Un argumento en contra de KYC Bitcoin Que todos puedan entender

By Bitcoin Revista - Hace 1 año - Tiempo de lectura: 13 minutos
Mié, 3 de agosto de 2022 12:00

Un argumento en contra de KYC Bitcoin Que todos puedan entender

Las razones por las que KYC nunca debería ser el valor predeterminado son obvias cuando se examinan desde el punto de vista de la seguridad y la privacidad.

Este es un editorial de opinión de Heady Wook, defensor de la privacidad y colaborador de Bitcoin Revista. Este trabajo tiene licencia CC BY 4.0. Para ver una copia de esta licencia, visite https://creativecommons.org/licenses/by/4.0/. Bitcoin La revista ha realizado varios cambios gramaticales y de formato.

Introducción

In las Bitcoin detalles de la moneda, Satoshi Nakamoto citó la necesidad de un sistema de efectivo a través de Internet sin la necesidad de un tercero confiable. Unos meses más tarde, Nakamoto presentó el Bitcoin red al mundo. En el bloque cero (el “bloque de genesis") del Bitcoin blockchain, se incluyó el siguiente mensaje: “The Times 03/Ene/2009 Canciller al borde del segundo rescate para los bancos”. Por un lado, la cita hace referencia una noticia del Reino Unido describiendo la consideración del Canciller Alistair Darling de un segundo rescate para los bancos, lo que significaría inyectar miles de millones de libras esterlinas más a la economía. Por otro lado, la cita hace referencia a la frustración y desconfianza de Nakamoto hacia el sistema financiero tradicional y, en términos más generales, hacia terceros de confianza. Esto queda claro en el resumen del documento técnico y en las primeras líneas del primer párrafo. En otra sección del documento técnico, Nakamoto compara el modelo tradicional de privacidad financiera con BitcoinEl modelo de privacidad. En BitcoinEn el modelo de, los terceros de confianza ya no son responsables de salvaguardar la privacidad de un individuo limitando el acceso a la información. De hecho, no se requiere ningún tipo de información personal. Con Bitcoin, las personas pueden mantener la privacidad simplemente "manteniendo las claves públicas en el anonimato". en una temprana Bitcoin publicación en el foro, Nakamoto escribió:

“Tenemos que confiarles nuestra privacidad, confiar en ellos para que no permitan que los ladrones de identidad vacíen nuestras cuentas […] confiando en el administrador del sistema para mantener su información privada. La privacidad siempre puede ser anulada por el administrador en función de su criterio sopesando el principio de privacidad frente a otras preocupaciones, o a instancias de sus superiores. […] Es hora de que tengamos lo mismo por dinero. […] sin la necesidad de confiar en un tercero intermediario, el dinero puede ser seguro y las transacciones sin esfuerzo. […] El resultado es un sistema distribuido sin un único punto de falla. Los usuarios tienen las claves [privadas] de su dinero y realizan transacciones directamente entre ellos”.

Nakamoto estaba preocupado por confiar la privacidad y el dinero a terceros. Específicamente, Nakamoto citó algunos puntos de falla del modelo de privacidad financiera tradicional: malos actores o ladrones de identidad, falta de integridad del administrador y demandas autorizadas de "superiores", como un gobierno. Una manifestación de estos fracasos se muestra en la larga historia de gobiernos que degradan la moneda (ver: El Bitcoin Estándar) e incluye el evento citado dentro del bloque génesis. aludiendo a BitcoinNakamoto sugirió que estos problemas se resuelven con “un sistema distribuido sin un único punto de falla”.

Bitcoin Ha tardado mucho en llegar. La conversación sobre moneda “privada”, “soberana” o “electrónica” había continuado por lo menos una década antes. Bitcoinsus inicios. Por ejemplo, "Un manifiesto de Cypherpunk" analiza los sistemas de transacciones anónimas en Internet, “El individuo soberano” predice una moneda de Internet privada y sin permiso, y “Cryptonomicon" describe un oro digital anónimo. Nakamoto diseñó Bitcoin con tales propiedades: Bitcoin es un seudónimo, se puede utilizar de forma privada y no tiene permiso. Sin embargo, las regulaciones de “conozca a su cliente”1 (KYC) han demostrado ser omnipresentes, persistentes y problemáticas para los usuarios que buscan beneficiarse de dichas propiedades.

