Worldcoin的白皮書中聲明，Worldcoin旨在構(gòu)建一個連接全球人類的新型數(shù)字經(jīng)濟系統(tǒng)，由OpenAI創(chuàng)始人Sam Altman于2020年發(fā)起。通過區(qū)塊鏈技術(shù)在Web3世界中實現(xiàn)更加公平、開放和包容的經(jīng)濟體系，并將所有權(quán)賦予每個人。并且希望讓全世界每一個人都能有最低的生活保障，提高全民基本收入，迎接共同富裕的未來。于 2023年7月24日Sam在推特社交平臺宣布，Worldcoin正式推出。

1.Worldcoin基本面

1.1 業(yè)務模型

Worldcoin包含三個組成部分：全球數(shù)字身份（World ID）、全球數(shù)字加密貨幣（WLD）和一個可以承載和運用World ID和WLD加密錢包（World App）。此外，通過區(qū)塊鏈技術(shù)，Worldcoin將支持智能合約和去中心化應用（DApps）的發(fā)展。

2021 年 6 月，Worldcoin首次向大眾公開，并完成了 2500 萬美元融資，投資方包括a16z、Coinbase Ventures、LinkedIn 創(chuàng)始人 Reid Hoffman、Day One Ventures。2023年5月Worldcoin完成1.15 億美元 C 輪融資，Blockchain Capital 領投，a16z、Bain Capital Crypto 和 Distributed Global 參投，估值達到 30 億美金。

Worldcoin圍繞基于生物識別技術(shù)構(gòu)建的World ID身份識別系統(tǒng)展開敘事，用戶通過生物識別設備Orb掃描虹膜，獲得World ID，來證明自己的身份，Worldcoin聲明采用零知識證明保護用戶的隱私。近年來，人工智能的迅速發(fā)展讓人產(chǎn)生被AI替代的憂慮，因此真實、獨特的人類身份證明成為極為重要的課題，Worldcoin提出了一種名為"人格證明"（Proof of Personhood，PoP）的概念，采用生物識別設備Orb，通過掃描用戶虹膜來驗證人的生物信息，通過零知識證明保證參與者的隱私，為人類未來提供一個可以區(qū)分人類和AI的解決方案。

在白皮書中，World ID被定義為加密經(jīng)濟的數(shù)字身份通行證，當前，全球范圍內(nèi)的數(shù)字經(jīng)濟互動很難實現(xiàn)，Worldcoin希望推動全世界所有人，隨時隨地都能獲得World ID，參與全球數(shù)字經(jīng)濟、數(shù)字治理。在未來，Worldcoin如果成功，參與者可以擁有和直接管理數(shù)字貨幣，實現(xiàn)即時、無邊界的資金轉(zhuǎn)賬，并且不需要第三方機構(gòu)。在情況緊急的時候，比如之前烏克蘭難民危機期間，可以通過數(shù)字貨幣USDC直接援助，這對跨境金融交易產(chǎn)生較深遠的影響，極大地提高的交易效率。

1.2技術(shù)實現(xiàn)

1.2.1如何注冊World ID

圖 1 Worldcoin生態(tài)的核心組件及交互流程

用戶想要獲得World ID, 圖1涉及以下幾個簡單的步驟：

(1)下載World App

(2)定位最近的運營商，獲得生物識別硬件Orb

(3)使用Orb采集虹膜圖像，Orb設備確定某人是人類且身份唯一，使用神經(jīng)網(wǎng)格將虹膜圖像轉(zhuǎn)化成哈希值（虹膜代碼），并發(fā)送給注冊服務器

(4)唯一性檢查（Uniqueness service）驗證這個代碼與之前的代碼足夠不同，將身份承諾發(fā)送給注冊排序器（Signup Sequencer）

(5)Sequencer服務器將用戶身份證明的公匙插入以太坊主網(wǎng)上的默克爾樹上

(6）用戶得到有且僅有一個World ID

總的來說，用戶通過Orb掃描虹膜，Orb和World App程序認證用戶是真人，且虹膜代碼與之前所有系統(tǒng)其他用戶不一樣，就把一個且僅有一個密鑰放在列表上。用戶得到一個World ID作為在Worldcoin生態(tài)系統(tǒng)的身份認證。但如果用戶是機器人，不能把任何密鑰放在列表上，也就得不到World ID。

