Worldcoin的白皮書(shū)中聲明，Worldcoin旨在構(gòu)建一個(gè)連接全球人類的新型數(shù)字經(jīng)濟(jì)系統(tǒng)，由OpenAI創(chuàng)始人Sam Altman于2020年發(fā)起。通過(guò)區(qū)塊鏈技術(shù)在Web3世界中實(shí)現(xiàn)更加公平、開(kāi)放和包容的經(jīng)濟(jì)體系，并將所有權(quán)賦予每個(gè)人。并且希望讓全世界每一個(gè)人都能有最低的生活保障，提高全民基本收入，迎接共同富裕的未來(lái)。于 2023年7月24日Sam在推特社交平臺(tái)宣布，Worldcoin正式推出。

1.Worldcoin基本面

1.1 業(yè)務(wù)模型

Worldcoin包含三個(gè)組成部分：全球數(shù)字身份（World ID）、全球數(shù)字加密貨幣（WLD）和一個(gè)可以承載和運(yùn)用World ID和WLD加密錢包（World App）。此外，通過(guò)區(qū)塊鏈技術(shù)，Worldcoin將支持智能合約和去中心化應(yīng)用（DApps）的發(fā)展。

2021 年 6 月，Worldcoin首次向大眾公開(kāi)，并完成了 2500 萬(wàn)美元融資，投資方包括a16z、Coinbase Ventures、LinkedIn 創(chuàng)始人 Reid Hoffman、Day One Ventures。2023年5月Worldcoin完成1.15 億美元 C 輪融資，Blockchain Capital 領(lǐng)投，a16z、Bain Capital Crypto 和 Distributed Global 參投，估值達(dá)到 30 億美金。

Worldcoin圍繞基于生物識(shí)別技術(shù)構(gòu)建的World ID身份識(shí)別系統(tǒng)展開(kāi)敘事，用戶通過(guò)生物識(shí)別設(shè)備Orb掃描虹膜，獲得World ID，來(lái)證明自己的身份，Worldcoin聲明采用零知識(shí)證明保護(hù)用戶的隱私。近年來(lái)，人工智能的迅速發(fā)展讓人產(chǎn)生被AI替代的憂慮，因此真實(shí)、獨(dú)特的人類身份證明成為極為重要的課題，Worldcoin提出了一種名為"人格證明"（Proof of Personhood，PoP）的概念，采用生物識(shí)別設(shè)備Orb，通過(guò)掃描用戶虹膜來(lái)驗(yàn)證人的生物信息，通過(guò)零知識(shí)證明保證參與者的隱私，為人類未來(lái)提供一個(gè)可以區(qū)分人類和AI的解決方案。

在白皮書(shū)中，World ID被定義為加密經(jīng)濟(jì)的數(shù)字身份通行證，當(dāng)前，全球范圍內(nèi)的數(shù)字經(jīng)濟(jì)互動(dòng)很難實(shí)現(xiàn)，Worldcoin希望推動(dòng)全世界所有人，隨時(shí)隨地都能獲得World ID，參與全球數(shù)字經(jīng)濟(jì)、數(shù)字治理。在未來(lái)，Worldcoin如果成功，參與者可以擁有和直接管理數(shù)字貨幣，實(shí)現(xiàn)即時(shí)、無(wú)邊界的資金轉(zhuǎn)賬，并且不需要第三方機(jī)構(gòu)。在情況緊急的時(shí)候，比如之前烏克蘭難民危機(jī)期間，可以通過(guò)數(shù)字貨幣USDC直接援助，這對(duì)跨境金融交易產(chǎn)生較深遠(yuǎn)的影響，極大地提高的交易效率。

1.2技術(shù)實(shí)現(xiàn)

1.2.1如何注冊(cè)World ID

圖 1 Worldcoin生態(tài)的核心組件及交互流程

用戶想要獲得World ID, 圖1涉及以下幾個(gè)簡(jiǎn)單的步驟：

(1)下載World App

(2)定位最近的運(yùn)營(yíng)商，獲得生物識(shí)別硬件Orb

(3)使用Orb采集虹膜圖像，Orb設(shè)備確定某人是人類且身份唯一，使用神經(jīng)網(wǎng)格將虹膜圖像轉(zhuǎn)化成哈希值（虹膜代碼），并發(fā)送給注冊(cè)服務(wù)器

