Argument przeciwko KYC Bitcoin Każdy może zrozumieć

By Bitcoin Magazyn - 1 rok temu - Czas czytania: 13 minuty
śr., 3 sierpnia 2022 12:00

Argument przeciwko KYC Bitcoin Każdy może zrozumieć

The reasons that KYC should never be the default are obvious when examined from a lens of security and privacy.

This is an opinion editorial by Heady Wook, privacy advocate and contributor to Bitcoin Magazine. This work is licensed under CC BY 4.0. To view a copy of this license, visit https://creativecommons.org/licenses/by/4.0/. Bitcoin Magazine has made several grammatical and formatting changes.

Wprowadzenie

In dotychczasowy Bitcoin biały papier, Satoshi Nakamoto cited the need for a cash system over the internet without the need for a trusted third-party. A few months later, Nakamoto introduced the Bitcoin network to the world. In block zero (the “blok genesis”) of the Bitcoin blockchain, the following message was included: “The Times 03/Jan/2009 Chancellor on brink of second bailout for banks.” On one hand, the quote references brytyjski artykuł informacyjny outlining Chancellor Alistair Darling’s consideration of a second bailout for banks, which meant pumping billions more British pounds into the economy. On the other hand, the quote references Nakamoto’s frustration and distrust of the traditional financial system and, more broadly, trusted third parties. This is made clear in the white paper abstract and the first paragraph’s opening lines. In another section of the white paper, Nakamoto compares the traditional finance privacy model with Bitcoin’s privacy model. In Bitcoin’s model, trusted third-parties are no longer responsible to safeguard an individual's privacy by limiting access to information. In fact, no personal information is required at all. With Bitcoin, individuals can maintain privacy simply by “keeping public keys anonymous.” In an early Bitcoin forum post, Nakamoto napisał:

„Musimy im zaufać w kwestii naszej prywatności, ufać, że nie pozwolą złodziejom tożsamości opróżnić nasze konta […] ufając administratorowi systemu, aby zachował prywatność ich informacji. Prywatność zawsze może być nadrzędna przez administratora w oparciu o jego wezwania do osądu, równoważące zasadę prywatności z innymi obawami lub na polecenie jego przełożonych. […] Czas, żeby pieniądze miały to samo. […] bez konieczności zaufania pośrednikowi zewnętrznemu, pieniądze mogą być bezpieczne, a transakcje bezproblemowe. […] Rezultatem jest rozproszony system bez pojedynczego punktu awarii. Użytkownicy posiadają [prywatne] klucze do swoich pieniędzy i dokonują transakcji bezpośrednio między sobą.”

Nakamoto był zaniepokojony zaufaniem stronom trzecim zarówno w kwestii prywatności, jak i pieniędzy. W szczególności Nakamoto przytoczył kilka punktów niepowodzenia tradycyjnego modelu prywatności finansów: źli aktorzy lub złodzieje tożsamości, brak integralności administratora i autorytatywne żądania „przełożonych”, takich jak rząd. Jednym z przejawów tych niepowodzeń jest długa historia rządów deprecjonujących walutę (patrz: Połączenia Bitcoin Standard) and includes the event cited within the genesis block. Alluding to Bitcoin, Nakamoto suggested these issues are solved with “a distributed system with no single point of failure.”

Bitcoin has been a long time coming. The conversation about “private,” “sovereign” or “electronic” currency had gone on by others at least a decade before Bitcoin’s inception. For instance, “Manifest Cypherpunka" omawia anonimowe systemy transakcyjne w Internecie”,Suwerenna jednostka” przewiduje prywatną walutę internetową bez zezwolenia oraz „Cryptonomicon" describes an anonymous digital gold. Nakamoto designed Bitcoin with such properties: Bitcoin is pseudonymous, it can be used privately and it is permissionless. However, “know your customer” regulations1 (KYC) have proven to be pervasive, persistent and problematic for users looking to benefit from such properties.

Wraz z bitcoin's price action from 2020 through 2021, bitcoin companies have experienced lots of growth. Coinbase, for example, zgłaszane dotarcie do ponad 35 milionów użytkowników w ponad 100 krajach do końca 2020 r. Ponadto w 2022 r. Coinbase wypuścił 60-sekundową reklamę Super Bowl z pływający kod QR który osiągnął ponad 20 milionów odsłon w ciągu zaledwie jednej minuty. Surojit Chatterjee, dyrektor ds. produktów w Coinbase, posunął się tak daleko, jak nazwać to "historic and unprecedented.” However, Coinbase is only one of many successful companies. According to CoinGecko, Coinbase ranks sixth in terms of the most trusted exchanges with Binance (#1), OKX, FTX, KuCoin and Huobi Global (#5) respectively przejmuje inicjatywę. Together, these exchanges have KYC'd millions upon millions of users. These massive KYC efforts are in direct contrast with the pseudonymous, permissionless, P2P, cash system with no third parties developed by Nakamoto. Furthermore, KYC creates honeypots of user information and gives rise to a permissioned social system.