1.2.2 Orb

為了能有效區(qū)分真實人類和虛擬個體或者AI用戶，Worldcoin虹膜生物識別技術(shù)需要一套硬件設備Orb，由兩個半球組成，具備兩個核心技術(shù)：虹膜圖像捕獲和處理系統(tǒng)。采集用戶虹膜，實現(xiàn)身份驗證，這種生物特征識別的手段。

Worldcoin聲明，出于對用戶隱私安全方面的考慮，Worldcoin主要從以下兩個方面做數(shù)據(jù)處理：被掃描的虹膜圖像將會在Orb本地運行計算虹膜代碼的算法，然后被刪除，接著輸出參與者的虹膜代碼，這個代碼不會與用戶的任何信息關(guān)聯(lián)，也不會與用戶的加密錢包-以太坊錢包關(guān)聯(lián)。另外，Worldcoin允許參與者永久刪除原始生物識別數(shù)據(jù)（虹膜圖像），用于保護用戶的隱私和數(shù)據(jù)安全。

值得注意的是，Orb虹膜掃描身份認證，在實際操作和推廣落地方面已暴露了一些隱患。比如在東南亞、非洲等地，已經(jīng)出現(xiàn)Orb數(shù)據(jù)買賣的問題，比如賬戶黑市，只需 30 美金左右的價格就可以買到一個虹膜驗證；村民掃描虹膜幫助完成World App注冊之后，就可領取 20 美金的獎勵。在 Worldcoin正式推出之后，就虹膜數(shù)據(jù)是否涉及隱私安全問題，相繼受到部分國家相關(guān)監(jiān)管部門的調(diào)查?，F(xiàn)階段Worldcoin采用的虹膜掃描生物識別硬件Orb是由Worldcoin基金會負責運營，硬件缺乏完全的去中心化，因此，即使軟件層完美且完全去中心化，Worldcoin 基金會仍然有能力在系統(tǒng)中插入后門，創(chuàng)建任意多個虛假的人類身份。Orb在數(shù)據(jù)安全和隱私保護方面還需要進一步驗證。

1.2.3 World App安全性（Android版本）

對如下版本W(wǎng)orld App的安全測試，我們發(fā)現(xiàn)如下安全風險。

APP名稱：World App

版本號：V2.2.0.6

包名：com.worldcoin

SHA256: fe8c50821cf4b8dc434221532c1847ba4af63f4a99926a9487c6d0378dbf386d

（1）惡意代碼注入漏洞

將APK注入惡意代碼，重新編譯成盜版APP發(fā)布到網(wǎng)上，用于釣魚攻擊。測試中注入了獲取通訊錄的代碼，可以將通訊錄上傳到私服。同時也可以上傳手機相冊、文件、賬號密碼等等各種信息到私服，導致隱私泄露，賬號資產(chǎn)被盜等。

（2）源代碼泄露風險

雖然對一些包名做了混淆處理，但是class中代碼清晰可見，有破解和漏洞利用風險。

（3）資源文件泄露風險

APP中的assets目錄和res目錄下的主要資源沒有做保護，可以隨意修改和利用。

（4）本地數(shù)據(jù)泄露風險

APP開發(fā)中將賬號密碼、key等重要數(shù)據(jù)存儲在本地，沒有加密存儲，容易被一些惡意程序拿到文件以及關(guān)鍵信息，例如開發(fā)中用到的shared-preference、數(shù)據(jù)庫等。

（5）Hook調(diào)試風險

使用Hook框架，攻擊者可以繞過系統(tǒng)限制、修改別人發(fā)布的代碼、模擬調(diào)用隱藏API、獲取進程中的數(shù)據(jù)信息、插入惡意代碼等。

