Новости криптомира

02.04.2024
09:55

Мнение: KYC ― не улучшение, а дыра в безопасности

Почему_KYC_–_это_дыра_в_безопасности,_а_не_дополнительный_уровень_безопасности_(50х)

В марте 2024 года профильные комитеты Европарламента одобрили запрет на анонимные переводы цифровых активов. Новые законы вступят в силу через три года в случае их принятия Советом ЕС и ЕП.

Команда 50х.com уверена, что повсеместная идентификация пользователей негативно скажется на сохранности персональных данных. Вместе с разработчиками биржи разбираемся, почему KYC не гарантирует безопасность сервисов, и рассказываем, где торговать криптовалютами без верификации.

Какие проблемы создает KYC

В мае 2023 года производитель аппаратных кошельков Ledger представил сервис для восстановления закрытых ключей с помощью KYC-процедуры. При использовании Ledger Recover устройство разделяет сид-фразу на три зашифрованных фрагмента и отправляет внешним кастодианам. 

Глава Ledger Паскаль Готье заявил о наличии спроса на такую услугу со стороны начинающих инвесторов:

«Главной проблемой при внедрении самостоятельного хранения криптовалют является именно возможность восстановления сид-фразы. Большинство пользователей сегодня либо не владеют своими закрытыми ключами, либо подвергают их риску, используя менее безопасные и сложные способы некастодиального хранения и защиты сид-фразы».

В сообществе неоднозначно отреагировали на анонс Ledger Recover. Например, сооснователь 1inch Антон Буков указал на нарушение модели безопасности аппаратного кошелька, у которого «не должно быть API для раскрытия seed-фразы».

Соучредитель и экс-CEO Ledger Эрик Ларшевек признал, что правительство может вызвать кастодианов зашифрованных фрагментов сид-фразы в суд и получить доступ к биткоинам.

«В этом и заключается уязвимость сервисов с верификацией: если вы показываете паспорт для восстановления доступа к аккаунту, это могут сделать и злоумышленники.

KYC и крипта ― это гремучая смесь. Они плохо сочетаются друг с другом, как по духу, так и чисто технически. В TradFi с помощью документов люди доказывают свою причастность к активам, например для наследования средств или обжалования незаконной транзакции. 

В блокчейне ничего нельзя откатить. Если хакер взломал ваш аккаунт, транзакция вывода останется в сети навсегда. На практике KYC дает больше простора для кражи, а не возвращения активов», — отмечают представители 50x.com.

По их словам, сильная зависимость от третьих лиц является причиной негативного отношения к верификации:

«Люди с большим опытом в крипте не любят KYC. Не потому, что хотят уклониться от уплаты налогов или отмыть деньги. Они знают: передавая данные бирже, пользователи теряют контроль над ними. Как сервисы хранят персональную информацию? Вы не можете знать наверняка.

Компания Ledger служит показательным примером. В 2020 году электронные адреса, имена и номера телефонов миллиона людей попали в открытый доступ. После этого клиенты начали получать сообщения с угрозами физического насилия. Мошенники все еще рассылают им фишинговые письма».

Криптобиржи утверждают, что KYC повышает безопасность клиентских активов: в случае подозрительной активности у площадок будет больше методов идентификации владельца аккаунта.

Однако на практике сотрудники проверяют документы ненадлежащим образом, а пользователи обходят KYC. 

Например, в прошлом году ончейн-сыщик ZachXBT верифицировался на Gate.io под именем Kим Чeн Ын и с электронной почтой notlazarus.

В феврале журналисты 404 Media прошли KYC на OKX с помощью паспорта, сгенерированного ИИ-алгоритмами на сервисе OnlyFake. Другие энтузиасты смогли обмануть сотрудников Binance, Kraken, Bybit, HTX, Coinbase, Bitget, Revolut и PayPal.

Несмотря на уязвимость процедур верификации, в криптоиндустрии наблюдается тренд на их повсеместное внедрение.

«Практически все крупные CEX ограничивают торговлю без KYC. Дольше всех держалась KuCoin, но в середине прошлого года и она ввела обязательную проверку личности.

Мы наблюдаем явные признаки того, что регуляторы хотят пойти дальше — получить власть не только над биржевыми аккаунтами, но и кошельками пользователей криптовалют.

Представьте, как глубоко какой-нибудь джи-мэн засунет руку в карманы граждан при неизбежном исчезновении наличных и отсутствии альтернатив в виде криптосервисов без KYC», ― отмечают в 50х.com.

Где торговать криптовалютами без KYC

50x.com ― одна из немногих централизованных криптовалютных бирж без процедур верификации. Платформа работает на базе технологии Any2Any, позволяющей обменивать цифровые валюты без участия базовых активов вроде Tether или биткоина.

https://forklog.com/exclusive/kvantovoe-torgovoe-yadro-any2any-tehnologiya-torgovli-v-lyubyh-napravleniyah

Для регистрации на бирже нужно указать email и включить двухфакторную аутентификацию (2FA). Позднее можно добавить отдельный код для вывода средств.

«Вы не потеряете активы, даже если введете пароль и 2FA на фишинговом сайте. Для входа на биржу и вывода токенов нужны разные коды», ― говорится на сайте 50х.com.

Обязательное условие для начала торговли — создание мастер-ключа для однократного восстановления доступа к аккаунту. При его активации 50x.com запускает автоматический вывод криптовалют на заранее заданные адреса (Emergency Withdrawal Addresses, EWA).

«Мастер-ключ позволит вывести средства и закрыть аккаунт при утрате пароля и/или 2FA. Он не несет дополнительных рисков для пользователей: если злоумышленник похитит мастер-ключ, то запустит вывод токенов на ваши адреса», ― отмечают в 50х.com.

Выводы

К 2024 году все крупные биржи ввели обязательную верификацию. Однако ее не стоит воспринимать как «необходимое зло». KYC-проверки не обеспечивают безопасность средств клиентов и уязвимы к атакам с использованием искусственного интеллекта.

Идентификация пользователей стала стандартной практикой в TradFi. Команда 50х.com считает, что по своей сути она противоречит духу криптовалют, ограничивает финансовые свободы и подвергает персональные данные пользователей неоправданным рискам.