Pont az ügyfélazonosítás miatt bukta el sok ügyfél az adatait a Coinbase-támadásban
A Coinbase nemrégiben történt adatszivárgása ismét vitát indított el arról, hogy mennyire is szükséges az engedéllyel bíró kriptotőzsdéken az ügyfélazonosítási (KYC) követelmények alkalmazása. 2024 decemberében rosszindulatú szereplők megvesztegettek a tőzsde tengerentúli ügyfélszolgálati dolgozói közül néhányat, hogy hozzáférjenek 70000 felhasználó személyes adataihoz. Májusban a Coinbase elismerte, hogy a hackerek olyan adatokhoz jutottak hozzá, mint személyi igazolványok fényképei és lakcímek.
Elég sokan fel is háborodtak az eseten, rámutatva, hogy konkrétan az ügyfélazonosítási követelmények miatt kerülhettek ilyen adatok rossz kezekbe. Mindenesetre a kriptotőzsdék számára nem kivitelezhető, hogy csak úgy hátat fordítsanak a KYC-nek, mivel az a legtöbb joghatóságban szabályozási kötelezettség. Eközben az olyan alternatívákat, mint például a zéró-tudás (ZK) bizonyítás, továbbra is korlátozzák a költségek és a technikai komplikációk. És ez ugyan a Coinbase példáján jött elő, de igazából a világon minden, szabályozói engedélyek alapján működő központosított kriptotőzsdére vonatkozik.
A KCY nem megy sehova, de mi magunk védekezhetünk
A központosított tőzsdék ma már útlevélszkenneléseket, azonosító igazolványokat, szelfiket vagy akár közüzemi számlákat is begyűjtenek és kezelnek a felhasználóktól, akik csak kereskedni szeretnének. A KYC-t a csalás, a pénzmosás és a terrorizmus finanszírozásának visszaszorítására tervezték. A gyakorlatban azonban a hétköznapi felhasználók vannak kiszolgáltatva, mert a támadók általában elég könnyen megtalálják a rendszer megkerülésének módját.
Főleg amióta a generatív AI ennyire előretört. Már 2024 februárjában arról számoltak be, hogy a felhasználók sikeresen megkerülhetik a kriptotőzsdék KYC ellenőrzéseit azzal, hogy AI segítségével generálják az útleveleket. Majd 2024 októberében egy másik AI szolgáltatás bukkant fel, amely egy videógeneráló eszközt adott hozzá a kriptós KYC ellenőrzések megkerülésére. De még korábbról is vannak ilyen példák. 2023-ban az ismert blokkláncelemző, ZachXBT mutatta be, hogy Kim Dzsong Un néven hamis személyazonosságot használva megkerülte a Gate.io ellenőrző rendszerét. Elmondása szerint ez mindössze percekbe telt neki.
És bár a KYC-t egyáltalán nem a kriptovalutákhoz tervezték, mostanra már ez az egyik sarokköve annak, ahogy a szabályozók kényszerítik a szabályok betartására ezt a szektort is. Ma már a kriptoszektorban az engedéllyel bíró platformok a személyazonosság ellenőrzésére támaszkodnak leginkább, miközben a rosszindulatú szereplők ezt a követelményt könnyedén kijátsszák. Lopott személyazonosságokat vagy KYC-ellenőrzött fiókokat lehet már vásárolni a darknet piactereken. Fejlett eszközöket, például mesterséges intelligenciát használhat szinte bárki arra, hogy minimális költséggel megkerülje ezeket az ellenőrzéseket.
300 megvizsgált piactérből ennyin lehetett venni KYC-azonosítást
A jövő
Egyes felhasználók a KYC eltörlését és modern innovációkkal, például zéró-tudás bizonyítás (ZK) technológiával való felváltását követelik. Ez lehetővé tenné, hogy az egyik fél bizonyítsa a másik félnek a személyazonosságát anélkül, hogy a mögöttes adatokat fel kellene fednie. Ez egy győztes-győztes helyzet lenne mindkét oldal számára. Ráadásul szinte minden kriptotőzsde és Web3-as cég egymástól függetlenül végzi a KYC-t, tehát minden ilyen platform egy újabb KYC-azonosítást és egy újabb potenciális adatvesztést jelent. Persze ne legyenek illúzióink. A KYC itt marad velünk, ez nem kérdés. Mert a Coinbase incidenst sokan nem adatszivárgásnak tartják, hanem munkatársakon keresztül való adatszerzésnek, amit nem technikai sebezhetőség tett lehetővé. Függetlenül attól azonban, hogy minek nevezzük, az ügyfelek adatai kiszivárogtak, legalábbis veszélybe kerültek. Úgyhogy csak azt lehet tanácsként megfogalmazni, hogy paranoiásnak és extrán óvatosnak kell lennie mindenkinek. Mindig mindent rendszeresen frissíteni kell, kétfaktoros azonosítást kell használni, nem kell ismeretlen linkekre kattintani és így tovább. Vagy használhatunk KYC-azonosítás nélküli platformokat.