總的來說，World App客戶端做為具有金融屬性的應用，沒有做有效的安全策略，風險系數(shù)比較高。

1.3 WLD代幣經(jīng)濟學

1.3.1 WLD的效用

Worldcoin（WLD）是ERC-20 代幣，用戶可以通過Orb確認自己是人類且具備唯一性，在World App上獲得World ID，并且可以在 Optimism 主網(wǎng)上獲得WLD資助。Worldcoin表示，用戶未來將可以在World APP或者其他錢包應用中使用WLD來進行付款，匯款，轉(zhuǎn)賬，支付服務費，買賣商品等服務。除此之外，WLD還具有社區(qū)治理屬性，World ID的一人一票，結(jié)合一代幣一票，這兩種機制組合成新的治理方式。Worldcoin基金會將在項目啟動后，向社區(qū)征求意見，并且一起討論如何將World ID和WLD在新的治理模式下交互運行。

雖然WLD同時具備支付和治理場景，但也存在安全隱患，前期WLD的分配非常集中，前6個地址持幣量占比超過90%。

1.3.2 WLD總量&分配

Worldcoin代幣在啟動后的15年內(nèi)，供應總量為100億枚，15 年后，如果用戶通過治理開啟通脹模式，每年最大通脹率為 1.5%。初始啟動時的最大流通供應量為 1.43 億枚 WLD，其中1 億枚借給在美國境外運營的做市商（貸款周期為 3 個月），4300 萬枚分配給在項目 Pre-Launch 階段使用 Orb 驗證的用戶。未來，75%的代幣將分配給Worldcoin社區(qū)，剩下25%分配給TFH（Tools for Humanity，World App開發(fā)團隊）和初始團隊。其中，開發(fā)團隊占比9.8%，投資者占比13.5%，另外預留了1.7% WLD代幣為未來TFH發(fā)展做儲備（具體分配情況如下圖2）。

圖2：Worldcoin代幣初始分配占比

在 Worldcoin 實現(xiàn)去中心化和自給自足之前，Worldcoin 基金會將支持 Worldcoin 生態(tài)系統(tǒng)，將75%的代幣通過社區(qū)分配給三個群體：首先是用戶贈款，目標占比在60%及以上，包括1枚歡迎補助金和階段常規(guī)性補助金（也被稱為創(chuàng)世紀贈款），第一階段（一般是啟動一周內(nèi)）是25枚WLD，而后的每一階段的創(chuàng)世紀贈款隨時間的推移預計會減少。

Worldcoin設計了一個理想的代幣分配模型（如圖3），但目前還存在很多不確定因素，如每周新用戶認證數(shù)量、Worldcoin用戶使用量、商家數(shù)量等。

圖3：代幣分配模型

1.3.3 WLD解鎖&釋放

關(guān)于 WLD 釋放模型，有兩個特點：用戶贈款不被鎖定，而團隊和投資者代幣會被鎖定。圖5顯示了未來 15 年的 WLD 解鎖計劃。這15年內(nèi)，Worldcoin社區(qū)的WLD代幣的釋放速度將由治理分配，主要影響因素是Worldcoin用戶數(shù)量的增長速度。圖4呈現(xiàn)了代幣解鎖的最早時間，并且100億代幣中，75億分配給社區(qū)，25億分配給TFH和初始團隊。這其中社區(qū)WLD的釋放模型會根據(jù)不同的時間段做區(qū)分，具體如表2所示。

圖4：WLD代幣釋放模型

表2：Worldcoin社區(qū)在未來15年內(nèi)每個時間段WLD釋放模型

每個時間段內(nèi)，釋放速度相同，不同時間段釋放速度不同，前幾年釋放速度較快，第10年之后趨于平緩。根據(jù)ChainAegis數(shù)據(jù)分析，截至8月2日，WLD總釋放量達到5.29億。

1.3.4 Worldcoin智能合約安全

Worldcoin智能合約雖然經(jīng)過了審計，但合約中在權(quán)限和中心化方面仍然存在一些風險項。

在World ID合約中，WorldIDIdentityManagerImplV1合約繼承了openzeppelin中的Ownable2StepUpgradeable合約。其中定義了中心化賬戶_owner賬戶以及限制只能_owner賬戶調(diào)用函數(shù)的onlyOwner修改器。

