مشکلات مربوط به احراز هویت مشتریان (KYC) در دنیای کرپتو

احراز هویت مشتریان (KYC) در دنیای ارزهای دیجیتال

در این مقاله به تاثیر احراز هویت مشتریان (KYC) بر فلسفه وجودی بیت کوین می پردازیم.

مقدمه

در وایت پیپر بیت کوین، ساتوشی ناکاموتو لزوم وجود یک سیستم انتقال ارزش از طریق اینترنت و بدون نیاز به شخص ثالث قابل اعتماد، را گوشزد کرده است. چند ماه بعد، ناکاموتو شبکه بیت کوین را به دنیا معرفی کرد. در اولین بلوک (جنسیس بلاک) بلاکچین بیت کوین، پیام زیر گنجانده شد: ” ۰۳/ژانویه/۲۰۰۹ مجله تایمز، صدر اعظم در آستانه تصویب دومین کمک مالی برای بانک ها است.” از یک سو، این نقل قول به یک خبر در بریتانیا اشاره می کند که در آن صدراعظم آلیستر دارلینگ به کمک مالی دوم برای بانک ها، که به معنای تزریق میلیاردها پوند انگلیس به اقتصاد است، اشاره می کند.

از سوی دیگر، این نقل قول به ناامیدی و بی اعتمادی ناکاموتو به سیستم مالی سنتی و به طور گسترده تر، به اشخاص ثالث قابل اعتماد اشاره دارد. این موضوع در چکیده وایت پیپر و خطوط آغازین پاراگراف اول مشخص شده است. در بخش دیگری از وایت پیپر بیت کوین، ناکاموتو مدل سنتی حریم خصوصی مالی را با مدل حریم خصوصی بیت کوین مقایسه می کند. در مدل بیت کوین، اشخاص ثالث قابل اعتماد دیگر مسئولیت حفاظت از حریم خصوصی افراد با محدود کردن دسترسی به اطلاعات را ندارند. در واقع، به هیچ وجه به اطلاعات شخصی نیاز نیست. با بیت کوین، افراد می توانند با «ناشناس نگه داشتن کلیدهای عمومی» حریم خصوصی خود را حفظ کنند.

ناکاموتو در اولین پست فروم بیت کوین

ما باید با حریم خصوصی خود به آنها اعتماد کنیم، به آنها اعتماد کنیم که به سارقان هویت اجازه ندهند حساب های ما را تخلیه کنند… و به مدیر سیستم اعتماد کنیم تا اطلاعات ما را خصوصی نگه دارد. حریم خصوصی همیشه می تواند توسط ادمین بر اساس قضاوت او که اصل حریم خصوصی را در مقابل سایر نگرانی ها کم اهمیت جلوه می دهد، نادیده گرفته شود… وقت آن است که ما یک پول واقعی داشته باشیم. بدون نیاز به اعتماد به یک واسطه شخص ثالث، انتقال و نگهداری پول می تواند امن و معاملات آن بدون دردسر باشد. […] راه حل یک سیستم توزیع شده بدون یک نهاد مرکزی آسیب پذیر است. کاربران کلیدهای [خصوصی] پول خود را نگه می دارند و مستقیماً با یکدیگر معامله می کنند.

ناکاموتو نگران اعتماد به اشخاص ثالث هم در خصوص حریم خصوصی و هم پول بود. به طور خاص، ناکاموتو به چند نقطه صعف مدل سنتی حفظ حریم خصوصی مالی اشاره کرد: سارقان هویت، عدم صداقت مدیر، و خواسته‌های دیکتاتوری از سوی قدرت های مرکزی مانند دولت.

یکی از این نقاظ صعف با سابقه طولانی، کاهش ارزش پول توسط دولت ها است. همان رویدادی که در بلوک پیدایش (جنسیس بلاک) ذکر شده است. با اشاره به بیت کوین، ناکاموتو پیشنهاد کرد که این مسائل با “یک سیستم توزیع شده بدون هیچ نهاد مرکزی آسیب پذیر” حل می شوند.

مسئله ای به نام احراز هویت مشتریان (KYC)

بیت کوین مدت زیادی است که به دنیا معرفی شده است. گفتگو درباره ارزهای «خصوصی»، «حکومتی» یا «الکترونیکی» توسط دیگران حداقل یک دهه قبل از پیدایش بیت کوین انجام شده بود.ناکاموتو بیت کوین را با چنین ویژگی هایی طراحی کرد: بیت کوین نیمه ناشناس است، می توان از آن به صورت خصوصی استفاده کرد و بدون نیاز به مجوز است. بدون نیاز به مجور بودن به سیستمی گفته می‌شود که هیچ ناظری برای تعیین این که چه کسی و چطور می‌تواند از آن استفاده کند، وجود ندارد.

