Мнение: KYC ― не улучшение, а дыра в безопасности

В марте 2024 года профильные комитеты Европарламента одобрили запрет на анонимные переводы цифровых активов. Новые законы вступят в силу через три года в случае их принятия Советом ЕС и ЕП. Команда 50х.com уверена, что повсеместная идентификация пользователей негативно скажется на сохранности персональных данных. Вместе с разработчиками биржи разбираемся, почему KYC не гарантирует безопасность сервисов, и рассказываем, где торговать криптовалютами без верификации. Какие проблемы создает KYC В мае 2023 года производитель аппаратных кошельков Ledger представил сервис для восстановления закрытых ключей с помощью KYC-процедуры. При использовании Ledger Recover устройство разделяет сид-фразу на три зашифрованных фрагмента и отправляет внешним кастодианам. Глава Ledger Паскаль Готье заявил о наличии спроса на такую услугу со стороны начинающих инвесторов: «Главной проблемой при внедрении самостоятельного хранения криптовалют является именно возможность восстановления сид-фразы. Большинство пользователей сегодня либо не владеют своими закрытыми ключами, либо подвергают их риску, используя менее безопасные и сложные способы некастодиального хранения и защиты сид-фразы». В сообществе неоднозначно отреагировали на анонс Ledger Recover. Например, сооснователь 1inch Антон Буков указал на нарушение модели безопасности аппаратного кошелька, у которого «не должно быть API для раскрытия seed-фразы». Соучредитель и экс-CEO Ledger Эрик Ларшевек признал, что правительство может вызвать кастодианов зашифрованных фрагментов сид-фразы в суд и получить доступ к биткоинам. «В этом и заключается уязвимость сервисов с верификацией: если вы показываете паспорт для восстановления доступа к аккаунту, это могут сделать и злоумышленники.KYC и крипта ― это гремучая смесь. Они плохо сочетаются друг с другом, как по духу, так и чисто технически. В TradFi с помощью документов люди доказывают свою причастность к активам, например для наследования средств или обжалования незаконной транзакции. В блокчейне ничего нельзя откатить. Если хакер взломал ваш аккаунт, транзакция вывода останется в сети навсегда. На практике KYC дает больше простора для кражи, а не возвращения активов», — отмечают представители 50x.com. По их словам, сильная зависимость от третьих лиц является причиной негативного отношения к верификации: «Люди с большим опытом в крипте не любят KYC. Не потому, что хотят уклониться от уплаты налогов или отмыть деньги. Они знают: передавая данные бирже, пользователи теряют контроль над ними. Как сервисы хранят персональную информацию? Вы не можете знать наверняка.Компания Ledger служит показательным примером. В 2020 году электронные адреса, имена и номера телефонов миллиона людей попали в открытый доступ. После этого клиенты начали получать сообщения с угрозами физического насилия. Мошенники все еще рассылают им фишинговые письма». Криптобиржи утверждают, что KYC повышает безопасность клиентских активов: в случае подозрительной активности у площадок будет больше методов идентификации владельца аккаунта. Однако на практике сотрудники проверяют документы ненадлежащим образом, а пользователи обходят KYC.  Например, в прошлом году ончейн-сыщик ZachXBT верифицировался на Gate.io под именем Kим Чeн Ын и с электронной почтой notlazarus. When stolen funds go to a crypto exchange people like to assume that there is a real person with a real identity tied to an accountTo disprove this I was able to create an account on @gate_io and KYC as “Kim Jong-Un” with the email “notlazarus” and within minutes I was verified pic.twitter.com/oCZLK4hBh9— ZachXBT (@zachxbt) May 9, 2023 В феврале журналисты 404 Media прошли KYC на OKX с помощью паспорта, сгенерированного ИИ-алгоритмами на сервисе OnlyFake. Другие энтузиасты смогли обмануть сотрудников Binance, Kraken, Bybit, HTX, Coinbase, Bitget, Revolut и PayPal. Несмотря на уязвимость процедур верификации, в криптоиндустрии наблюдается тренд на их повсеместное внедрение. «Практически все крупные CEX ограничивают торговлю без KYC. Дольше всех держалась KuCoin, но в середине прошлого года и она ввела обязательную проверку личности.Мы наблюдаем явные признаки того, что регуляторы хотят пойти дальше — получить власть не только над биржевыми аккаунтами, но и кошельками пользователей криптовалют.Представьте, как глубоко какой-нибудь джи-мэн засунет руку в карманы граждан при неизбежном исчезновении наличных и отсутствии альтернатив в виде криптосервисов без KYC», ― отмечают в 50х.com. Где торговать криптовалютами без KYC 50x.com ― одна из немногих централизованных криптовалютных бирж без процедур верификации. Платформа работает на базе технологии Any2Any, позволяющей обменивать цифровые валюты без участия базовых активов вроде Tether или биткоина. https://forklog.com/exclusive/kvantovoe-torgovoe-yadro-any2any-tehnologiya-torgovli-v-lyubyh-napravleniyah Для регистрации на бирже нужно указать email и включить двухфакторную аутентификацию (2FA). Позднее можно добавить отдельный код для вывода средств. «Вы не потеряете активы, даже если введете пароль и 2FA на фишинговом сайте. Для входа на биржу и вывода токенов нужны разные коды», ― говорится на сайте 50х.com. Обязательное условие для начала торговли — создание мастер-ключа для однократного восстановления доступа к аккаунту. При его активации 50x.com запускает автоматический вывод криптовалют на заранее заданные адреса (Emergency Withdrawal Addresses, EWA). «Мастер-ключ позволит вывести средства и закрыть аккаунт при утрате пароля и/или 2FA. Он не несет дополнительных рисков для пользователей: если злоумышленник похитит мастер-ключ, то запустит вывод токенов на ваши адреса», ― отмечают в 50х.com. Выводы К 2024 году все крупные биржи ввели обязательную верификацию. Однако ее не стоит воспринимать как «необходимое зло». KYC-проверки не обеспечивают безопасность средств клиентов и уязвимы к атакам с использованием искусственного интеллекта. Идентификация пользователей стала стандартной практикой в TradFi. Команда 50х.com считает, что по своей сути она противоречит духу криптовалют, ограничивает финансовые свободы и подвергает персональные данные пользователей неоправданным рискам.