Junto con bitcoinLa acción del precio de 2020 a 2021. bitcoin Las empresas han experimentado un gran crecimiento. Coinbase, por ejemplo, reportaron llegando a más de 35 millones de usuarios en más de 100 países para fines de 2020. Además, en 2022 Coinbase sacó un anuncio de Super Bowl de 60 segundos con un código QR flotante que alcanzó más de 20 millones de visitas en solo un minuto. Surojit Chatterjee, director de producto de Coinbase, llegó tan lejos como para llamarlo "histórico y sin precedentes". Sin embargo, Coinbase es sólo una de muchas empresas exitosas: según CoinGecko, Coinbase ocupa el sexto lugar en términos de los intercambios más confiables con Binance (#1), OKX, FTX, KuCoin y Huobi Global (n.º 5) respectivamente tomando la iniciativa. Juntos, estos intercambios tienen KYC para millones y millones de usuarios. Estos esfuerzos masivos de KYC contrastan directamente con el sistema de efectivo P2P, seudónimo y sin permiso, sin terceros, desarrollado por Nakamoto. Además, KYC crea trampas de información del usuario y da lugar a un sistema social autorizado.

KYC crea Honeypots de información del usuario

Cada vez que una persona se registra para un intercambio o servicio relacionado, es probable que se le solicite KYC, es decir, que proporcione información de identificación personal (PII). La PII generalmente consiste en una selfie, licencia de conducir, número de seguro social, dirección, correo electrónico y número de teléfono. La PII generalmente es almacenada por un servicio externo, como Prime Trust. Cuando Nakamoto dijo: "Tenemos que confiarles nuestra privacidad [y] confiar en ellos para que no permitan que los ladrones de identidad drenen nuestras cuentas", la referencia a "ellos" puede considerarse como intercambios y sus proveedores de servicios asociados. Todos estos terceros vienen con riesgos inherentes, como malos actores (por ejemplo, trabajo interno; Bitpulgar, 2019), falta de integridad del administrador (p. ej. Estafa de salida de BitConnect) y la susceptibilidad a las demandas del gobierno (por ejemplo, IRS fuerza el cumplimiento). Cuando Nakamoto hace referencia a los "ladrones de identidad", se refiere a violaciones de datos en las que los piratas informáticos obtienen acceso y se benefician de la PII, ya sea robando fondos directamente, vendiendo la PII a las partes interesadas o extorsionando. Dada toda la PII provista, KYC crea un honeypot de información del usuario que está listo para ser explotado.

Las violaciones de datos se han vuelto cada vez más frecuentes a lo largo de los años:

Segun statista, las violaciones de datos han aumentado más del 500 % desde 2005 hasta 2020. Además, según el Informe de costo de violación de datos, el 80 % de todas las violaciones de datos en 2019 incluyeron PII del cliente (nombre, información de la tarjeta de crédito, registros de salud e información de pago). Violaciones de datos también puede incluir tipos más sensibles de PII, como número de seguro social, número de licencia de conducir o datos biométricos.

Todos los terceros de confianza son susceptibles a una violación de datos, incluidos bitcoin compañías. Por ejemplo, considere el hack de Ledger de julio de 2020. En un Declaración oficial por el CEO de Ledger, “se habían robado 1 millón de direcciones de correo electrónico, así como 9,532 información personal más detallada (direcciones postales, nombre, apellido y número de teléfono)”. Ese mismo año, la base de datos de clientes de Ledger fue tirado en Raidforum, un foro de intercambio de bases de datos y mercado. Posteriormente, varios usuarios de Ledger reportaron intentos de phishing, extorsión y correos electrónicos amenazantes, incluidas amenazas de secuestro y violencia, como asesinato.

Usuario de Reddit Cuongnq recibido un correo electrónico de phishing que le solicitaba "descargar la última versión de Ledger Live" y seguir las instrucciones para configurar un "nuevo PIN" para su billetera. Otro usuario de Reddit, Silkblueberry, recibió un correo electrónico afirmando que los piratas informáticos tenían videos de él "masturbándose con pornografía" y que publicarían los videos públicamente a menos que él los enviara. bitcoin como pago. Silkblueberry vio la estratagema. Sin embargo, los piratas informáticos recurrieron a medidas más extremas, amenazando con asociar su correo electrónico con “sitios de pornografía infantil” y enmarcarlo como un “depredador infantil” si no les enviaba 500 dólares en efectivo. bitcoin. Otro usuario más recibió una llamada telefónica de un hombre desconocido que exige el pago. El hombre amenazó que “se presentaría en [su] casa, [lo] secuestraría y 'mataría a puñaladas' a cualquier pariente que viviera en [su] dirección” si no enviaba un pago antes de la medianoche de esa noche.

