Мнение: KYC ― не улучшение, а дыра в безопасности

В марте 2024 года профильные комитеты Европарламента одобрили запрет на анонимные переводы цифровых активов. Новые законы вступят в силу через три года в случае их принятия Советом ЕС и ЕП.

Команда 50х.com уверена, что повсеместная идентификация пользователей негативно скажется на сохранности персональных данных. Вместе с разработчиками биржи разбираемся, почему KYC не гарантирует безопасность сервисов, и рассказываем, где торговать криптовалютами без верификации.

Какие проблемы создает KYC

В мае 2023 года производитель аппаратных кошельков Ledger представил сервис для восстановления закрытых ключей с помощью KYC-процедуры. При использовании Ledger Recover устройство разделяет сид-фразу на три зашифрованных фрагмента и отправляет внешним кастодианам. 

Глава Ledger Паскаль Готье заявил о наличии спроса на такую услугу со стороны начинающих инвесторов:

«Главной проблемой при внедрении самостоятельного хранения криптовалют является именно возможность восстановления сид-фразы. Большинство пользователей сегодня либо не владеют своими закрытыми ключами, либо подвергают их риску, используя менее безопасные и сложные способы некастодиального хранения и защиты сид-фразы».

В сообществе неоднозначно отреагировали на анонс Ledger Recover. Например, сооснователь 1inch Антон Буков указал на нарушение модели безопасности аппаратного кошелька, у которого «не должно быть API для раскрытия seed-фразы».

Соучредитель и экс-CEO Ledger Эрик Ларшевек признал, что правительство может вызвать кастодианов зашифрованных фрагментов сид-фразы в суд и получить доступ к биткоинам.

«В этом и заключается уязвимость сервисов с верификацией: если вы показываете паспорт для восстановления доступа к аккаунту, это могут сделать и злоумышленники.

KYC и крипта ― это гремучая смесь. Они плохо сочетаются друг с другом, как по духу, так и чисто технически. В TradFi с помощью документов люди доказывают свою причастность к активам, например для наследования средств или обжалования незаконной транзакции. 

В блокчейне ничего нельзя откатить. Если хакер взломал ваш аккаунт, транзакция вывода останется в сети навсегда. На практике KYC дает больше простора для кражи, а не возвращения активов», — отмечают представители 50x.com.

По их словам, сильная зависимость от третьих лиц является причиной негативного отношения к верификации:

«Люди с большим опытом в крипте не любят KYC. Не потому, что хотят уклониться от уплаты налогов или отмыть деньги. Они знают: передавая данные бирже, пользователи теряют контроль над ними. Как сервисы хранят персональную информацию? Вы не можете знать наверняка.

Компания Ledger служит показательным примером. В 2020 году электронные адреса, имена и номера телефонов миллиона людей попали в открытый доступ. После этого клиенты начали получать сообщения с угрозами физического насилия. Мошенники все еще рассылают им фишинговые письма».

Криптобиржи утверждают, что KYC повышает безопасность клиентских активов: в случае подозрительной активности у площадок будет больше методов идентификации владельца аккаунта.

Однако на практике сотрудники проверяют документы ненадлежащим образом, а пользователи обходят KYC. 

Например, в прошлом году ончейн-сыщик ZachXBT верифицировался на Gate.io под именем Kим Чeн Ын и с электронной почтой notlazarus.

When stolen funds go to a crypto exchange people like to assume that there is a real person with a real identity tied to an account

To disprove this I was able to create an account on @gate_io and KYC as “Kim Jong-Un” with the email “notlazarus” and within minutes I was verified pic.twitter.com/oCZLK4hBh9

— ZachXBT (@zachxbt) May 9, 2023

В феврале журналисты 404 Media прошли KYC на OKX с помощью паспорта, сгенерированного ИИ-алгоритмами на сервисе OnlyFake. Другие энтузиасты смогли обмануть сотрудников Binance, Kraken, Bybit, HTX, Coinbase, Bitget, Revolut и PayPal.

Несмотря на уязвимость процедур верификации, в криптоиндустрии наблюдается тренд на их повсеместное внедрение.

«Практически все крупные CEX ограничивают торговлю без KYC. Дольше всех держалась KuCoin, но в середине прошлого года и она ввела обязательную проверку личности.

Мы наблюдаем явные признаки того, что регуляторы хотят пойти дальше — получить власть не только над биржевыми аккаунтами, но и кошельками пользователей криптовалют.

Представьте, как глубоко какой-нибудь джи-мэн засунет руку в карманы граждан при неизбежном исчезновении наличных и отсутствии альтернатив в виде криптосервисов без KYC», ― отмечают в 50х.com.

Где торговать криптовалютами без KYC

50x.com ― одна из немногих централизованных криптовалютных бирж без процедур верификации. Платформа работает на базе технологии Any2Any, позволяющей обменивать цифровые валюты без участия базовых активов вроде Tether или биткоина.

Для регистрации на бирже нужно указать email и включить двухфакторную аутентификацию (2FA). Позднее можно добавить отдельный код для вывода средств.

«Вы не потеряете активы, даже если введете пароль и 2FA на фишинговом сайте. Для входа на биржу и вывода токенов нужны разные коды», ― говорится на сайте 50х.com.

Обязательное условие для начала торговли — создание мастер-ключа для однократного восстановления доступа к аккаунту. При его активации 50x.com запускает автоматический вывод криптовалют на заранее заданные адреса (Emergency Withdrawal Addresses, EWA).

«Мастер-ключ позволит вывести средства и закрыть аккаунт при утрате пароля и/или 2FA. Он не несет дополнительных рисков для пользователей: если злоумышленник похитит мастер-ключ, то запустит вывод токенов на ваши адреса», ― отмечают в 50х.com.

Выводы

К 2024 году все крупные биржи ввели обязательную верификацию. Однако ее не стоит воспринимать как «необходимое зло». KYC-проверки не обеспечивают безопасность средств клиентов и уязвимы к атакам с использованием искусственного интеллекта.

Идентификация пользователей стала стандартной практикой в TradFi. Команда 50х.com считает, что по своей сути она противоречит духу криптовалют, ограничивает финансовые свободы и подвергает персональные данные пользователей неоправданным рискам.