KYC tworzy Honeypoty informacji o użytkowniku

Za każdym razem, gdy dana osoba zapisuje się na wymianę lub powiązaną usługę, prawdopodobnie zostanie sama poproszona o KYC — to znaczy o podanie informacji umożliwiających identyfikację osoby (PII). Dane osobowe zazwyczaj składają się z selfie, prawa jazdy, numeru ubezpieczenia społecznego, adresu, adresu e-mail i numeru telefonu. Dane osobowe są zwykle przechowywane przez usługę zewnętrzną, taką jak Prime Trust. Kiedy Nakamoto powiedział: „Musimy im zaufać, jeśli chodzi o naszą prywatność [i] zaufać im, że nie pozwolą, aby złodzieje tożsamości opróżnili nasze konta”, odniesienie do „ich” można traktować jako giełdy i ich dostawców usług partnerskich. Wszystkie te strony trzecie wiążą się z nieodłącznym ryzykiem, takim jak źli aktorzy (np. praca poufna; BitKciuk, 2019), brak integralności administratora (np Oszustwo związane z wyjściem z BitConnect) i podatność na żądania rządu (np IRS wymusza zgodność). Kiedy Nakamoto odnosi się do „złodziei tożsamości”, odnosi się do naruszeń danych, w których hakerzy uzyskują dostęp do danych umożliwiających identyfikację osób i czerpią z nich zyski, albo poprzez bezpośrednią kradzież środków, sprzedaż danych umożliwiających identyfikację zainteresowanym stronom, albo wymuszenia. Biorąc pod uwagę wszystkie dostarczone PII, KYC tworzy pułapkę informacji o użytkowniku, która jest gotowa do wykorzystania.

Naruszenia danych stają się coraz bardziej powszechne na przestrzeni lat:

Według Statistyliczba naruszeń danych wzrosła o ponad 500% w latach 2005–2020. Ponadto, zgodnie z Raport dotyczący kosztów naruszenia danych, 80% wszystkich naruszeń danych w 2019 r. dotyczyło danych osobowych klientów (imię i nazwisko, dane karty kredytowej, dane medyczne i informacje o płatnościach). Naruszenia danych mogą również zawierać bardziej wrażliwe rodzaje danych osobowych, takie jak numer ubezpieczenia społecznego, numer prawa jazdy lub dane biometryczne.

All trusted-required third-parties are susceptible to a data breach, including bitcoin companies. For instance, consider the Ledger hack of July 2020. In an Oficjalne oświadczenie przez CEO Ledgera, „skradziono 1 milion adresów e-mail, a także 9,532 bardziej szczegółowe dane osobowe (adresy pocztowe, imię, nazwisko i numer telefonu).” W tym samym roku baza klientów Ledger został porzucony na Raidforum, forum wymiany baz danych i rynku. Następnie kilku użytkowników Ledger zgłaszane próby phishingu, wymuszenia i wiadomości e-mail z groźbami, w tym groźby porwania i przemocy, takiej jak morderstwo.

Użytkownik Reddita Odebrane wiadomość phishingowa zachęcająca go do „pobrania najnowszej wersji Ledger Live” i postępowania zgodnie z instrukcjami w celu skonfigurowania „nowego kodu PIN” do swojego portfela. Inny użytkownik Reddita, Silkblueberry, otrzymałem wiadomość e-mail stating that hackers had videos of him “masturbating to porn” and that they would post the videos publicly unless he sent them bitcoin as payment. Silkblueberry saw through the ploy. However, the hackers resorted to more extreme measures, threatening to associate his email with “child porn sites” and frame him as a “child predator” if he did not send them $500 in bitcoin. Yet another user otrzymałem telefon od nieznanego mężczyzny żądającego zapłaty. Mężczyzna zagroził, że „pojawi się w [swoim] domu, porwie [go] i „zadźga na śmierć” wszystkich krewnych mieszkających pod [jego] adresem”, jeśli nie wyśle ​​płatności do północy tej nocy.

Hakowanie Ledgera jest jednym z przykładów ilustrujących, jak szkodliwe może być wykorzystanie pułapki KYC. Mimo to niektórzy mogą sugerować, że usługi KYC są potrzebne, ponieważ zapewniają łatwy dostęp dla nowo przybyłych i że ekspozycja jest warta ryzyka. W tym celu można wskazać wiele alternatyw niezwiązanych z KYC, znanych z ochrony indywidualnej prywatności i bezpieczeństwa. Co więcej, te alternatywy niezwiązane z KYC stały się z czasem łatwiejsze dzięki kilku przewodnikom i zasobom. Te alternatywy inne niż KYC obejmują: (1) Używanie Zdecentralizowane peer-to-peer wymiany takie jak Bisq Network or Hodl-Hodl to buy bitcoin; (2) buying prywatnie z bitcoin ATM; (3) kupowanie lub sprzedawanie face-to-face or selling goods and services at a bitcoin meetup; and (4) górnictwo dla bitcoin at home.