El truco de Ledger es un ejemplo que ilustra cuán dañino puede ser un honeypot KYC explotado. Aún así, algunos podrían sugerir que los servicios KYC son necesarios porque ofrecen una vía de acceso fácil para los recién llegados y que la exposición vale la pena el riesgo. A esto, uno puede señalar las muchas alternativas que no son KYC conocidas para preservar la privacidad y seguridad individual. Además, estas alternativas que no son KYC se han vuelto más fáciles con el tiempo con la ayuda de varias guías y recursos. Estas alternativas que no son KYC incluyen: (1) Usar Descentralizado peer-to-peer intercambios como Bisq Network o Hodl-Hodl para comprar bitcoin; (2) comprar en privado de un bitcoin CAJERO AUTOMÁTICO; (3) comprar o vender cara a cara o vendiendo bienes y servicios a un precio bitcoin reunirse; y (4) minería para bitcoin at home.

Otros podrían citar el uso de bitcoin en actividades delictivas y sugerimos que KYC brinde a las personas la tranquilidad de saber que no están apoyando inadvertidamente actividades ilícitas. Sin embargo, bitcoinEl uso del dólar estadounidense en actividades delictivas es pequeño en comparación con el del dólar estadounidense. En 2017, durante una audiencia del comité judicial, la subsecretaria adjunta de la Oficina de Financiamiento del Terrorismo y Delitos Financieros, Jennifer Fowler, testificó que "Aunque las monedas virtuales se utilizan para transacciones ilícitas, el volumen es pequeño en comparación con el volumen de actividad ilícita a través de los servicios financieros tradicionales". Dadas las diferencias en volumen, es poco probable que uno pueda apoyar inadvertidamente una actividad delictiva comprando productos que no sean KYC. bitcoin. Esto se vuelve aún más improbable cuando uno compra o vende entre pares en un mercado local. bitcoin reunirse o comprar en un bitcoin CAJERO AUTOMÁTICO.

Bitcoin fue diseñado en parte como seudónimo, sin embargo, se está produciendo un nivel alarmante de KYC que socava por completo esta propiedad. Millones de usuarios en todo el mundo están vinculando su identidad a su bitcoin y cada uno de ellos contribuye a la creación de honeypots de información del usuario. Esto sigue siendo cierto incluso ante la abrumadora evidencia de que las violaciones de datos se han convertido casi en un hecho cotidiano. En lugar de sacrificar el seudónimo, asumir riesgos adicionales o contribuir al problema, los usuarios deberían ser parte de la solución y recuperar su seudónimo, reducir los riesgos y proteger la PII mediante el uso de alternativas que no sean KYC.

KYC da lugar a un sistema social autorizado

El Bitcoin La red es un sistema de efectivo sin permiso fuera del control de cualquier tercero. Sin embargo, la mayoría de las personas no utilizan bitcoin Por aquí. En cambio, las personas se han vuelto dependientes de servicios KYC de terceros, como bitcoin intercambios, plataformas de rendimiento y minería alojada, entre otros. KYC no sólo socava su seudónimo, sino que también socava su privacidad transaccional. Esto es cierto incluso después de tomar la custodia de su bitcoin. A diferencia del efectivo físico, donde un banco no puede rastrear lo que usted hace con él después del retiro, un tercero, como un intercambio, es capaz de rastrear que haces con tu bitcoin después de haber sido retirado. Es decir, hasta que se tomen las medidas de privacidad adecuadas, como participar en un coinjoin2.

Incluso si una identidad puede ser ofuscada por la de un individuo bitcoin transacciones, el tercero de KYCing aún conserva toda la información de identificación personal (PII) del usuario, incluido el nombre, la dirección, las selfies y el monto total de la compra. Armado con PII y la capacidad de espiar el comportamiento transaccional, KYC da lugar a un sistema social autorizado. Hay muchos ejemplos de cómo KYC da lugar a un sistema social autorizado (p. ej. límites y restricciones; intrusiva verificación medidas; dirección lista blanca; y estado intervenciones). Esta sección se centra en CoinJoin como ejemplo de un comportamiento prohibido dentro de un sistema social autorizado. Se seleccionó CoinJoin debido al importante papel que desempeña en la privacidad cotidiana.

