Недавняя утечка данных Coinbase подстегнула возобновленные призывы к отмене требований «Знай своего клиента» (KYC) на лицензированных криптовалютных биржах.
Злоумышленники подкупили сотрудников зарубежной службы поддержки биржи в декабре 2024 года, чтобы получить доступ к личной информации 70 000 пользователей. В мае Coinbase признала, что хакеры получили доступ к таким данным, как фотографии документов, удостоверяющих личность, и домашние адреса.
«Вся эта показная безопасность должна быть немедленно отменена. Снова и снова она приносит пользу только хакерам и вымогателям», — написал псевдонимный разработчик Banteg в X. «KYC на самом деле способствует преступности».
Однако биржам нецелесообразно просто закрывать глаза на KYC, поскольку это нормативное требование в нескольких юрисдикциях. Между тем, альтернативы, повышающие конфиденциальность, такие как доказательства с нулевым разглашением (ZK), остаются ограниченными из-за стоимости и технической сложности.
KYC становится дефектным привратником для Coinbase
Последний скандал с данными Coinbase ставит компанию, котирующуюся на Nasdaq, в неловкое положение. Но эта проблема касается всех централизованных криптоплатформ, работающих под лицензией регулирующих органов по всему миру. Централизованные биржи теперь собирают и хранят сканы паспортов, удостоверения личности, селфи или даже счета за коммунальные услуги от пользователей, которые просто хотят торговать.
KYC был разработан для борьбы с мошенничеством, отмыванием денег и финансированием терроризма. Но на практике именно обычные пользователи оказываются уязвимыми, в то время как целеустремленные злоумышленники находят способы обойти систему.
«Любой может сгенерировать поддельный американский паспорт или диплом престижной юридической школы. И 50% предприятий с проверкой личности, вероятно, можно обойти с помощью генеративного ИИ», — рассказал Ilia Kolochenko, генеральный директор компании ImmuniWeb, Cointelegraph.
В феврале 2024 года сообщалось, что люди успешно обходят проверки KYC на криптобиржах, генерируя паспорта с помощью ИИ. Затем, в октябре 2024 года, появилась еще одна ИИ-служба, добавившая инструмент для генерации видео для обхода проверок KYC в крипто.
В 2023 году известный криптодетектив ZachXBT поделился подробностями демонстрации, в которой он обошел систему проверки Gate.io, используя поддельную личность от имени лидера Северной Кореи «Ким Чен Ына». Он сказал, что ему потребовалось всего несколько минут.
Lisa Loud, исполнительный директор Secret Foundation, подозревает, что ее личные данные были включены в утечку данных Coinbase из-за растущего числа подозрительных спам-сообщений, которые она получает.
«Только вчера я получила пять SMS-сообщений о Coinbase, в которых говорилось, что кто-то пытается получить доступ к моей 2FA или вывести средства», — рассказала Loud Cointelegraph. «Суть Web3 — выйти за рамки проблем Web2, а не повторять их».
В финансовом смысле она считает себя удачливой, поскольку у нее не так много средств на бирже. Она больше обеспокоена своей личной информацией, к которой могут получить доступ злоумышленники.
Coinbase показывает, как Web2 KYC не подходит для пользователей Web3
KYC не был разработан с учетом крипто, но теперь он является краеугольным камнем того, как регулирующие органы заставляют развивающуюся индустрию играть по традиционным правилам.
«Проблема не в том, что мы проверяем личности людей, а в том, что мы делаем это по-Web2, а не по-новому», — сказала Loud. «Их цель — ужесточить свою модель риска. Это имеет смысл с точки зрения бизнеса, но это совершенно несправедливо по отношению к пользователям».
Практика KYC возникла в 1970-х годах в соответствии с Законом США о банковской тайне и была значительно усилена после терактов 11 сентября в соответствии с законом «Патриот» в рамках «Программы идентификации клиентов».
Крипто возникло позже, но все чаще полагается на проверку личности. Злоумышленники могут покупать украденные личности или KYC-верифицированные учетные записи на даркнет-маркетплейсах или использовать передовые инструменты, такие как ИИ, для обхода этих проверок с минимальными затратами.
Некоторые пользователи призвали отменить KYC и заменить его современными инновациями, такими как технология доказательства с нулевым разглашением (ZK). Это позволило бы одной стороне доказать другой, что информация верна, не раскрывая при этом базовые данные. В теории, это может позволить регулирующим органам выполнять свои нормативные требования, сохраняя при этом конфиденциальность пользователей.
«Проблема в том, что биржи и многие Web3-компании проводят KYC независимо друг от друга, снова и снова. Но если бы я мог проверить свою личность один раз, а затем использовать эту услугу для предоставления доказательства личности с нулевым разглашением, это было бы намного лучше», — сказала Loud.
Скандал с Coinbase не приведет к отмене KYC
Хотя современные блокчейн-решения могут повысить конфиденциальность, одновременно проверяя личности пользователей, Kolochenko сказал, что KYC будет продолжать существовать во всем мире, несмотря на свои недостатки.
«KYC никуда не денется, и регулирующие органы не опускают планку. Без него крипто рискует стать инструментом для любого преступления», — сказал он.
Несмотря на инцидент с безопасностью, Kolochenko отказался классифицировать его как утечку данных, отметив, что информация о клиентах была украдена путем подкупа сотрудников Coinbase за границей, а не в результате повреждения инфраструктуры или технической уязвимости.
Независимо от того, как это называется, данные клиентов были скомпрометированы. Мало что они могут сделать, кроме как следовать лучшим практикам для поддержания чистого цифрового следа.
Физические преступления против владельцев криптовалюты растут.
«Включите параноидальный режим — в хорошем смысле. Обновите все. Включите 2FA. Никогда не доверяйте входящему звонку, запрашивающему ваш seed phrase», — сказал Kolochenko.
Loud является сторонником технологии ZK, которая может повысить конфиденциальность, одновременно удовлетворяя требованиям проверки личности. Но она признает, что ее внедрение требует времени и усилий. Она также обеспокоена тем, что в ближайшее время технология не будет широко доступна.
Утечка данных Coinbase вызвала широкое возмущение в криптосообществе. Многие пользователи выразили свою обеспокоенность по поводу своей личной информации и призвали к более строгим мерам безопасности. Некоторые призвали к отмене KYC, в то время как другие считают, что это необходимый компромисс для борьбы с преступностью.