(4)唯一性檢查（Uniqueness service）驗(yàn)證這個(gè)代碼與之前的代碼足夠不同，將身份承諾發(fā)送給注冊(cè)排序器（Signup Sequencer）

(5)Sequencer服務(wù)器將用戶身份證明的公匙插入以太坊主網(wǎng)上的默克爾樹(shù)上

(6）用戶得到有且僅有一個(gè)World ID

總的來(lái)說(shuō)，用戶通過(guò)Orb掃描虹膜，Orb和World App程序認(rèn)證用戶是真人，且虹膜代碼與之前所有系統(tǒng)其他用戶不一樣，就把一個(gè)且僅有一個(gè)密鑰放在列表上。用戶得到一個(gè)World ID作為在Worldcoin生態(tài)系統(tǒng)的身份認(rèn)證。但如果用戶是機(jī)器人，不能把任何密鑰放在列表上，也就得不到World ID。

1.2.2 Orb

為了能有效區(qū)分真實(shí)人類和虛擬個(gè)體或者AI用戶，Worldcoin虹膜生物識(shí)別技術(shù)需要一套硬件設(shè)備Orb，由兩個(gè)半球組成，具備兩個(gè)核心技術(shù)：虹膜圖像捕獲和處理系統(tǒng)。采集用戶虹膜，實(shí)現(xiàn)身份驗(yàn)證，這種生物特征識(shí)別的手段。

Worldcoin聲明，出于對(duì)用戶隱私安全方面的考慮，Worldcoin主要從以下兩個(gè)方面做數(shù)據(jù)處理：被掃描的虹膜圖像將會(huì)在Orb本地運(yùn)行計(jì)算虹膜代碼的算法，然后被刪除，接著輸出參與者的虹膜代碼，這個(gè)代碼不會(huì)與用戶的任何信息關(guān)聯(lián)，也不會(huì)與用戶的加密錢包-以太坊錢包關(guān)聯(lián)。另外，Worldcoin允許參與者永久刪除原始生物識(shí)別數(shù)據(jù)（虹膜圖像），用于保護(hù)用戶的隱私和數(shù)據(jù)安全。

值得注意的是，Orb虹膜掃描身份認(rèn)證，在實(shí)際操作和推廣落地方面已暴露了一些隱患。比如在東南亞、非洲等地，已經(jīng)出現(xiàn)Orb數(shù)據(jù)買賣的問(wèn)題，比如賬戶黑市，只需 30 美金左右的價(jià)格就可以買到一個(gè)虹膜驗(yàn)證；村民掃描虹膜幫助完成World App注冊(cè)之后，就可領(lǐng)取 20 美金的獎(jiǎng)勵(lì)。在 Worldcoin正式推出之后，就虹膜數(shù)據(jù)是否涉及隱私安全問(wèn)題，相繼受到部分國(guó)家相關(guān)監(jiān)管部門的調(diào)查?，F(xiàn)階段Worldcoin采用的虹膜掃描生物識(shí)別硬件Orb是由Worldcoin基金會(huì)負(fù)責(zé)運(yùn)營(yíng)，硬件缺乏完全的去中心化，因此，即使軟件層完美且完全去中心化，Worldcoin 基金會(huì)仍然有能力在系統(tǒng)中插入后門，創(chuàng)建任意多個(gè)虛假的人類身份。Orb在數(shù)據(jù)安全和隱私保護(hù)方面還需要進(jìn)一步驗(yàn)證。

1.2.3 World App安全性（Android版本）

對(duì)如下版本W(wǎng)orld App的安全測(cè)試，我們發(fā)現(xiàn)如下安全風(fēng)險(xiǎn)。

APP名稱：World App

版本號(hào)：V2.2.0.6

包名：com.worldcoin

SHA256: fe8c50821cf4b8dc434221532c1847ba4af63f4a99926a9487c6d0378dbf386d

（1）惡意代碼注入漏洞

將APK注入惡意代碼，重新編譯成盜版APP發(fā)布到網(wǎng)上，用于釣魚(yú)攻擊。測(cè)試中注入了獲取通訊錄的代碼，可以將通訊錄上傳到私服。同時(shí)也可以上傳手機(jī)相冊(cè)、文件、賬號(hào)密碼等等各種信息到私服，導(dǎo)致隱私泄露，賬號(hào)資產(chǎn)被盜等。

