Forklog
2024-04-02 09:51:34

Мнение: KYC ― не улучшение, а дыра в безопасности

В марте 2024 года профильные комитеты Европарламента одобрили запрет на анонимные переводы цифровых активов. Новые законы вступят в силу через три года в случае их принятия Советом ЕС и ЕП. Команда 50х.com уверена, что повсеместная идентификация пользователей негативно скажется на сохранности персональных данных. Вместе с разработчиками биржи разбираемся, почему KYC не гарантирует безопасность сервисов, и рассказываем, где торговать криптовалютами без верификации. Какие проблемы создает KYC В мае 2023 года производитель аппаратных кошельков Ledger представил сервис для восстановления закрытых ключей с помощью KYC-процедуры. При использовании Ledger Recover устройство разделяет сид-фразу на три зашифрованных фрагмента и отправляет внешним кастодианам. Глава Ledger Паскаль Готье заявил о наличии спроса на такую услугу со стороны начинающих инвесторов: «Главной проблемой при внедрении самостоятельного хранения криптовалют является именно возможность восстановления сид-фразы. Большинство пользователей сегодня либо не владеют своими закрытыми ключами, либо подвергают их риску, используя менее безопасные и сложные способы некастодиального хранения и защиты сид-фразы». В сообществе неоднозначно отреагировали на анонс Ledger Recover. Например, сооснователь 1inch Антон Буков указал на нарушение модели безопасности аппаратного кошелька, у которого «не должно быть API для раскрытия seed-фразы». Соучредитель и экс-CEO Ledger Эрик Ларшевек признал, что правительство может вызвать кастодианов зашифрованных фрагментов сид-фразы в суд и получить доступ к биткоинам. «В этом и заключается уязвимость сервисов с верификацией: если вы показываете паспорт для восстановления доступа к аккаунту, это могут сделать и злоумышленники.KYC и крипта ― это гремучая смесь. Они плохо сочетаются друг с другом, как по духу, так и чисто технически. В TradFi с помощью документов люди доказывают свою причастность к активам, например для наследования средств или обжалования незаконной транзакции. В блокчейне ничего нельзя откатить. Если хакер взломал ваш аккаунт, транзакция вывода останется в сети навсегда. На практике KYC дает больше простора для кражи, а не возвращения активов», — отмечают представители 50x.com. По их словам, сильная зависимость от третьих лиц является причиной негативного отношения к верификации: «Люди с большим опытом в крипте не любят KYC. Не потому, что хотят уклониться от уплаты налогов или отмыть деньги. Они знают: передавая данные бирже, пользователи теряют контроль над ними. Как сервисы хранят персональную информацию? Вы не можете знать наверняка.Компания Ledger служит показательным примером. В 2020 году электронные адреса, имена и номера телефонов миллиона людей попали в открытый доступ. После этого клиенты начали получать сообщения с угрозами физического насилия. Мошенники все еще рассылают им фишинговые письма». Криптобиржи утверждают, что KYC повышает безопасность клиентских активов: в случае подозрительной активности у площадок будет больше методов идентификации владельца аккаунта. Однако на практике сотрудники проверяют документы ненадлежащим образом, а пользователи обходят KYC.  Например, в прошлом году ончейн-сыщик ZachXBT верифицировался на Gate.io под именем Kим Чeн Ын и с электронной почтой notlazarus. When stolen funds go to a crypto exchange people like to assume that there is a real person with a real identity tied to an accountTo disprove this I was able to create an account on @gate_io and KYC as “Kim Jong-Un” with the email “notlazarus” and within minutes I was verified pic.twitter.com/oCZLK4hBh9— ZachXBT (@zachxbt) May 9, 2023 В феврале журналисты 404 Media прошли KYC на OKX с помощью паспорта, сгенерированного ИИ-алгоритмами на сервисе OnlyFake. Другие энтузиасты смогли обмануть сотрудников Binance, Kraken, Bybit, HTX, Coinbase, Bitget, Revolut и PayPal. Несмотря на уязвимость процедур верификации, в криптоиндустрии наблюдается тренд на их повсеместное внедрение. «Практически все крупные CEX ограничивают торговлю без KYC. Дольше всех держалась KuCoin, но в середине прошлого года и она ввела обязательную проверку личности.Мы наблюдаем явные признаки того, что регуляторы хотят пойти дальше — получить власть не только над биржевыми аккаунтами, но и кошельками пользователей криптовалют.Представьте, как глубоко какой-нибудь джи-мэн засунет руку в карманы граждан при неизбежном исчезновении наличных и отсутствии альтернатив в виде криптосервисов без KYC», ― отмечают в 50х.com. Где торговать криптовалютами без KYC 50x.com ― одна из немногих централизованных криптовалютных бирж без процедур верификации. Платформа работает на базе технологии Any2Any, позволяющей обменивать цифровые валюты без участия базовых активов вроде Tether или биткоина. https://forklog.com/exclusive/kvantovoe-torgovoe-yadro-any2any-tehnologiya-torgovli-v-lyubyh-napravleniyah Для регистрации на бирже нужно указать email и включить двухфакторную аутентификацию (2FA). Позднее можно добавить отдельный код для вывода средств. «Вы не потеряете активы, даже если введете пароль и 2FA на фишинговом сайте. Для входа на биржу и вывода токенов нужны разные коды», ― говорится на сайте 50х.com. Обязательное условие для начала торговли — создание мастер-ключа для однократного восстановления доступа к аккаунту. При его активации 50x.com запускает автоматический вывод криптовалют на заранее заданные адреса (Emergency Withdrawal Addresses, EWA). «Мастер-ключ позволит вывести средства и закрыть аккаунт при утрате пароля и/или 2FA. Он не несет дополнительных рисков для пользователей: если злоумышленник похитит мастер-ключ, то запустит вывод токенов на ваши адреса», ― отмечают в 50х.com. Выводы К 2024 году все крупные биржи ввели обязательную верификацию. Однако ее не стоит воспринимать как «необходимое зло». KYC-проверки не обеспечивают безопасность средств клиентов и уязвимы к атакам с использованием искусственного интеллекта. Идентификация пользователей стала стандартной практикой в TradFi. Команда 50х.com считает, что по своей сути она противоречит духу криптовалют, ограничивает финансовые свободы и подвергает персональные данные пользователей неоправданным рискам.

Get Crypto Newsletter
Read the Disclaimer : All content provided herein our website, hyperlinked sites, associated applications, forums, blogs, social media accounts and other platforms (“Site”) is for your general information only, procured from third party sources. We make no warranties of any kind in relation to our content, including but not limited to accuracy and updatedness. No part of the content that we provide constitutes financial advice, legal advice or any other form of advice meant for your specific reliance for any purpose. Any use or reliance on our content is solely at your own risk and discretion. You should conduct your own research, review, analyse and verify our content before relying on them. Trading is a highly risky activity that can lead to major losses, please therefore consult your financial advisor before making any decision. No content on our Site is meant to be a solicitation or offer.