با این حال، مقررات احراز هویت مشتری ثابت کرده است که برای کاربرانی که به دنبال بهره مندی از چنین ویژگی هایی هستند، فراگیر، پایدار و مشکل ساز هستند.

همراه با رشد قیمت بیت کوین از سال ۲۰۲۰ تا ۲۰۲۱، شرکت های مرتبط با بیت کوین رشد زیادی را تجربه کرده اند. به عنوان مثال، کوین بیس گزارش داد که تا پایان سال ۲۰۲۰ بیش از ۳۵ میلیون کاربر در بیش از ۱۰۰ کشور دارد. علاوه بر این، در سال ۲۰۲۲ صرافی کوین بیس یک تبلیغ ۶۰ ثانیه ای منتشر کرد که تنها در عرض یک دقیقه به بیش از ۲۰ میلیون بازدید رسید. مدیر ارشد کوین بیس، آن را “تاریخی و بی سابقه” خواند. با این حال، صرافی کوین بیس تنها یکی از از شرکت‌های موفق این حوزه است. طبق گزارش CoinGecko، کوین بیس بین معتبرترین صرافی‌ها در رتبه ششم قرار دارد و به ترتیب بایننس، OKX، FTX، کوکوین  و Huobi Global پیشتاز هستند.

این صرافی‌ها میلیون‌ها میلیون کاربر احراز هویت شده دارند. این تلاش‌های عظیم برای احراز هویت مشتریان در تضاد مستقیم با سیستم نیمه ناشناس، بدون نیاز به مجوز، همتا به همتا و بدون نیاز به شخص ثالث است که توسط ساتوشی ناکاموتو توسعه یافته است.

احراز هویت مشتریان (KYC) یک سیستم آسیب پذیر است

هر بار که فردی برای یک صرافی یا خدمات مرتبط ثبت‌نام می‌کند، احتمالاً از او خواسته می‌شود که خودش را احراز هویت کند. یعنی اطلاعات شناسایی شخصی (PII) را ارائه کند. اطلاعات شناسایی شخصی معمولاً شامل یک عکس سلفی، گواهینامه رانندگی، شماره تامین اجتماعی، آدرس، ایمیل و شماره تلفن است. اطلاعات شناسایی شخصی معمولاً توسط یک سرویس خارجی مانند Prime Trust ذخیره می شود. وقتی ناکاموتو گفت: “ما باید به آنها در مورد حریم خصوصی خود اعتماد کنیم [و] به آنها اعتماد کنیم تا نگذارند سارقان هویت حساب های ما را تخلیه کنند”، اشاره به “آنها” را می توان به عنوان صرافی ها و ارائه دهندگان خدمات احراز هویتی آنها در نظر گرفت.

همه این اشخاص ثالث با خطرات ذاتی همراه هستند. وقتی ناکاموتو به «دزدان هویت» اشاره می‌کند، به نقض داده‌ها اشاره می‌کند که در آن هکرها به اطلاعات شناسایی شخصی دسترسی پیدا می‌کنند و از آن سواستفاده می کنند، چه از طریق سرقت مستقیم دارایی ها و چه از ظریق فروش اطلاعات هویتی کاربران به اشخاص ذینفع. با توجه به تمام اطلاعات شناسایی شخصی ارائه شده، سیستم احراز هویت مشتریان (KYC) یک سیستم آسیب پذیر از اطلاعات کاربر ایجاد می کند که مستعد سواستفاده هکرها است.

نشت اطلاعات در طول سال های گذشته بیشتر و بیشتر شده است

نشت اطلاعات سال ۲۰۱۶

طی نشت اطلاعات T-Mobile اطلاعات شخصی بیش از ۴۷ میلیون نفر را فاش شد.

یک هکر به ۱۰۰ میلیون حساب کارت اعتباری  و اطلاعاتن مالی آن ها دسترسی پیدا کرد.

خدمات پستی ایالات متحده ۶۰ میلیون کاربر را را لو داد

نشت اطلاعات Equifax ممکن است تقریباً نیمی از جمعیت ایالات متحده را تحت تأثیر قرار دهد.