Como Bitcoin es un libro de contabilidad público, es buena práctica para "hacer que cada gasto sea un CoinJoin". Esto es cierto por dos razones. En primer lugar, CoinJoining limita cualquier inferencia que un tercero espía pueda hacer a partir del historial de transacciones de uno. En segundo lugar, CoinJoining protege a otros de mirar sus finanzas personales. La primera razón es importante porque, como se mencionó anteriormente, un tercero de KYCing puede rastrear lo que uno hace con su bitcoin y CoinJoining puede ayudar a los usuarios a obtener privacidad con miras al futuro. La segunda razón es importante porque, a diferencia del efectivo o las tarjetas de débito/crédito donde un comerciante (el beneficiario) no puede consultar las finanzas de un pagador (por ejemplo, los totales de las cuentas bancarias), con bitcoin El beneficiario puede examinar las finanzas del pagador, al menos el UTXO que se está gastando. Esto es similar a entregar el extracto bancario con cada transacción.

Si se toma un momento para reflexionar sobre algunas de las situaciones que pueden surgir de tal situación, rápidamente se dará cuenta de las implicaciones que esto tiene sobre la privacidad. Un ejemplo caricaturizado es poner adelante por Samourai Wallet: "Imagínese si el pastor de su iglesia pudiera ver su suscripción a Onlyfans cuando coloca un billete de un dólar en el plato de ofrendas". El billete de un dólar aquí representa un típico bitcoin transacción. Un CoinJoin habría proporcionado al usuario en este ejemplo la privacidad necesaria para evitar esta situación incómoda al ocultar el historial de transacciones del pago. En otro ejemplo más extremo, imagine pagarle a alguien una pequeña cantidad pero usando un UTXO grande (similar a sacar una enorme moneda de oro solo para afeitarse una pequeña porción). La persona que recibe el pago podría ver que el pagador posee una cantidad significativa de bitcoin. Esto podría colocar al pagador en mayor riesgo de sufrir un ataque con una llave inglesa de cinco dólares. Un CoinJoin habría dividido un UTXO grande en UTXO más pequeños, reduciendo la capacidad del beneficiario para determinar las tenencias del pagador; solo ven que estás gastando del cambio de bolsillo. Teniendo en cuenta estos ejemplos, queda claro que Bitcoin carece de cualidades esenciales que se encuentran en el efectivo físico y que CoinJoin puede compensar. A pesar de los beneficios que CoinJoin ofrece a los usuarios, los servicios de terceros de KYC operan bajo la premisa falsa de que CoinJoining es malicioso o riesgoso y prohíben su uso. Dado que la prohibición de CoinJoin es una práctica común entre algunos de los intercambios más populares, un sistema social autorizado ha designado efectivamente a CoinJoins como "malos".

Tome BlockFi por ejemplo. Tienen un “usos prohibidos” página declarando la intención de mantener "una política de estricto cumplimiento normativo" y, por lo tanto, prohíbe los depósitos y retiros hacia o desde: servicios mixtos, peer-to-peer y otros intercambios que no tienen KYC, sitios de juegos de azar y mercados de redes oscuras. Además, BlockFi "se reserva el derecho de devolver fondos y congelar/cerrar cuentas según sea necesario". BlockFi es solo uno de los muchos intercambios que se sabe que prohíben o marcan CoinJoins. Por ejemplo, en uno de los ejemplos más extremos, el usuario de Reddit Bujuu reportaron su cuenta de intercambio fue cerrada debido a la "cantidad y frecuencia" de sus transacciones CoinJoin. El intercambio, Bitvavo, afirmó que Bujuu representaba un "riesgo inaceptable" y cerró su cuenta como medida de mitigación. Más tarde, Bujuu dijo: "Me molesta un poco que no se me permita hacer lo que quiero con mi BTC, que todo está siendo monitoreado". La prohibición de CoinJoin es quizás uno de los ejemplos más claros de cómo KYC da lugar a un sistema social autorizado.

Varios otros usuarios han informado experiencias más leves. un usuario afirmó, "@bottlepay [ha] rechazado mi transacción de btc entrante debido a que las monedas estaban en la billetera samourai y/o mezcladas con @SamouraiWallet #Whirlpool / Si ha enviado monedas mixtas, recibirá una picadura". Este usuario informó este problema en el depósito de fondos, lo que demuestra un análisis retrospectivo del historial de su moneda. Otros han informado de un nivel similar de intrusión. Por ejemplo, otro usuario recibió un correo electrónico de Paxos indicando: "Nos dimos cuenta de que un retiro de BTC de su cuenta potencialmente se envió a una persona conocida bitcoin servicio de mezcla. Este tipo de transacción no está permitida en la plataforma. Confirme si los fondos se han enviado a un servicio de mezcla”. Esta vez el problema surgió con el retiro de fondos, lo que demuestra un análisis prospectivo de la historia de la moneda. Además, Riccardo Masutti afirmó "@bitwala le envió un correo electrónico hace 3 días sobre un par de transacciones posteriores a CoinJoin que ocurrieron HACE casi 6 MESES" y Kristapsk afirmó recibió “un correo electrónico de @BitMEX sobre [un] antiguo #Bitcoin transacción de depósito (el verano pasado) que 'puede estar relacionada con una actividad que va en contra de 1.1(a) de los Términos de Servicio de HDR', fue @joinmarket coinjoin”. Estos dos últimos ejemplos demuestran la profundidad del análisis de la cadena realizado por terceros de KYCing.