（2）源代碼泄露風(fēng)險(xiǎn)

雖然對(duì)一些包名做了混淆處理，但是class中代碼清晰可見(jiàn)，有破解和漏洞利用風(fēng)險(xiǎn)。

（3）資源文件泄露風(fēng)險(xiǎn)

APP中的assets目錄和res目錄下的主要資源沒(méi)有做保護(hù)，可以隨意修改和利用。

（4）本地?cái)?shù)據(jù)泄露風(fēng)險(xiǎn)

APP開(kāi)發(fā)中將賬號(hào)密碼、key等重要數(shù)據(jù)存儲(chǔ)在本地，沒(méi)有加密存儲(chǔ)，容易被一些惡意程序拿到文件以及關(guān)鍵信息，例如開(kāi)發(fā)中用到的shared-preference、數(shù)據(jù)庫(kù)等。

（5）Hook調(diào)試風(fēng)險(xiǎn)

使用Hook框架，攻擊者可以繞過(guò)系統(tǒng)限制、修改別人發(fā)布的代碼、模擬調(diào)用隱藏API、獲取進(jìn)程中的數(shù)據(jù)信息、插入惡意代碼等。

總的來(lái)說(shuō)，World App客戶端做為具有金融屬性的應(yīng)用，沒(méi)有做有效的安全策略，風(fēng)險(xiǎn)系數(shù)比較高。

1.3 WLD代幣經(jīng)濟(jì)學(xué)

1.3.1 WLD的效用

Worldcoin（WLD）是ERC-20 代幣，用戶可以通過(guò)Orb確認(rèn)自己是人類且具備唯一性，在World App上獲得World ID，并且可以在 Optimism 主網(wǎng)上獲得WLD資助。Worldcoin表示，用戶未來(lái)將可以在World APP或者其他錢包應(yīng)用中使用WLD來(lái)進(jìn)行付款，匯款，轉(zhuǎn)賬，支付服務(wù)費(fèi)，買賣商品等服務(wù)。除此之外，WLD還具有社區(qū)治理屬性，World ID的一人一票，結(jié)合一代幣一票，這兩種機(jī)制組合成新的治理方式。Worldcoin基金會(huì)將在項(xiàng)目啟動(dòng)后，向社區(qū)征求意見(jiàn)，并且一起討論如何將World ID和WLD在新的治理模式下交互運(yùn)行。

雖然WLD同時(shí)具備支付和治理場(chǎng)景，但也存在安全隱患，前期WLD的分配非常集中，前6個(gè)地址持幣量占比超過(guò)90%。

1.3.2 WLD總量&分配

Worldcoin代幣在啟動(dòng)后的15年內(nèi)，供應(yīng)總量為100億枚，15 年后，如果用戶通過(guò)治理開(kāi)啟通脹模式，每年最大通脹率為 1.5%。初始啟動(dòng)時(shí)的最大流通供應(yīng)量為 1.43 億枚 WLD，其中1 億枚借給在美國(guó)境外運(yùn)營(yíng)的做市商（貸款周期為 3 個(gè)月），4300 萬(wàn)枚分配給在項(xiàng)目 Pre-Launch 階段使用 Orb 驗(yàn)證的用戶。未來(lái)，75%的代幣將分配給Worldcoin社區(qū)，剩下25%分配給TFH（Tools for Humanity，World App開(kāi)發(fā)團(tuán)隊(duì)）和初始團(tuán)隊(duì)。其中，開(kāi)發(fā)團(tuán)隊(duì)占比9.8%，投資者占比13.5%，另外預(yù)留了1.7% WLD代幣為未來(lái)TFH發(fā)展做儲(chǔ)備（具體分配情況如下圖2）。