هک اطلاعات مشتریان برای ۱۸.۵ میلیون دلار در سال ۲۰۱۳

هک جی پی مورگان ۷۶ میلیون خانوار را تحت تأثیر قرار داد

والمارت کانادا در حال بررسی یک مشکل امنیتی است که باعث نشت اطلاعات مشتریان شده است

وب سایت سونی پیکچرز هک شد، اطلاعات یک میلیون حساب کاربری فاش شد

۲۳۵ میلیون کاربران اینستاگرام، تیکتاک و یوتیوب در معرض نشت گسترده اطلاعات قرار دارند

جزئیات بیتشر نشت اطلاعات مزتبط به احراز هویت مشتریان (KYC)

طبق آمار Statista، نقض داده ها از سال ۲۰۰۵ تا ۲۰۲۰ بیش از ۵۰۰٪ افزایش یافته است. علاوه بر این، طبق گزارش  Cost of Data Breach، ۸۰٪ از کل نشت اطلاعات در سال ۲۰۱۹ شامل اطلاعات شناسایی شخصی مشتریان (نام، اطلاعات کارت اعتباری، سوابق سلامت و اطلاعات پرداخت) بوده است. نشت اطلاعات همچنین ممکن است شامل انواع حساس تر اطلاعات شناسایی شخصی مانند شماره امنیت اجتماعی، شماره گواهینامه رانندگی یا اطلاعات بیومتریک مثل اثرانگشت باشد.

همه اشخاص ثالث مورد اعتماد، از جمله شرکت‌های مرتبط با بیت‌کوین، در معرض نشت اطلاعات قرار دارند. به عنوان مثال، هک لجر در جولای ۲۰۲۰ را در نظر بگیرید. در بیانیه رسمی مدیر عامل لجر، “۱ میلیون آدرس ایمیل و همچنین ۹۵۳۲ اطلاعات شخصی دقیق تر (آدرس پستی، نام، نام خانوادگی و شماره تلفن) به سرقت رفته است.” در همان سال، پایگاه داده مشتریان لجر در Raidforum  (یک انجمن به اشتراک گذاری پایگاه داده و بازار) به اشتراک گذاشته شد. پس از آن، چندین کاربر لجر تلاش‌های فیشینگ، اخاذی و ایمیل‌های تهدیدآمیز، از جمله تهدید به آدم‌ربایی و خشونت، مانند قتل را گزارش کردند.

نمونه های مشکلات نشت اطلاعات مشتریان

یک کاربر ردیت یک ایمیل فیشینگ دریافت کرد که از او می‌خواست «آخرین نسخه Ledger Live را دانلود کند» و دستورالعمل‌ها را برای تنظیم  رمزجدید بررای کیف پول خود دنبال کند. یکی دیگر از کاربران ردیت، راایمیلی دریافت کرد مبنی بر اینکه هکرها ویدئوهایی از “مسائل زناشویی” از او دارند و آنها ویدیوها را به صورت عمومی منتشر می کنند مگر اینکه او برای آنها بیت کوین بفرستد. با این حال، هکرها به اقدامات شدیدتری متوسل شدند و تهدید کردند که اگر ۵۰۰ دلار بیت کوین برای آنها ارسال نکند، ایمیل او را با “سایت های پورن کودکان” مرتبط می کنند و او را به عنوان “شکارچی کودک” معرفی می کنند.

با این حال کاربر دیگری از یک مرد ناشناس تماس تلفنی دریافت کرد و از او خواست که به او باج بدهد. این مرد تهدید کرد که اگر تا نیمه شب مبلغی را ارسال نکند، او و افراد خانواده او را خواهد کشت.

هک لجر نمونه‌ای است که نشان می‌دهد یک سیستم احراز هویت مشتریان (KYC) چقدر می‌تواند آسیب‌رسان باشد. با این حال، برخی ممکن است پیشنهاد کنند که خدمات احراز هویت مشتریان (KYC) ضروری است، زیرا آنها یک مسیر آسان برای تازه واردان ارائه می دهند و قرار گرفتن در معرض این خطر ارزش دارد. برای حل این مشکل، می توان به بسیاری از جایگزین های غیر KYC که برای حفظ حریم خصوصی و امنیت فردی شناخته شده اند اشاره کرد. علاوه بر این، این جایگزین‌های غیر KYC در طول زمان با کمک چندین راهنما و منابع آسان‌تر شده‌اند.

جایگزین ها برای عدم احراز هویت عبارتند از: (۱) استفاده از صرافی‌های غیرمتمرکز همتا به همتا Bisq یا Hodl-Hodl برای خرید بیت‌کوین. (۲) خرید خصوصی از دستگاه خودپرداز بیت کوین (۳) خرید یا فروش حضوری کالا و خدمات با بیت کوین؛ و (۴) استخراج بیت کوین در خانه.

