" Недавняя утечка с Coinbase Coinbase привела к раскрытию персональных данных 70 000 пользователей, что вызвало дебаты о переосмыслении систем KYC в криптовалютах. Звучат призывы отменить требования «Знай своего клиента» (KYC) на лицензированных криптовалютных биржах.
В декабре 2024 года незаконные деятели подкупили зарубежных агентов службы поддержки клиентов биржи, чтобы получить доступ к личной информации 70 000 пользователей. В мае Coinbase признала, что хакеры получили такие данные, как фотографии удостоверений личности, выданных правительством, и домашние адреса.
«Весь этот театр безопасности нужно отменить как можно скорее. Снова и снова он приносит пользу только хакерам и вымогателям, — сказал на X разработчик под псевдонимом Бантег. — KYC на самом деле способствует преступности».
Однако биржи не могут просто отказаться от проверки KYC, поскольку та является нормативным требованием в нескольких юрисдикциях. Между тем, альтернативы, повышающие конфиденциальность, такие как доказательства с нулевым разглашением (ZK), остаются ограниченными из-за стоимости и технической сложности.
Крупный скандал с данными едва ли повлиял на показатели акций Coinbase в мае. Источник: Nasdaq.
KYC становится ненадежным контролером для Coinbase
Последний скандал с данными Coinbase поставил компанию, котирующуюся на Nasdaq, в затруднительное положение, но эта проблема касается всех централизованных криптоплатформ, работающих по регулирующим лицензиям по всему миру. Централизованные биржи собирают сканы паспортов, правительственных удостоверений личности, селфи или даже счета за коммунальные услуги от пользователей, которые просто хотят торговать.
KYC был разработан для борьбы с мошенничеством, отмыванием денег и финансированием терроризма. Но на практике под угрозой оказываются обычные пользователи, в то время как решительные злоумышленники находят способы обойти систему.
«Любой может сгенерировать поддельный паспорт США или диплом ведущей юридической школы. И 50% предприятий с проверкой личности, вероятно, можно обойти с помощью генеративного ИИ», — говорит Илья Колоченко, генеральный директор компании по кибербезопасности ImmuniWeb.
В феврале 2024 года сообщалось, что люди могут успешно обходить проверку KYC на криптовалютных биржах, генерируя паспорта с помощью ИИ. В октябре того же года появился еще один сервис ИИ, добавивший инструмент генерации видео для обхода проверок KYC криптовалют.
Еще в 2023 году известный блокчейн-детектив ZachXBT поделился подробностями демонстрации, в ходе которой он обошел систему проверки Gate.io, используя поддельную личность под именем северокорейского лидера «Ким Чен Ына». По его словам, на это у него ушло всего несколько минут.
Проверка криптодетективом слабой проверки KYC не была единичной. Источник: ZachXBT.
Лиза Лауд, исполнительный директор Secret Foundation, подозревает, что ее персональные данные были взломаны Coinbase из-за увеличения числа подозрительных спам-сообщений, которые она получает.
«Только вчера я получил пять текстовых сообщений от Coinbase, в которых говорилось, что кто-то пытается получить доступ к моей 2FA или вывести средства, — сообщила Лауд. — Весь смысл Web3 — выйти за рамки проблем Web2, а не повторять их».
В финансовом смысле она считает себя защищенной, так как не держит много на бирже. Она больше обеспокоена своей личной информацией, к которой могут получить доступ мошенники.
Случай с Coinbase подчеркивает, как Web2 KYC подводит пользователей Web3
KYC был разработан без учета криптовалют, но теперь он стал краеугольным камнем того, как регулирующие органы заставляют развивающуюся отрасль играть по традиционным правилам.
«Проблема не в том, что мы проводим KYC-тестирование людей; проблема в том, что мы делаем это способом Web2, а не новым способом, — сказала Лауд. — Их цель — минимизировать свои риски. Это имеет смысл с точки зрения бизнеса, но это совершенно несправедливо по отношению к пользователям».
Практика KYC возникла в 1970-х годах в соответствии с Законом США о банковской тайне и была значительно усилена после атак 11 сентября благодаря Закону США «Патриот» в рамках «Программы идентификации клиентов».
Криптовалюта появилась гораздо позже, но все больше полагается на проверку личности. Незаконные деятели могут покупать украденные личности или проверенные KYC аккаунты на торговых площадках даркнета, а также использовать передовые инструменты, такие как ИИ, чтобы обойти эти проверки с минимальными затратами.
Исследование проверяет 300 ссылок в даркнете, чтобы найти 12 сайтов, продающих проверенные KYC аккаунты на платформах денежных переводов. Источник: CertiK.
Некоторые пользователи призывают отменить KYC и заменить его современными инновациями, такими как технология нулевого разглашения (ZK). Это позволит одной стороне доказать другой, что информация верна, без необходимости раскрывать базовые данные. Теоретически это может позволить регулирующим органам ставить галочки в полях соответствия, в то время как пользователи сохранят свою конфиденциальность.
Утечка данных на одной из самых зрелых криптобирж вызвала митинг против практик KYC. Источник: Франсиско Кальдерон.
«Проблема в том, что все биржи и многие компании Web3 проходят KYC независимо друг от друга, снова и снова. Но если бы я могла подтвердить свою личность один раз, а затем использовать этот сервис для предоставления доказательства личности с нулевым разглашением, это было бы намного лучше», — сказала Лауд.
Скандал на Coinbase не отменит KYC
По словам Колоченко, хотя современные решения на основе блокчейна могут улучшить конфиденциальность при проверке личности пользователей, KYC продолжит применяться в разных странах, несмотря на свои недостатки.
«KYC останется, и регуляторы не снизят планку. Если что, они ее поднимут. Без нее криптовалюта рискует стать инструментом для всех мыслимых преступлений», — сказал он.
Упомянутый инцидент с безопасностью Колоченко отказался классифицировать как утечку данных, отметив, что информация о клиентах была украдена посредством подкупа зарубежных сотрудников Coinbase, а не из-за повреждения инфраструктуры или технической уязвимости.
Однако, независимо от того, как это называется, данные клиентов были скомпрометированы. Результат? Растет количество физических преступлений против владельцев криптовалют.
«Включите режим паранойи — в хорошем смысле. Обновите все. Включите 2FA. Никогда не доверяйте входящему звонку, запрашивающему вашу seed-фразу», — сказал Колоченко.
Лауд является сторонником технологии ZK, которая может повысить конфиденциальность, удовлетворяя при этом требованиям проверки личности. Но даже она признает, что технология не может быть внедрена немедленно из-за ее больших вычислительных потребностей и расходов.
В то время как пользователи криптовалюты изо всех сил пытаются восстановить свою конфиденциальность, регулирующие органы и биржи по-прежнему придерживаются принципа «в первую очередь соответствие требованиям», требующего предоставления персональных данных.
Лауд стала особенно осторожной после утечки данных Coinbase, которая, как она подозревает, затронула и ее. Теперь она подумывает сменить номер телефона, который у нее был более десяти лет, поскольку он внезапно оказался завален спам-сообщениями, связанными с Coinbase.
Нарушение также вызвало опасения по поводу безопасности пользователей, поскольку в утечку попали данные о домашних адресах. TechCrunch и основатель Arrington Capital Майкл Аррингтон заявил на X, что утечка информации может подвергнуть пользователей физическому риску.