在WorldIDIdentityManagerImplV1合約中，多處使用到了onlyOwner修改器，尤其是涉及到一些狀態(tài)變量的設置和修改函數(shù)。比如跟stateBridge相關(guān)的函數(shù)，在滿足其他條件時，只能由_owner來調(diào)用函數(shù)才能有效。

還有其他的一些跟合約狀態(tài)相關(guān)的設置、修改等函數(shù)。這些函數(shù)必須由_owner賬戶來調(diào)用，而且這些狀態(tài)跟合約的運行狀態(tài)、資產(chǎn)安全等有著密切的聯(lián)系。一旦_owner賬戶的私鑰被惡意的攻擊者竊取，這將會對整個合約甚至項目帶來巨大的經(jīng)濟損失，甚至是毀滅性打擊。因此，妥善保存類似_owner的高權(quán)限中心化賬戶的私鑰是項目方必須考慮的問題。

另外，也可以采用其他技術(shù)手段來緩解審計徹底解決這種中心化風險。包括但不限于：

（1）使用m-n多重簽名。在n個賬戶中，只有其中的m個賬戶批準交易，交易才可以執(zhí)行。

（2）在執(zhí)行交易前，加入時間鎖，只有通過一定的時間后，交易才能執(zhí)行。這方便其他賬戶審核交易是否存在風險。只有安全的交易才能夠順利執(zhí)行。

（3）使用DAO機制，再加上時間鎖定等機制，可以徹底解決合約中的中心化風險。但也要預防DAO中存在的一些漏洞，如針對DAO的閃電貸攻擊、治理攻擊等。

1.運營數(shù)據(jù)

2.1注冊情況

從2021年5月到2023年7月，超過200萬人在30多個國家通過Orb設備驗證了他們的World ID。具體分布如下方圖5所示。很顯然，認證的用戶大多來自發(fā)展中國家，亞洲和非洲占比最高，均超過30%。7月25日消息，Worldcoin發(fā)推稱，今年夏天和秋天將在全球超過35個城市擴展至1500個可用Orbs。

圖5：全球Orb認證用戶分布（由TFH提供）

據(jù)ChainAegis數(shù)據(jù)顯示，截至8月5日Optimism鏈上持有WLD代幣的Optimism錢包數(shù)量為408,721個，環(huán)比7月25號提升148%。最大的地址占比超一半，占據(jù)57%的供應量，并且前100持有者總共擁有95.08%的WLD。

2.2交易情況

2.2.1 幣價、流通量、市值

7月24日 Worldcoin開盤之后幣價隨即大幅度拉升，最高漲至3.58美元，但在發(fā)布后的24小時之內(nèi)持續(xù)性下跌，最低跌到1.66美元，在經(jīng)歷兩天較大波動之后，幣價穩(wěn)定在2.3美元左右，且呈現(xiàn)較輕微地上升趨勢（圖6）。WLD的交易量在發(fā)布后24小時之內(nèi)達到峰值6.47億，隨著Worldcoin話題熱度降溫，以及各國政府的監(jiān)管政策實施，以及其相關(guān)負面新聞的播報影響，用戶對WLD保持較理性的態(tài)度，交易量逐日下滑，于8月2日跌至1.14億。

圖6：WLD日交易流通數(shù)據(jù)

圖7：WLD日流動性指標（該指標 = 交易量/市值）

為了分析交易量與市值的關(guān)系，這里引入流動性指標的概念。顯然，WLD的流通性顯著下滑，在7月底跌到0.5以下后在8月2日有小幅提升。綜合來看，WLD因為上線時間短，流通性較其他加主流密貨幣低，且價格也較不穩(wěn)定。

2.2.2 WLD交易情況

表3：WLD TOP10交易對均為WLD/USDT，具體8月3日當天近24小時的交易價格，交易量以及深度數(shù)據(jù)