圖2：Worldcoin代幣初始分配占比

在 Worldcoin 實(shí)現(xiàn)去中心化和自給自足之前，Worldcoin 基金會(huì)將支持 Worldcoin 生態(tài)系統(tǒng)，將75%的代幣通過(guò)社區(qū)分配給三個(gè)群體：首先是用戶贈(zèng)款，目標(biāo)占比在60%及以上，包括1枚歡迎補(bǔ)助金和階段常規(guī)性補(bǔ)助金（也被稱為創(chuàng)世紀(jì)贈(zèng)款），第一階段（一般是啟動(dòng)一周內(nèi)）是25枚WLD，而后的每一階段的創(chuàng)世紀(jì)贈(zèng)款隨時(shí)間的推移預(yù)計(jì)會(huì)減少。

Worldcoin設(shè)計(jì)了一個(gè)理想的代幣分配模型（如圖3），但目前還存在很多不確定因素，如每周新用戶認(rèn)證數(shù)量、Worldcoin用戶使用量、商家數(shù)量等。

圖3：代幣分配模型

1.3.3 WLD解鎖&釋放

關(guān)于 WLD 釋放模型，有兩個(gè)特點(diǎn)：用戶贈(zèng)款不被鎖定，而團(tuán)隊(duì)和投資者代幣會(huì)被鎖定。圖5顯示了未來(lái) 15 年的 WLD 解鎖計(jì)劃。這15年內(nèi)，Worldcoin社區(qū)的WLD代幣的釋放速度將由治理分配，主要影響因素是Worldcoin用戶數(shù)量的增長(zhǎng)速度。圖4呈現(xiàn)了代幣解鎖的最早時(shí)間，并且100億代幣中，75億分配給社區(qū)，25億分配給TFH和初始團(tuán)隊(duì)。這其中社區(qū)WLD的釋放模型會(huì)根據(jù)不同的時(shí)間段做區(qū)分，具體如表2所示。

圖4：WLD代幣釋放模型

表2：Worldcoin社區(qū)在未來(lái)15年內(nèi)每個(gè)時(shí)間段WLD釋放模型

每個(gè)時(shí)間段內(nèi)，釋放速度相同，不同時(shí)間段釋放速度不同，前幾年釋放速度較快，第10年之后趨于平緩。根據(jù)ChainAegis數(shù)據(jù)分析，截至8月2日，WLD總釋放量達(dá)到5.29億。

1.3.4 Worldcoin智能合約安全

Worldcoin智能合約雖然經(jīng)過(guò)了審計(jì)，但合約中在權(quán)限和中心化方面仍然存在一些風(fēng)險(xiǎn)項(xiàng)。

在World ID合約中，WorldIDIdentityManagerImplV1合約繼承了openzeppelin中的Ownable2StepUpgradeable合約。其中定義了中心化賬戶_owner賬戶以及限制只能_owner賬戶調(diào)用函數(shù)的onlyOwner修改器。

在WorldIDIdentityManagerImplV1合約中，多處使用到了onlyOwner修改器，尤其是涉及到一些狀態(tài)變量的設(shè)置和修改函數(shù)。比如跟stateBridge相關(guān)的函數(shù)，在滿足其他條件時(shí)，只能由_owner來(lái)調(diào)用函數(shù)才能有效。

還有其他的一些跟合約狀態(tài)相關(guān)的設(shè)置、修改等函數(shù)。這些函數(shù)必須由_owner賬戶來(lái)調(diào)用，而且這些狀態(tài)跟合約的運(yùn)行狀態(tài)、資產(chǎn)安全等有著密切的聯(lián)系。一旦_owner賬戶的私鑰被惡意的攻擊者竊取，這將會(huì)對(duì)整個(gè)合約甚至項(xiàng)目帶來(lái)巨大的經(jīng)濟(jì)損失，甚至是毀滅性打擊。因此，妥善保存類似_owner的高權(quán)限中心化賬戶的私鑰是項(xiàng)目方必須考慮的問(wèn)題。

另外，也可以采用其他技術(shù)手段來(lái)緩解審計(jì)徹底解決這種中心化風(fēng)險(xiǎn)。包括但不限于：

（1）使用m-n多重簽名。在n個(gè)賬戶中，只有其中的m個(gè)賬戶批準(zhǔn)交易，交易才可以執(zhí)行。

（2）在執(zhí)行交易前，加入時(shí)間鎖，只有通過(guò)一定的時(shí)間后，交易才能執(zhí)行。這方便其他賬戶審核交易是否存在風(fēng)險(xiǎn)。只有安全的交易才能夠順利執(zhí)行。

