SharkTeam:Worldcoin運營數據及業務安全分析
Worldcoin的白皮書中聲明,Worldcoin旨在構建一個連接全球人類的新型數字經濟系統,由OpenAI創始人Sam Altman於2020年發起。通過區塊鏈技術在Web3世界中實現更加公平、开放和包容的經濟體系,並將所有權賦予每個人。並且希望讓全世界每一個人都能有最低的生活保障,提高全民基本收入,迎接共同富裕的未來。於 2023年7月24日Sam在推特社交平臺宣布,Worldcoin正式推出。
1. Worldcoin基本面
1.1 業務模型
Worldcoin包含三個組成部分:全球數字身份(World ID)、全球數字加密貨幣(WLD)和一個可以承載和運用World ID和WLD加密錢包(World App)。此外,通過區塊鏈技術,Worldcoin將支持智能合約和去中心化應用(DApps)的發展。
2021 年 6 月,Worldcoin首次向大衆公开,並完成了 2500 萬美元融資,投資方包括a16z、Coinbase Ventures、LinkedIn 創始人 Reid Hoffman、Day One Ventures。2023年5月Worldcoin完成1.15 億美元 C 輪融資,Blockchain Capital 領投,a16z、Bain Capital Crypto 和 Distributed Global 參投,估值達到 30 億美金。
Worldcoin圍繞基於生物識別技術構建的World ID身份識別系統展开敘事,用戶通過生物識別設備Orb掃描虹膜,獲得World ID,來證明自己的身份,Worldcoin聲明採用零知識證明保護用戶的隱私。近年來,人工智能的迅速發展讓人產生被AI替代的憂慮,因此真實、獨特的人類身份證明成為極為重要的課題,Worldcoin提出了一種名為"人格證明"(Proof of Personhood,PoP)的概念,採用生物識別設備Orb,通過掃描用戶虹膜來驗證人的生物信息,通過零知識證明保證參與者的隱私,為人類未來提供一個可以區分人類和AI的解決方案。
在白皮書中,World ID被定義為加密經濟的數字身份通行證,當前,全球範圍內的數字經濟互動很難實現,Worldcoin希望推動全世界所有人,隨時隨地都能獲得World ID,參與全球數字經濟、數字治理。在未來,Worldcoin如果成功,參與者可以擁有和直接管理數字貨幣,實現即時、無邊界的資金轉账,並且不需要第三方機構。在情況緊急的時候,比如之前烏克蘭難民危機期間,可以通過數字貨幣USDC直接援助,這對跨境金融交易產生較深遠的影響,極大地提高的交易效率。
1.2 技術實現
1.2.1如何注冊World ID
圖 1 Worldcoin生態的核心組件及交互流程
用戶想要獲得World ID, 圖1涉及以下幾個簡單的步驟:
下載World App
定位最近的運營商,獲得生物識別硬件Orb
使用Orb採集虹膜圖像,Orb設備確定某人是人類且身份唯一,使用神經網格將虹膜圖像轉化成哈希值(虹膜代碼),並發送給注冊服務器
唯一性檢查(Uniqueness service)驗證這個代碼與之前的代碼足夠不同,將身份承諾發送給注冊排序器(Signup Sequencer)
Sequencer服務器將用戶身份證明的公匙插入以太坊主網上的默克爾樹上
用戶得到有且僅有一個World ID
總的來說,用戶通過Orb掃描虹膜,Orb和World App程序認證用戶是真人,且虹膜代碼與之前所有系統其他用戶不一樣,就把一個且僅有一個密鑰放在列表上。用戶得到一個World ID作為在Worldcoin生態系統的身份認證。但如果用戶是機器人,不能把任何密鑰放在列表上,也就得不到World ID。
1.2.2 Orb
為了能有效區分真實人類和虛擬個體或者AI用戶,Worldcoin虹膜生物識別技術需要一套硬件設備Orb,由兩個半球組成,具備兩個核心技術:虹膜圖像捕獲和處理系統。採集用戶虹膜,實現身份驗證,這種生物特徵識別的手段。
Worldcoin聲明,出於對用戶隱私安全方面的考慮,Worldcoin主要從以下兩個方面做數據處理:被掃描的虹膜圖像將會在Orb本地運行計算虹膜代碼的算法,然後被刪除,接着輸出參與者的虹膜代碼,這個代碼不會與用戶的任何信息關聯,也不會與用戶的加密錢包-以太坊錢包關聯。另外,Worldcoin允許參與者永久刪除原始生物識別數據(虹膜圖像),用於保護用戶的隱私和數據安全。
