ワールドコインの「セキュリティ監査レポート」公開|監査会社2社が複数の項目を評価
ワールドコインのセキュリティ監査報告
仮想通貨WLDの配布で注目集めながらも、データ収集やプライバシー保護の観点から懸念の声もあがっている暗号資産プロジェクト「ワールドコイン」は2023年7月28日に、Worldcoinのセキュリティ監査が実施されたことを発表しました。
ワールドコイン(Worldcoin/WLD)は、ChatGPTなどの開発で知られる「OpenAI」のサム・アルマンCEOらが立ち上げた暗号資産プロジェクトであり、網膜スキャンによる生体認証機器「Orb」を用いた本人確認で「World ID」を発行し、ID保有者に仮想通貨「WLD」を配布しています。
Worldcoinに関しては最近の報道で「イギリス・フランス・ドイツなどの規制当局がデータ収集などの観点でワールドコインを調査している」ということが報告されていましたが、今回はワールドコインのセキュリティ監査が実施されたことが発表されています。
規制当局がワールドコインを調査
ワールドコインの公式発表によると、今回のセキュリティ監査は監査会社である「Nethermind」と「Least Authority」の2社によって合計2回別々に実施されたとのことで、具体的には以下のような複数の項目についての評価が行われたと説明されています。
- 暗号技術実装の正確性、およびスマートコントラクトの適切な使用
- 一般的な実装エラーや特定のケースにおけるエラー
- 攻撃者の行動やコードへの他の攻撃
- 安全な鍵の保管、暗号化鍵と署名鍵の適切な管理
- ユーザーとのやり取り中に重要情報が漏洩することの防止
- DDoS攻撃や同様の攻撃に対する耐性
- 敵対的な行動やその他の攻撃につながるコードの脆弱性
- 悪意のある攻撃やその他の悪用方法に対する保護
- 性能に影響を及ぼす可能性のある問題など
- データプライバシー・データ漏洩・情報の整合性
- 不適切な権限・権限の昇格・権限の過剰利用がないか
Nethermindがスマートコントラクトを評価
スマートコントラクトの監査を担当したのは「Nethermind」で、具体的には以下のようなコントラクトの監査を実施したとされています。(※スマートコントラクト=契約を自動執行する技術)
- World IDの契約内容
- World IDステートブリッジの内容
- World IDのエアドロップ契約内容
- 仮想通貨WLDの付与契約内容
- ERC20規格WLDと関連ウォレットの契約内容
これらのセキュリティ監査の結果、合計26件の問題点が明らかになったとのことですが、そのうちの92.6%にあたる24件の問題は既に修正されているとのことです。
残り2件の問題については、2件は問題が暖和され、もう1件は問題として認識されている状態となっています。
Least Authorityは暗号技術を評価
プロトコルの暗号技術の監査を担当したのは「Least Authority」で、具体的には以下のような内容についての評価を行ったと報告されています。
- Semaphoreプロトコルの使用とプロトコルのガス効率を向上させるための拡張機能
- プロトコルの暗号技術の設計と実装
- SemaphoreプロトコルのRust実装
- Semaphore Merkle Tree Batcher(SMTB)のGo実装
監査の結果、チームは3つの問題を特定して6つの提案を行ったとのことで、これらは全て解決されたか解決策が計画されていると説明されています。
なお、Least Authorityは今回の監査報告書の中で『ワールドコイン・プロトコルの暗号コンポーネントは、一般的によく設計され、実装されていることがわかった』とも評価しています。
「Nethermind」と「Least Authority」の監査レポートは一般公開されているため、両社が公開している各種ページにアクセスすれば詳細を確認することができます。
>>「Nethermind」の監査レポート
>>「Least Authority」の監査レポート
ワールドコインの詳細はこちら