表3為WLD于8月3日當天近24小時交易量排名TOP榜單，均為WLD/USDT交易對。最高的是WLD/USDT在幣安交易所，交易量達到1,997萬美元。

為了對WLD進行長周期觀測，這里選取中心化交易所幣安和去中心化交易所Uniswap分別來看每天的交易情況。幣安交易所交易體量大，特別是WLD/USDT交易對，日交易量排名第一，并且第一天飆升至4,400萬，隨后逐天下滑，跌至500萬以下，在八月初有小幅提升，但增勢不強（見圖8）；而WLD/BTC交易量遠小于WLD/USDT，交易走勢相似。Uniswap V3在發(fā)布日爆發(fā)雖不及中心化交易所，但是在發(fā)布穩(wěn)定后三天開始有較明顯的提升，并且OP鏈交易量呈上升趨勢（見圖10、11）。

圖8：WLD/USDT在幣安交易所交易情況

圖9：WLD/BTC在幣安交易所交易情況

圖10：WLD/USD在Uniswap V3交易情況

圖11：WLD/USD在Uniswap V3交易情況

全球監(jiān)管

Worldcoin正式推出以來，各國監(jiān)管機構(gòu)對這個項目進行了調(diào)查，具體的事件軸和調(diào)查機構(gòu)分布如圖12。

（1）英國在Worldcoin發(fā)布的第二天宣布對Worldcoin進行審查。

（2）法國隱私機構(gòu)CNIL對Worldcoin生物識別數(shù)據(jù)收集和存儲合法性保持懷疑態(tài)度，宣布展開調(diào)查。

（3）考慮到數(shù)據(jù)處理的數(shù)據(jù)是生物虹膜，數(shù)據(jù)較為敏感，且未來會大規(guī)模覆蓋，德國數(shù)據(jù)監(jiān)管機構(gòu)在7月底宣布對其進行調(diào)查。

（4）肯尼亞是Worldcoin項目開啟的核心地區(qū)，在發(fā)行后，當?shù)刎敭a(chǎn)、安全和數(shù)據(jù)保護服務機構(gòu)在8月2號展開對其調(diào)查，并且肯尼亞內(nèi)政部在Facebook頁面發(fā)布暫停Worldcoin的運營。

（5）德國的右翼政黨成員表示對Worldcoin采用的生物識別設備跟醫(yī)療無關(guān)，而是用于對全球監(jiān)控，并且這種監(jiān)控是永久地，涉及到掃描者生活方方面面，例如日常行為軌跡和購物習慣等。

圖12：各國監(jiān)管機構(gòu)對Worldcoin項目調(diào)查時間軸

4.總結(jié)

Worldcoin作為去中心化的項目，有著廣闊的愿景和野心，希望通過人格認證和公平空投席卷Web 3世界和數(shù)字經(jīng)濟時代。其技術(shù)背景Orb和POP機制相對歷史的身份認證機制在抗欺詐和可擴展性方面具有一定優(yōu)勢，但是仍然存在隱私安全和合規(guī)風險，也受到各國監(jiān)管部門的審查，需不斷優(yōu)化和改善。目前項目還在初期階段，未來將會受諸多因素的影響，例如大規(guī)模硬件設備的制作，用戶對新生物技術(shù)的接受度以及各地政府監(jiān)管政策可行性。

在未來，加密技術(shù)、大數(shù)據(jù)和AI技術(shù)需要相互結(jié)合，提供更高效地技術(shù)支持和安全隱私保障，才能真正承載更多的用戶和更豐富的使用場景，才能實現(xiàn)將全球數(shù)十億人帶入 Web 3 領域和數(shù)字經(jīng)濟時代的愿景。

關(guān)于我們

SharkTeam的愿景是全面保護Web3世界的安全。團隊由來自世界各地的經(jīng)驗豐富的安全專業(yè)人士和高級研究人員組成，精通區(qū)塊鏈和智能合約的底層理論，提供包括智能合約審計、鏈上分析、應急響應等服務。已與區(qū)塊鏈生態(tài)系統(tǒng)各個領域的關(guān)鍵參與者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立長期合作關(guān)系。