值得注意的是,Orb虹膜掃描身份認證,在實際操作和推廣落地方面已暴露了一些隱患。比如在東南亞、非洲等地,已經出現Orb數據买賣的問題,比如账戶黑市,只需 30 美金左右的價格就可以买到一個虹膜驗證;村民掃描虹膜幫助完成World App注冊之後,就可領取 20 美金的獎勵。在 Worldcoin正式推出之後,就虹膜數據是否涉及隱私安全問題,相繼受到部分國家相關監管部門的調查。現階段Worldcoin採用的虹膜掃描生物識別硬件Orb是由Worldcoin基金會負責運營,硬件缺乏完全的去中心化,因此,即使軟件層完美且完全去中心化,Worldcoin 基金會仍然有能力在系統中插入後門,創建任意多個虛假的人類身份。Orb在數據安全和隱私保護方面還需要進一步驗證。
1.2.3 World App安全性(Android版本)
對如下版本World App的安全測試,我們發現如下安全風險。
APP名稱:World App
版本號:V2.2.0.6
包名:com.worldcoin
SHA256: fe8c50821cf4b8dc434221532c1847ba4af63f4a99926a9487c6d0378dbf386d
(1)惡意代碼注入漏洞
將APK注入惡意代碼,重新編譯成盜版APP發布到網上,用於釣魚攻擊。測試中注入了獲取通訊錄的代碼,可以將通訊錄上傳到私服。同時也可以上傳手機相冊、文件、账號密碼等等各種信息到私服,導致隱私泄露,账號資產被盜等。
(2)源代碼泄露風險
雖然對一些包名做了混淆處理,但是class中代碼清晰可見,有破解和漏洞利用風險。
(3)資源文件泄露風險
APP中的assets目錄和res目錄下的主要資源沒有做保護,可以隨意修改和利用。
(4)本地數據泄露風險
APP开發中將账號密碼、key等重要數據存儲在本地,沒有加密存儲,容易被一些惡意程序拿到文件以及關鍵信息,例如开發中用到的shared-preference、數據庫等。
(5)Hook調試風險
使用Hook框架,攻擊者可以繞過系統限制、修改別人發布的代碼、模擬調用隱藏API、獲取進程中的數據信息、插入惡意代碼等。
總的來說,World App客戶端做為具有金融屬性的應用,沒有做有效的安全策略,風險系數比較高。
1.3 WLD代幣經濟學
1.3.1 WLD的效用
Worldcoin(WLD)是ERC-20 代幣,用戶可以通過Orb確認自己是人類且具備唯一性,在World App上獲得World ID,並且可以在 Optimism 主網上獲得WLD資助。Worldcoin表示,用戶未來將可以在World APP或者其他錢包應用中使用WLD來進行付款,匯款,轉账,支付服務費,买賣商品等服務。除此之外,WLD還具有社區治理屬性,World ID的一人一票,結合一代幣一票,這兩種機制組合成新的治理方式。Worldcoin基金會將在項目啓動後,向社區徵求意見,並且一起討論如何將World ID和WLD在新的治理模式下交互運行。
雖然WLD同時具備支付和治理場景,但也存在安全隱患,前期WLD的分配非常集中,前6個地址持幣量佔比超過90%。
1.3.2 WLD總量&分配
Worldcoin代幣在啓動後的15年內,供應總量為100億枚,15 年後,如果用戶通過治理开啓通脹模式,每年最大通脹率為 1.5%。初始啓動時的最大流通供應量為 1.43 億枚 WLD,其中1 億枚借給在美國境外運營的做市商(貸款周期為 3 個月),4300 萬枚分配給在項目 Pre-Launch 階段使用 Orb 驗證的用戶。未來,75%的代幣將分配給Worldcoin社區,剩下25%分配給TFH(Tools for Humanity,World App开發團隊)和初始團隊。其中,开發團隊佔比9.8%,投資者佔比13.5%,另外預留了1.7% WLD代幣為未來TFH發展做儲備(具體分配情況如下圖2)。
圖2:Worldcoin代幣初始分配佔比
在 Worldcoin 實現去中心化和自給自足之前,Worldcoin 基金會將支持 Worldcoin 生態系統,將75%的代幣通過社區分配給三個群體:首先是用戶贈款,目標佔比在60%及以上,包括1枚歡迎補助金和階段常規性補助金(也被稱為創世紀贈款),第一階段(一般是啓動一周內)是25枚WLD,而後的每一階段的創世紀贈款隨時間的推移預計會減少。
Worldcoin設計了一個理想的代幣分配模型(如圖3),但目前還存在很多不確定因素,如每周新用戶認證數量、Worldcoin用戶使用量、商家數量等。
圖3:代幣分配模型
1.3.3 WLD解鎖&釋放
關於 WLD 釋放模型,有兩個特點:用戶贈款不被鎖定,而團隊和投資者代幣會被鎖定。圖5顯示了未來 15 年的 WLD 解鎖計劃。這15年內,Worldcoin社區的WLD代幣的釋放速度將由治理分配,主要影響因素是Worldcoin用戶數量的增長速度。圖4呈現了代幣解鎖的最早時間,並且100億代幣中,75億分配給社區,25億分配給TFH和初始團隊。這其中社區WLD的釋放模型會根據不同的時間段做區分,具體如表2所示。