（3）使用DAO機(jī)制，再加上時(shí)間鎖定等機(jī)制，可以徹底解決合約中的中心化風(fēng)險(xiǎn)。但也要預(yù)防DAO中存在的一些漏洞，如針對(duì)DAO的閃電貸攻擊、治理攻擊等。

1.運(yùn)營(yíng)數(shù)據(jù)

2.1注冊(cè)情況

從2021年5月到2023年7月，超過(guò)200萬(wàn)人在30多個(gè)國(guó)家通過(guò)Orb設(shè)備驗(yàn)證了他們的World ID。具體分布如下方圖5所示。很顯然，認(rèn)證的用戶大多來(lái)自發(fā)展中國(guó)家，亞洲和非洲占比最高，均超過(guò)30%。7月25日消息，Worldcoin發(fā)推稱，今年夏天和秋天將在全球超過(guò)35個(gè)城市擴(kuò)展至1500個(gè)可用Orbs。

圖5：全球Orb認(rèn)證用戶分布（由TFH提供）

據(jù)ChainAegis數(shù)據(jù)顯示，截至8月5日Optimism鏈上持有WLD代幣的Optimism錢包數(shù)量為408,721個(gè)，環(huán)比7月25號(hào)提升148%。最大的地址占比超一半，占據(jù)57%的供應(yīng)量，并且前100持有者總共擁有95.08%的WLD。

2.2交易情況

2.2.1 幣價(jià)、流通量、市值

7月24日 Worldcoin開(kāi)盤之后幣價(jià)隨即大幅度拉升，最高漲至3.58美元，但在發(fā)布后的24小時(shí)之內(nèi)持續(xù)性下跌，最低跌到1.66美元，在經(jīng)歷兩天較大波動(dòng)之后，幣價(jià)穩(wěn)定在2.3美元左右，且呈現(xiàn)較輕微地上升趨勢(shì)（圖6）。WLD的交易量在發(fā)布后24小時(shí)之內(nèi)達(dá)到峰值6.47億，隨著Worldcoin話題熱度降溫，以及各國(guó)政府的監(jiān)管政策實(shí)施，以及其相關(guān)負(fù)面新聞的播報(bào)影響，用戶對(duì)WLD保持較理性的態(tài)度，交易量逐日下滑，于8月2日跌至1.14億。

圖6：WLD日交易流通數(shù)據(jù)

圖7：WLD日流動(dòng)性指標(biāo)（該指標(biāo) = 交易量/市值）

為了分析交易量與市值的關(guān)系，這里引入流動(dòng)性指標(biāo)的概念。顯然，WLD的流通性顯著下滑，在7月底跌到0.5以下后在8月2日有小幅提升。綜合來(lái)看，WLD因?yàn)樯暇€時(shí)間短，流通性較其他加主流密貨幣低，且價(jià)格也較不穩(wěn)定。

2.2.2 WLD交易情況

表3：WLD TOP10交易對(duì)均為WLD/USDT，具體8月3日當(dāng)天近24小時(shí)的交易價(jià)格，交易量以及深度數(shù)據(jù)

表3為WLD于8月3日當(dāng)天近24小時(shí)交易量排名TOP榜單，均為WLD/USDT交易對(duì)。最高的是WLD/USDT在幣安交易所，交易量達(dá)到1,997萬(wàn)美元。

為了對(duì)WLD進(jìn)行長(zhǎng)周期觀測(cè)，這里選取中心化交易所幣安和去中心化交易所Uniswap分別來(lái)看每天的交易情況。幣安交易所交易體量大，特別是WLD/USDT交易對(duì)，日交易量排名第一，并且第一天飆升至4,400萬(wàn)，隨后逐天下滑，跌至500萬(wàn)以下，在八月初有小幅提升，但增勢(shì)不強(qiáng)（見(jiàn)圖8）；而WLD/BTC交易量遠(yuǎn)小于WLD/USDT，交易走勢(shì)相似。Uniswap V3在發(fā)布日爆發(fā)雖不及中心化交易所，但是在發(fā)布穩(wěn)定后三天開(kāi)始有較明顯的提升，并且OP鏈交易量呈上升趨勢(shì)（見(jiàn)圖10、11）。

