Koniec prywatności w krypto?
Wyciek danych w Coinbase. Czy to koniec KYC w kryptowalutach?
Społeczność kryptowalutowa przeżywa kolejny skandal związany z bezpieczeństwem danych. Tym razem w centrum uwagi znalazł się Coinbase – jedna z największych giełd kryptowalutowych na świecie. Przestępcy zdołali przekupić zagranicznych pracowników działu obsługi klienta, co skutkowało wyciekiem danych osobowych aż 70 tysięcy użytkowników.
Skala problemu większa niż początkowo sądzono
Wykradzione informacje obejmowały zdjęcia dokumentów tożsamości, adresy zamieszkania oraz dane niezbędne do weryfikacji dwuskładnikowej (2FA). Co niepokojące, atak nie był wynikiem awarii systemów bezpieczeństwa, lecz konsekwencją ludzkiego czynnika – przekupstwa pracowników.
Skutki incydentu odczuwają na sobie zwykli użytkownicy. Coraz więcej osób zgłasza podejrzane wiadomości, próby nieuprawnionego logowania czy próby wyłudzenia dodatkowych danych. Lisa Loud z Secret Foundation przyznała, że w ciągu jednego dnia otrzymała pięć podejrzanych wiadomości tekstowych rzekomo od Coinbase.
KYC – ochrona czy zagrożenie?
KYC (Know Your Customer) to obowiązkowa procedura identyfikacji klientów, która ma przeciwdziałać praniu pieniędzy, oszustwom i finansowaniu terroryzmu. W rzeczywistości jednak coraz częściej okazuje się, że nie przestępcy, lecz zwykli użytkownicy ponoszą konsekwencje gromadzenia i przechowywania wrażliwych danych przez scentralizowane giełdy.
Dane klientów – skany paszportów, dowodów osobistych czy rachunków – trafiają do systemów, które nie zawsze są odpowiednio zabezpieczone. Tymczasem cyberprzestępcy wykorzystują sztuczną inteligencję do generowania fałszywych dokumentów i nagrań wideo, które bez trudu przechodzą weryfikację.
Pokazał to w 2023 roku znany śledczy blockchain ZachXBT, który udowodnił, że można przejść weryfikację KYC na popularnej giełdzie Gate.io, podszywając się pod Kim Dzong Una. Cała operacja zajęła mu zaledwie kilka minut.
Przestarzałe rozwiązania w nowoczesnym świecie
Procedury KYC pochodzą jeszcze z lat 70. i zostały zaprojektowane z myślą o bankowości tradycyjnej. Lisa Loud zwraca uwagę, że problemem nie jest sama idea weryfikacji, ale sposób jej realizacji. Giełdy stosują przestarzałe procedury z ery Web2, które nie przystają do zdecentralizowanych realiów świata kryptowalut.
Rozwiązaniem mogłaby być technologia zero-knowledge proofs (ZK), która pozwala potwierdzić tożsamość bez ujawniania wrażliwych danych. Teoretycznie daje to szansę na pogodzenie wymogów regulatorów z prawem użytkowników do prywatności. W praktyce jednak technologia ta pozostaje droga i skomplikowana we wdrożeniu.
Przyszłość bez KYC? Mało prawdopodobna
Pomimo rosnącej krytyki, eksperci nie mają złudzeń – KYC nie zniknie. Ilia Kolochenko, CEO firmy ImmuniWeb, zauważa: „Regulatorzy nie tylko nie obniżą wymagań – prawdopodobnie je zaostrzą. Bez KYC kryptowaluty mogłyby stać się narzędziem do wszelkiego rodzaju przestępstw."
Bardziej realnym scenariuszem jest modernizacja obecnych rozwiązań. Zamiast wielokrotnego przesyłania tych samych dokumentów na różnych platformach, użytkownicy mogliby korzystać z jednego źródła weryfikacji i posługiwać się nim na zasadzie potwierdzenia ZK. To jednak wciąż pieśń przyszłości.
Co mogą zrobić użytkownicy?
W obliczu rosnących zagrożeń użytkownikom pozostaje zachowanie szczególnej ostrożności. Regularne aktualizacje oprogramowania, silne hasła, dwuetapowa weryfikacja i ograniczone zaufanie do nieznanych wiadomości to podstawowe środki ochrony.
Niektórzy, jak Lisa Loud, rozważają nawet radykalne kroki – zmianę numeru telefonu czy adresu e-mail, by uciec przed falą spamu i prób wyłudzeń. To pokazuje, jak poważne są konsekwencje wycieku danych dla zwykłych użytkowników kryptowalut.