圖4:WLD代幣釋放模型
時間段期間WLD 釋放數量(十億)截至時間 WLD釋放總數(十億)正式啓動0.5000.500啓動 - 第3年末3.5004.000第4年初 - 第6年末1.7505.750第7年初 - 第9年末0.8756.625第10年初 - 第15年末0.8757.500
表2:Worldcoin社區在未來15年內每個時間段WLD釋放模型
每個時間段內,釋放速度相同,不同時間段釋放速度不同,前幾年釋放速度較快,第10年之後趨於平緩。根據ChainAegis數據分析,截至8月2日,WLD總釋放量達到5.29億。
1.3.4 Worldcoin智能合約安全
Worldcoin智能合約雖然經過了審計,但合約中在權限和中心化方面仍然存在一些風險項。
在World ID合約中,WorldIDIdentityManagerImplV1合約繼承了openzeppelin中的Ownable2StepUpgradeable合約。其中定義了中心化账戶_owner账戶以及限制只能_owner账戶調用函數的onlyOwner修改器。
在WorldIDIdentityManagerImplV1合約中,多處使用到了onlyOwner修改器,尤其是涉及到一些狀態變量的設置和修改函數。比如跟stateBridge相關的函數,在滿足其他條件時,只能由_owner來調用函數才能有效。
還有其他的一些跟合約狀態相關的設置、修改等函數。這些函數必須由_owner账戶來調用,而且這些狀態跟合約的運行狀態、資產安全等有着密切的聯系。一旦_owner账戶的私鑰被惡意的攻擊者竊取,這將會對整個合約甚至項目帶來巨大的經濟損失,甚至是毀滅性打擊。因此,妥善保存類似_owner的高權限中心化账戶的私鑰是項目方必須考慮的問題。
另外,也可以採用其他技術手段來緩解審計徹底解決這種中心化風險。包括但不限於:
(1)使用m-n多重籤名。在n個账戶中,只有其中的m個账戶批准交易,交易才可以執行。
(2)在執行交易前,加入時間鎖,只有通過一定的時間後,交易才能執行。這方便其他账戶審核交易是否存在風險。只有安全的交易才能夠順利執行。
(3)使用DAO機制,再加上時間鎖定等機制,可以徹底解決合約中的中心化風險。但也要預防DAO中存在的一些漏洞,如針對DAO的閃電貸攻擊、治理攻擊等。
2. 運營數據
2.1注冊情況
從2021年5月到2023年7月,超過200萬人在30多個國家通過Orb設備驗證了他們的World ID。具體分布如下方圖5所示。很顯然,認證的用戶大多來自發展中國家,亞洲和非洲佔比最高,均超過30%。7月25日消息,Worldcoin發推稱,今年夏天和秋天將在全球超過35個城市擴展至1500個可用Orbs。
圖5:全球Orb認證用戶分布(由TFH提供)
據ChainAegis數據顯示,截至8月5日Optimism鏈上持有WLD代幣的Optimism錢包數量為408,721個,環比7月25號提升148%。最大的地址佔比超一半,佔據57%的供應量,並且前100持有者總共擁有95.08%的WLD。
2.2交易情況
2.2.1 幣價、流通量、市值
7月24日 Worldcoin开盤之後幣價隨即大幅度拉升,最高漲至3.58美元,但在發布後的24小時之內持續性下跌,最低跌到1.66美元,在經歷兩天較大波動之後,幣價穩定在2.3美元左右,且呈現較輕微地上升趨勢(圖6)。WLD的交易量在發布後24小時之內達到峯值6.47億,隨着Worldcoin話題熱度降溫,以及各國政府的監管政策實施,以及其相關負面新聞的播報影響,用戶對WLD保持較理性的態度,交易量逐日下滑,於8月2日跌至1.14億。
圖6:WLD日交易流通數據
圖7:WLD日流動性指標(該指標 = 交易量/市值)
為了分析交易量與市值的關系,這裏引入流動性指標的概念。顯然,WLD的流通性顯著下滑,在7月底跌到0.5以下後在8月2日有小幅提升。綜合來看,WLD因為上线時間短,流通性較其他加主流密貨幣低,且價格也較不穩定。
2.2.2 WLD交易情況
ExchangePrice+2% Depth-2% DepthVolume (24h)Binance$2.26$606,381$943,085$19,967,686Topcredit Int* $2.2648$612,931$983,221** $19,962,230BIKA* $2.2658$320,639$482,037** $8,769,475OKX$2.26$711,296$972,697$6,284,371Huobi$2.26$519,439$571,740$5,239,872Bitget$2.27$373,904$806,713$4,954,172Bibox$2.27$179,053$183,768$4,606,109Pionex$2.27$402,034$779,562$3,174,091Bybit$2.27$533,278$558,871$2,882,775Hotcoin Global* $2.2657$373,925$525,709** $2,631,019