圖8：WLD/USDT在幣安交易所交易情況

圖9：WLD/BTC在幣安交易所交易情況

圖10：WLD/USD在Uniswap V3交易情況

圖11：WLD/USD在Uniswap V3交易情況

全球監(jiān)管

Worldcoin正式推出以來(lái)，各國(guó)監(jiān)管機(jī)構(gòu)對(duì)這個(gè)項(xiàng)目進(jìn)行了調(diào)查，具體的事件軸和調(diào)查機(jī)構(gòu)分布如圖12。

（1）英國(guó)在Worldcoin發(fā)布的第二天宣布對(duì)Worldcoin進(jìn)行審查。

（2）法國(guó)隱私機(jī)構(gòu)CNIL對(duì)Worldcoin生物識(shí)別數(shù)據(jù)收集和存儲(chǔ)合法性保持懷疑態(tài)度，宣布展開(kāi)調(diào)查。

（3）考慮到數(shù)據(jù)處理的數(shù)據(jù)是生物虹膜，數(shù)據(jù)較為敏感，且未來(lái)會(huì)大規(guī)模覆蓋，德國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)在7月底宣布對(duì)其進(jìn)行調(diào)查。

（4）肯尼亞是Worldcoin項(xiàng)目開(kāi)啟的核心地區(qū)，在發(fā)行后，當(dāng)?shù)刎?cái)產(chǎn)、安全和數(shù)據(jù)保護(hù)服務(wù)機(jī)構(gòu)在8月2號(hào)展開(kāi)對(duì)其調(diào)查，并且肯尼亞內(nèi)政部在Facebook頁(yè)面發(fā)布暫停Worldcoin的運(yùn)營(yíng)。

（5）德國(guó)的右翼政黨成員表示對(duì)Worldcoin采用的生物識(shí)別設(shè)備跟醫(yī)療無(wú)關(guān)，而是用于對(duì)全球監(jiān)控，并且這種監(jiān)控是永久地，涉及到掃描者生活方方面面，例如日常行為軌跡和購(gòu)物習(xí)慣等。

圖12：各國(guó)監(jiān)管機(jī)構(gòu)對(duì)Worldcoin項(xiàng)目調(diào)查時(shí)間軸

4.總結(jié)

Worldcoin作為去中心化的項(xiàng)目，有著廣闊的愿景和野心，希望通過(guò)人格認(rèn)證和公平空投席卷Web 3世界和數(shù)字經(jīng)濟(jì)時(shí)代。其技術(shù)背景Orb和POP機(jī)制相對(duì)歷史的身份認(rèn)證機(jī)制在抗欺詐和可擴(kuò)展性方面具有一定優(yōu)勢(shì)，但是仍然存在隱私安全和合規(guī)風(fēng)險(xiǎn)，也受到各國(guó)監(jiān)管部門的審查，需不斷優(yōu)化和改善。目前項(xiàng)目還在初期階段，未來(lái)將會(huì)受諸多因素的影響，例如大規(guī)模硬件設(shè)備的制作，用戶對(duì)新生物技術(shù)的接受度以及各地政府監(jiān)管政策可行性。

在未來(lái)，加密技術(shù)、大數(shù)據(jù)和AI技術(shù)需要相互結(jié)合，提供更高效地技術(shù)支持和安全隱私保障，才能真正承載更多的用戶和更豐富的使用場(chǎng)景，才能實(shí)現(xiàn)將全球數(shù)十億人帶入 Web 3 領(lǐng)域和數(shù)字經(jīng)濟(jì)時(shí)代的愿景。

關(guān)于我們

SharkTeam的愿景是全面保護(hù)Web3世界的安全。團(tuán)隊(duì)由來(lái)自世界各地的經(jīng)驗(yàn)豐富的安全專業(yè)人士和高級(jí)研究人員組成，精通區(qū)塊鏈和智能合約的底層理論，提供包括智能合約審計(jì)、鏈上分析、應(yīng)急響應(yīng)等服務(wù)。已與區(qū)塊鏈生態(tài)系統(tǒng)各個(gè)領(lǐng)域的關(guān)鍵參與者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立長(zhǎng)期合作關(guān)系。