稳定后三天开始有较明显的提升,并且OP链交易量呈上升趋势(见图10、11)。

image.png

图8:WLD/USDT在币安交易所交易情况

image.png

图9:WLD/BTC在币安交易所交易情况

image.png

图10:WLD/USD在Uniswap V3交易情况

image.png

图11:WLD/USD在Uniswap V3交易情况

全球监管

Worldcoin正式推出以来,各国监管机构对这个项目进行了调查,具体的事件轴和调查机构分布如图12。

(1)英国在Worldcoin发布的第二天宣布对Worldcoin进行审查。

(2)法国隐私机构CNIL对Worldcoin生物识别数据收集和存储合法性保持怀疑态度,宣布展开调查。

(3)考虑到数据处理的数据是生物虹膜,数据较为敏感,且未来会大规模覆盖,德国数据监管机构在7月底宣布对其进行调查。

(4)肯尼亚是Worldcoin项目开启的核心地区,在发行后,当地财产、安全和数据保护服务机构在8月2号展开对其调查,并且肯尼亚内政部在Facebook页面发布暂停Worldcoin的运营。

(5)德国的右翼政党成员表示对Worldcoin采用的生物识别设备跟医疗无关,而是用于对全球监控,并且这种监控是永久地,涉及到扫描者生活方方面面,例如日常行为轨迹和购物习惯等。

图12:各国监管机构对Worldcoin项目调查时间轴

4.总结

Worldcoin作为去中心化的项目,有着广阔的愿景和野心,希望通过人格认证和公平空投席卷Web 3世界和数字经济时代。其技术背景Orb和POP机制相对历史的身份认证机制在抗欺诈和可扩展性方面具有一定优势,但是仍然存在隐私安全和合规风险,也受到各国监管部门的审查,需不断优化和改善。目前项目还在初期阶段,未来将会受诸多因素的影响,例如大规模硬件设备的制作,用户对新生物技术的接受度以及各地政府监管政策可行性。

在未来,加密技术、大数据和AI技术需要相互结合,提供更高效地技术支持和安全隐私保障,才能真正承载更多的用户和更丰富的使用场景,才能实现将全球数十亿人带入 Web 3 领域和数字经济时代的愿景。

关于我们

SharkTeam的愿景是全面保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约的底层理论,提供包括智能合约审计、链上分析、应急响应等服务。已与区块链生态系统各个领域的关键参与者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立长期合作关系。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/77037.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【iMessage频發软件苹果群发技术开源原创】当 APNs 发送通知到一个离线设备时,APNs 会把通知存储起来(一定的时间内),当设备上线时再递送给设备。

推荐内容IMESSGAE相关 作者✈️IMEAE推荐内容iMessage苹果推软件 *** 点击即可查看作者要求内容信息作者✈️IMEAE推荐内容1.家庭推内容 *** 点击即可查看作者要求内容信息作者✈️IMEAE推荐内容2.相册推 *** 点击即可查看作者要求内容信息作者✈️IMEAE推荐内容3.日历推 *** …

ATTCK覆盖度97.1%!360终端安全管理系统获赛可达认证

近日,国际知名第三方网络安全检测服务机构——赛可达实验室(SKD Labs)发布最新测试报告,360终端安全管理系统以ATT&CK V12框架攻击技术覆盖面377个、覆盖度97.1%,勒索病毒、挖矿病毒检出率100%,误报率0…

数据分析 | 随机森林如何确定参数空间的搜索范围

1. 随机森林超参数 极其重要的三个超参数是必须要调整的,一般再加上两到三个其他超参数进行优化即可。 2. 学习曲线确定n_estimators搜索范围 首先导入必要的库,使用sklearn自带的房价预测数据集: import numpy as np import pandas as pd f…

Java数字化智慧工地管理云平台源码(人工智能、物联网、大数据)

智慧工地优势:"智慧工地”将施工企业现场视频管理、建筑起重机械安全监控、现场从业人员管理、物料管理、进度管理、扬尘噪声监测等现场设备有机、高效、科学、规范的结合起来真正实现工程项目业务流与现场各类监控源数据流的有效结合与深度配合,实…

css3-grid:grid 布局 / 基础使用

一、理解 grid 二、理解 css grid 布局 CSS Grid布局是一个二维的布局系统,它允许我们通过定义网格和网格中每个元素的位置和尺寸来进行页面布局。CSS Grid是一个非常强大的布局系统,它不仅可以用于构建网格布局,还可以用于定位元素&#xf…

解锁编程的新契机:深入探讨Kotlin Symbol Processor (KSP)的编写

解锁编程的新契机:深入探讨Kotlin Symbol Processor (KSP)的编写 1. 引言 随着软件开发领域的不断发展,新的工具和技术不断涌现,以满足开发者在构建高效、可维护和创新性的代码方面的需求。Kotlin Symbol Processor(KSP&#xf…

Actuator微服务信息完善-Eureka—SpringCloud(版)微服务学习教程(11)