بیت کوین و فعالیت های مجرمانه؟

دیگران ممکن است به استفاده از بیت کوین در فعالیت های مجرمانه اشاره کنند; و پیشنهاد کنند که احراز هویت مشتریان (KYC) به افراد آرامش خاطر می دهد; که به طور سهوی از فعالیت های غیرقانونی حمایت نمی کنند. با این حال، استفاده از بیت کوین در فعالیت های مجرمانه در مقایسه با دلار آمریکا ناچیز است. در سال ۲۰۱۷ طی جلسه استماع کمیته قضایی; جنیفر فاولر، معاون دستیار دفتر تأمین مالی تروریسم و ​​جرایم مالی، شهادت داد که; «اگرچه از ارزهای دیجیتال برای تراکنش‌های غیرقانونی استفاده می‌شود. اما حجم آن در مقایسه با حجم فعالیت‌های غیرقانونی از طریق سیستم مالی سنتی کم است.»

با توجه به تفاوت‌ حجم استفاده از بیت کوین و سیستم مالی سنتی در پولوشویی; بعید است که با خرید بیت‌کوین بدون احراز هویت (KYC) از فعالیت‌های مجرمانه حمایت کنید. زمانی که شخصی به صورت همتا به همتا بیت کوین بخرد یا بفروشد; یا از دستگاه خودپرداز بیت کوین خرید کند; این امر حتی بعید تر به نظر می رسد.

بیت کوین تا حدی ناشناس طراحی شده است; اما سطح هشدار دهنده ای از که احراز هویت مشتریان (KYC) در حال وقوع است; که این ویژگی را کاملاً تضعیف می کند. میلیون ها کاربر در سرتاسر جهان هویت خود را به بیت کوین خود گره می زنند و هر یک از آنها در ایجاد سیستم های آسیب پذیر اطلاعات کاربران سهیم هستند. این موضوع حتی با وجود شواهد گسترده مبنی بر اینکه نشت اطلاعات تقریباً به یک اتفاق روزمره تبدیل شده است، پررنگ تر شده است. کاربران باید به جای قربانی کردن ناشناس بودن خود، بخشی از راه حل باشند و ناشناس بودن و حفظ حریم خصوصی خود را پس بگیرند، خطرات را کاهش دهند و با استفاده از جایگزین های KYC از اطلاعات شخصی خود محافظت کنند.

احراز هویت مشتریان (KYC) باعث ایجاد یک سیستم اجتماعی مجوزدار می شود

شبکه بیت کوین یک سیستم نقدی بدون نیاز به مجوز است که خارج از کنترل هر شخص ثالثی است. با این حال، اکثر افراد از بیت کوین به این روش استفاده نمی کنند. در عوض، افراد به خدمات احراز هویت مشتریان (KYC) شخص ثالث، مانند; صرافی‌های بیت‌کوین، پلتفرم‌های معاملاتی و استخراج ارزهای دیجیتال و سایر موارد وابسته شده‌اند. احراز هویت مشتریان نه تنها ناشناس بودن شما را از بین می برد; بلکه حریم خصوصی معاملاتی شما را نیز از بین می برد. این موضوع حتی پس از این که شما بیت کوین را از صرافی خارج کنید; و در کیف پول شخصی خود قرار دهید همچنان صادق است.

رصد کاربران

برخلاف پول نقد فیزیکی، که بانک نمی‌تواند کارهایی که شما با آن انجام می‌دهید; را پس از برداشت ردیابی کند، یک شخص ثالث، مانند صرافی، می‌تواند کارهایی که شما با بیت‌کوین خود انجام می‌دهید را پس از برداشت آن ردیابی کند. یعنی تا زمانی که اقدامات مناسب برای حفظ حریم خصوصی مانند; شرکت در یک coinjoin2 انجام ندهید، پلتفرم های معاملاتی می توانند شما را رصد کنند.

حتی اگر بتوانید رد تراکنش بیت کوین های خود را گم کنید; شخص ثالث با استفاده از احراز هویت (KYC) همچنان تمام اطلاعات شناسایی شخصی شما از جمله; نام، آدرس، عکس‌های سلفی و کل مبلغ خرید را در اختیار دارد. صرافی های بزرگ مجهز به سیستم شناسایی هویت و ابزار جاسوسی از رفتار معاملاتی شما هستند که KYC  باعث ایجاد یک سیستم اجتماعی مجوز دار می شود. مثال‌های زیادی برای اینکه چگونه KYC باعث ایجاد یک سیستم اجتماعی مجاز می‌شود وجود دارد (مانند محدودیت‌ها و ممنوعیت ها، وایت لیست ها، و مداخلات دولتی).