En conjunto, uno puede ver cuán penetrante puede ser un sistema social autorizado. Los usuarios quieren aprovechar los beneficios de CoinJoin, pero CoinJoining es considerado un comportamiento prohibido por muchos de los principales intercambios KYC de terceros (o Servicios Relacionados). Este disgusto general por CoinJoin, junto con el análisis de cadena flagrante, coloca a las personas que conocen a KYC en una posición vulnerable. Las personas que tienen KYC tienen prohibido ejercer los derechos básicos de privacidad o se enfrentan a medidas punitivas si lo hacen. En cualquier caso, las personas con KYC están siendo espiadas. Cualquier persona razonable estaría de acuerdo en que esta no es una buena posición para estar, especialmente cuando se participa en un sistema de efectivo alternativo e independiente sin terceros. A pesar de los claros beneficios que ofrece CoinJoin, la opinión actual es que CoinJoins es demasiado "arriesgado". En un panel CoinJoin en el Bitcoin conferencia 2022, Craig Raw, fundador de Sparrow Wallet, dijo:

“Si usamos las herramientas [es decir, CoinJoin] que tenemos hoy, cambia la mentalidad de las personas y cambia la forma en que la sociedad lo ve. Si CoinJoin se convierte en algo ampliamente utilizado hoy, eso cambiará la forma en que la sociedad lo ve y creo que es importante no esperar demasiado y usar las herramientas porque... cambia la forma en que las reglas y regulaciones de la se formará el mundo.”

Según Raw, la normalización de CoinJoin es una función de su uso. Por lo tanto, los individuos deben asumir la responsabilidad de ejercer sus derechos a la privacidad. Esto no se puede lograr desde un sistema autorizado ni se concederá. Más bien, la normalización de CoinJoin debe lograrse fuera de un sistema autorizado, como dentro del Bitcoin red tal como fue diseñada para ser utilizada, sin permiso.

Conclusión

KYC crea trampas de información del usuario y da lugar a un sistema social autorizado. Cuando realiza KYC, debe proporcionar mucha información personal confidencial que contribuya al honeypot. Esta acción por sí sola es suficiente para negar el seudónimo dado que una identidad ha sido asociada con su bitcoin valores en cartera. Además, las personas deben confiar en que terceros mantendrán segura la información confidencial. Además, cuando realiza KYC, voluntariamente establece una relación autorizada con un tercero. Es decir, debe cumplir con las reglas establecidas por el tercero o enfrentar potencialmente medidas punitivas, como la incautación de activos, el cierre de cuentas o la congelación de activos. Dado el importante papel que desempeña en la privacidad cotidiana, CoinJoin es un ejemplo de comportamiento prohibido dentro de un sistema social autorizado. Tras examinar la evidencia, queda claro que KYC de hecho crea trampas de información del usuario y da lugar a un sistema social autorizado.

Referencias

1 “KYC” se refiere a la confirmación de la identidad del titular de una cuenta mediante la recopilación de documentos (por ejemplo, licencia de conducir, número de seguro social, registro de empleo, selfies, etc.); Reserva Federal, 1997) por servicios financieros de terceros (p. ej. bitcoin intercambios) en nombre del Servicio de Impuestos Internos (Servicio de Impuestos Internos, 2000).

2 CoinJoin “es un método confiable para combinar múltiples bitcoin pagos de múltiples gastadores en una sola transacción para que sea más difícil para partes externas determinar qué gastador pagó a qué destinatario o destinatarios” (Bitcoin Wiki, 2015). En otras palabras, CoinJoin es una herramienta de privacidad que confunde el historial de transacciones al socavar la heurística de entrada común. Esto proporciona de manera efectiva y confiable a los usuarios privacidad transaccional prospectiva en la capa de aplicación sin cambios en la capa principal. bitcoin protocolo.

Esta es una publicación invitada de Heady Wook. Las opiniones expresadas son enteramente propias y no reflejan necesariamente las de BTC Inc o Bitcoin Revista.

Fuente original: Bitcoin Revista