一、Actuator是什么? Actuator是Springboot提供的用来对应用系统进行自省和监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。 在Springboot中使用Actuator监控非常简单,只需要在工程POM文件中引入…

VMware虚拟安装Ubuntu,然后切换Ubuntu内核版本

无论你选择哪种方法,一旦进入 GRUB 引导菜单,你应该能够选择需要的内核版本并启动系统。 打开终端:你可以通过按下 Ctrl Alt T 快捷键来打开终端。 使用 sudo:切换内核需要管理员权限,因此你需要使用 sudo 命令。首…

STM32存储左右互搏 I2C总线FATS读写EEPROM ZD24C1MA

STM32存储左右互搏 I2C总线FATS读写EEPROM ZD24C1MA 在较低容量存储领域,EEPROM是常用的存储介质,可以通过直接或者文件操作方式进行读写。不同容量的EEPROM的地址对应位数不同,在发送字节的格式上有所区别。EEPROM是非快速访问存储&#xf…

[C初阶笔记]P2

Git 1、Git是Linus为了帮助管理Linux内核开发 而开发的一个开放源码的分布式版本控制软件。 2、Git和TortoiseGit的作用。 Git中有各种命令行操作,来维护代码,可以将代码推送到代码托管平台。 TortoiseGit是将Git中各自命令行操作转化为图形化操作。 …

C语言好题解析(一)

目录 选择题1选择题2选择题3选择题4编程题一 选择题1 执行下面程序,正确的输出是( )int x 5, y 7; void swap() {int z;z x;x y;y z; } int main() {int x 3, y 8;swap();printf("%d,%d\n",x, y);return 0; }A: 5,7 B: …

Threejs学习03——实现随机多个三角形随机位置随机颜色展示效果

实现随机多个三角形随机位置随机颜色展示效果 这是一个非常简单基础的threejs的学习应用!本节主要介绍的是随机,随机位置以及随机颜色,我们使用的物体是三角形,通过一个三角形三个顶点每一个顶点通过xyz坐标来确定,则…

Java算法_ 检查对称树(LeetCode_Hot100)

题目描述:给你一个二叉树的根节点 , 检查它是否轴对称。root 获得更多?算法思路:代码文档,算法解析的私得。 运行效果 完整代码 /*** 2 * Author: LJJ* 3 * Date: 2023/8/17 8:47* 4*/ public class SymmetricTree {static class…

智慧水利利用4G物联网技术实现远程监测、控制、管理

智慧水利工业路由器是集合数据采集、实时监控、远程管理的4G物联网通讯设备,能够让传统水利系统实现智能化的实时监控和远程管理。工业路由器利用4G无线网络技术,能够实时传输数据和终端信息,为水利系统的运维提供有效的支持。 智慧水利系统是…

Linux知识点 -- Linux多线程(一)

Linux知识点 – Linux多线程(一) 文章目录 Linux知识点 -- Linux多线程(一)一、理解线程1.从资源角度理解线程2.执行流3.多线程编程4.线程的资源5.线程切换的成本更低6.线程的优缺点7.线程异常 二、线程控制1.clone函数2.线程异常…

Unity如何把游戏导出成手机安装包

文章目录 前言使用环境步骤添加场景构建APK 前言 本文章主要演示了,如何将制作好的游戏,导出成APK,安装到手机上。 使用环境 Unity2022。 步骤 首先打开你的项目,然后选择菜单栏的“File” > “Build Settings…”&#xf…

时序预测 | MATLAB实现基于CNN-BiLSTM卷积双向长短期记忆神经网络的时间序列预测-递归预测未来(多指标评价)

时序预测 | MATLAB实现基于CNN-BiLSTM卷积双向长短期记忆神经网络的时间序列预测-递归预测未来(多指标评价) 目录 时序预测 | MATLAB实现基于CNN-BiLSTM卷积双向长短期记忆神经网络的时间序列预测-递归预测未来(多指标评价)预测结果基本介绍程序设计参考资料 预测结果 基本介绍…

【使用 k 折叠交叉验证的卷积神经网络(CNN)】基于卷积神经网络的无特征EMG模式识别研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

使用GraphQL在Postman中进行API测试

GraphQL 是一种用于API的开源数据查询和操作语言,用于API的查询语言和运行时。它使客户端能够精确地指定其数据需求,并获得预测性地结果。GraphQL旨在提高API的效率、灵活性和可靠性。 Postman 是一款用于API开发的强大工具,它支持REST和Gra…

【LINUX相关】生成随机数(srand、/dev/random 和 /dev/urandom )

目录 一、问题背景二、修改方法2.1 修改种子2.2 使用linux中的 /dev/urandom 生成随机数 三、/dev/random 和 /dev/urandom 的原理3.1 参考连接3.2 重难点总结3.2.1 生成随机数的原理3.2.2 随机数生成器的结构3.2.3 二者的区别和选择 四、在代码的使用方法 一、问题背景 在一个…