این بخش بر روی CoinJoin به عنوان نمونه ای از یک رفتار ممنوعه در یک سیستم اجتماعی مجوز دار تمرکز می کند.  CoinJoin با توجه به نقش مهمی که در حریم خصوصی روزمره ایفا می کند برای این کار انتخاب شده است.

مفهوم CoinJoin

مفهوم CoinJoin برای اولین بار توسط گرگوری مکسول (Gregory Maxwell) پیشنهاد داده شد. CoinJoin  روشی برای ناشناس ماندن افرادی است که تراکنش‌های ارز دیجیتال انجام می‌دهند. این روش برای ناشناس ماندن تراکنش‌های کاربران در شبکه بیت کوین طراحی شد.

ماهیت تراکنش‌های بیت کوین به این شکل است که همه چیز شفاف است و بر روی بلاکچین جای دارد. افراد به راحتی می‌توانند بر روی بلاکچین آدرس‌های تراکنش و مقادیر ارسالی و یا دریافتی را مشاهده کنند. در اینجا آدرس‌ها جایگزین نام افراد شده‌اند و می‌توان گفت که افراد به جای نام واقعی خود از نام مستعار استفاده می‌کنند. اما در مورد کوین‌هایی مانند زی کش (Zcash) و مونرو (Monero); اوضاع فرق می‌کند و حریم خصوصی بیشتری برای کاربران فراهم می‌آید.

محدودیت‌های موجود در حریم خصوصی بیت کوین; پیامد‌هایی برای تعویض‌پذیری این ارز دیجیتال خواهد داشت. یعنی افراد در معاوضه یک بیت کوین با بیت کوین دیگر، به دلیل همین ویژگی‌های اولیه حریم خصوصی بیت کوین با مشکل مواجه می‌شوند. به این ترتیب کوین‌های خوب و کوین‌های بد یعنی کوین‌هایی که در تراکنش‌های غیر‌قانونی مورد استفاده قرار گرفته‌اند; قابل شناسایی خواهند بود و ممکن است تجار و کسب و کار‌ها از پذیرش کوین‌های مربوط به فعالیت‌های غیر‌قانونی خوددداری کنند. این کوین‌ها که زمانی برای تراکنشی غیر‌قانونی مورد استفاده قرار گرفته‌اند; عملا از چرخه خارج خواهند شد.

نحوه کار CoinJoin

هر تراکنش بیت کوین یک ورودی و یک خروجی دارد که هر ورودی از خروجی تراکنش قبلی مشتق شده است. این خروجی که شبکه آن را به عنوان UTXO می‌شناسد; در مجموعه UTXO قرار می‌گیرد تا زمانی که توسط ورودی بعدی خرج ‌شود.

CoinJoin تمام ورودی و خروجی‌های تراکنش‌های جداگانه را ترکیب می‌کند; و یک تراکنش واحد تشکیل می‌دهد. بدین ترتیب حتی دریافت‌کننده وجوه هم تشخیص نمی‌دهد که وجوه را از کدام آدرس دریافت کرده است. ممکن است دو نفر بخواهند که از یک سرویس CoinJoin استفاده کنند; و ورودی‌ها و خروجی‌های خود را با هم ترکیب کنند؛ این کار شدنی است اما اگر تعداد افراد شرکت‌کننده بیشتر باشد، حریم خصوصی بهتری برای افراد ایجاد خواهد شد.

نتیجه گیری

KYC یا احراز هویت مشتریان توسط پلتفرم های مالییک  یک سیستم آسیب پذیر از اطلاعات کاربران ایجاد می کند; و باعث ایجاد یک سیستم اجتماعی مجوزدار می شود. هنگامی که شما KYC می کنید; باید اطلاعات شخصی حساس زیادی را ارائه دهید; که به ایجاد این سیستم آسیب پذیر کمک می کند. این اقدام به تنهایی برای از بین بردن ناشناس بودن تراکنش های شما با توجه به اینکه مشخصات هویتی با دارایی های بیت کوین شما مرتبط است کافی است.

علاوه بر این، افراد باید اعتماد کنند که اشخاص ثالث اطلاعات حساس را ایمن نگه خواهند داشت. هنگامی که شما احراز هویت می کنید، داوطلبانه وارد یک رابطه مجاز با شخص ثالث می شوید. به این معنا که باید قوانینی را که توسط شخص ثالث وضع شده است رعایت کنید; یا به طور بالقوه با اقدامات تنبیهی مانند; توقیف دارایی، بسته شدن حساب یا دارایی های مسدود شده روبرو شوید. CoinJoin با توجه به نقش مهمی که در حریم خصوصی روزمره ایفا می کند; نمونه ای از یک راه حل برای از بین بردن خطرات ناشی از نشت اطلاعات KYC است..