表3:WLD TOP10交易對均為WLD/USDT,具體8月3日當天近24小時的交易價格,交易量以及深度數據
表3為WLD於8月3日當天近24小時交易量排名TOP榜單,均為WLD/USDT交易對。最高的是WLD/USDT在幣安交易所,交易量達到1,997萬美元。
為了對WLD進行長周期觀測,這裏選取中心化交易所幣安和去中心化交易所Uniswap分別來看每天的交易情況。幣安交易所交易體量大,特別是WLD/USDT交易對,日交易量排名第一,並且第一天飆升至4,400萬,隨後逐天下滑,跌至500萬以下,在八月初有小幅提升,但增勢不強(見圖8);而WLD/BTC交易量遠小於WLD/USDT,交易走勢相似。Uniswap V3在發布日爆發雖不及中心化交易所,但是在發布穩定後三天开始有較明顯的提升,並且OP鏈交易量呈上升趨勢(見圖10、11)。
圖8:WLD/USDT在幣安交易所交易情況
圖9:WLD/BTC在幣安交易所交易情況
圖10:WLD/USD在Uniswap V3交易情況
圖11:WLD/USD在Uniswap V3交易情況
3.全球監管
Worldcoin正式推出以來,各國監管機構對這個項目進行了調查,具體的事件軸和調查機構分布如圖12。
(1)英國在Worldcoin發布的第二天宣布對Worldcoin進行審查。
(2)法國隱私機構CNIL對Worldcoin生物識別數據收集和存儲合法性保持懷疑態度,宣布展开調查。
(3)考慮到數據處理的數據是生物虹膜,數據較為敏感,且未來會大規模覆蓋,德國數據監管機構在7月底宣布對其進行調查。
(4)肯尼亞是Worldcoin項目开啓的核心地區,在發行後,當地財產、安全和數據保護服務機構在8月2號展开對其調查,並且肯尼亞內政部在Facebook頁面發布暫停Worldcoin的運營。
(5)德國的右翼政黨成員表示對Worldcoin採用的生物識別設備跟醫療無關,而是用於對全球監控,並且這種監控是永久地,涉及到掃描者生活方方面面,例如日常行為軌跡和購物習慣等。
圖12:各國監管機構對Worldcoin項目調查時間軸
4.總結
Worldcoin作為去中心化的項目,有着廣闊的愿景和野心,希望通過人格認證和公平空投席卷Web 3世界和數字經濟時代。其技術背景Orb和POP機制相對歷史的身份認證機制在抗欺詐和可擴展性方面具有一定優勢,但是仍然存在隱私安全和合規風險,也受到各國監管部門的審查,需不斷優化和改善。目前項目還在初期階段,未來將會受諸多因素的影響,例如大規模硬件設備的制作,用戶對新生物技術的接受度以及各地政府監管政策可行性。
在未來,加密技術、大數據和AI技術需要相互結合,提供更高效地技術支持和安全隱私保障,才能真正承載更多的用戶和更豐富的使用場景,才能實現將全球數十億人帶入 Web 3 領域和數字經濟時代的愿景。
關於我們
SharkTeam的愿景是全面保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成,精通區塊鏈和智能合約的底層理論,提供包括智能合約審計、鏈上分析、應急響應等服務。已與區塊鏈生態系統各個領域的關鍵參與者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立長期合作關系。
官網:https://www.sharkteam.org
Twitter:https://twitter.com/sharkteamorg
Discord:https://discord.gg/jGH9xXCjDZ
Telegram:https://t.me/sharkteamorg
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
XRP 漲至 7.5 美元?分析師告訴 XRP 大軍為純粹的煙火做好准備!
加密貨幣分析師 EGRAG 表示,XRP 即將迎來關鍵時刻,價格可能大幅上漲,這取決於能否突破關鍵...
今晚ETH迎來暴漲時代 op、arb、metis等以太坊二層項目能否跑出百倍幣?
北京時間7月23日晚上美股开盤後 ETH 的ETF开始交易。ETH的裏程碑啊,新的時代开啓。突破前...
Mt Gox 轉移 28 億美元比特幣 加密貨幣下跌 ETH ETF 提前發行
2014 年倒閉的臭名昭著的比特幣交易所 Mt Gox 已向債權人轉移了大量比特幣 (BTC),作...
SharkTeam
文章數量
37粉絲數
0