Others might cite the use of bitcoin in criminal activity and suggest KYC provides individuals with the peace of mind that one is not inadvertently supporting illicit activity. However, bitcoin’s use in criminal activity is small compared to that of the U.S. dollar. In 2017 during a judiciary committee hearing, Deputy Assistant Secretary of the Office of Terrorist Financing and Financial Crimes, Jennifer Fowler, zeznał, że “although virtual currencies are used for illicit transactions, the volume is small compared to the volume of illicit activity through traditional financial services.” Given the differences in volume, it is unlikely one may inadvertently support criminal activity by buying non-KYC bitcoin. This becomes even more unlikely when one buys or sells peer-to-peer at a local bitcoin meetup or buys from a bitcoin BANKOMAT.

Bitcoin was designed in part as pseudonymous, yet there is an alarming level of KYC taking place which completely undermines this property. Millions of users all over the world are tying their identity to their bitcoin and every one of them is contributing to the creation of honeypots of user information. This remains true even in the face of overwhelming evidence that data breaches have become almost an everyday occurrence. Rather than sacrificing pseudonymity, taking on additional risk or contributing to the problem, users should instead be part of the solution and take back their pseudonymity, reduce risks and protect PII by using non-KYC alternatives.

KYC daje początek dozwolonemu systemowi społecznemu

Połączenia Bitcoin network is a permissionless cash system outside the control of any third party. However, the majority of individuals are not using bitcoin this way. Instead, individuals have become reliant on third-party KYC services, such as bitcoin exchanges, yield platforms and hosted mining, among others. Not only does KYC undermine your pseudonymity, it also undermines your transactional privacy. This is true even after taking custody of your bitcoin. Unlike physical cash, where a bank cannot track what you do with it after withdrawal, a third-party, such as an exchange, is w stanie śledzić what you do with your bitcoin after it has been withdrawn. That is, until the proper privacy measures are taken, such as participating in a coinjoin2.

Even if an identity can be obfuscated from an individual’s bitcoin transactions, the KYCing third party still retains all the user's personally identifiable information (PII), including name, address, selfies and total purchase amount. Armed with PII and the ability to spy on transactional behavior, KYC gives rise to a permissioned social system. There are many examples for how KYC gives rise to a permissioned social system (e.g. Limity i Ograniczenia; intrusively weryfikacja środków; adres Biała listaOraz były interwencje). Ta sekcja koncentruje się na CoinJoin jako przykładzie zabronionego zachowania w dozwolonym systemie społecznościowym. CoinJoin został wybrany ze względu na ważną rolę, jaką odgrywa w codziennej prywatności.

Ponieważ Bitcoin is a public ledger, it is dobra praktyka to “make every spend a CoinJoin.” This is true for two reasons. First, CoinJoining limits any inferences a spying third-party might be able to draw up from one’s transaction history. Second, CoinJoining protects others from peering into one’s personal finances. Reason one is important because, as discussed above, a KYCing third-party can track what one does with their bitcoin and CoinJoining can help users gain forward-looking privacy. Reason two is important because, unlike cash or debit/credit cards where a merchant ( the payee) cannot peer into a payer’s finances (e.g. bank account totals), with bitcoin payee’s can peer into a payer’s finances — at least, the UTXO being spent. This is akin to handing out one’s bank statement with every transaction.

Jeśli poświęcisz chwilę na zastanowienie się nad niektórymi sytuacjami, które mogą wyniknąć z takiej sytuacji, szybko zdasz sobie sprawę z konsekwencji, jakie ma to dla prywatności. Jednym z karykaturalnych przykładów jest mobilizować by Samourai Wallet: “Imagine if your church pastor was able to see your OnlyFans subscription when you place a dollar bill into the offering plate.” The dollar bill here represents a typical bitcoin transaction. A CoinJoin would have provided the user in this example the privacy needed to avoid this awkward situation by obfuscating the payment’s transaction history. In another more extreme example, imagine paying someone a small amount but using a large UTXO (akin to taking out an enormous gold coin just to shave a tiny portion off). The person receiving the payment would be able to see that the payer holds a significant amount of bitcoin. This might place the payer at a higher risk for a five-dollar wrench attack. A CoinJoin would have broken up a large UTXO into smaller UTXOs, reducing the payee's ability to determine a payer’s holdings; they only see that you’re spending from pocket change. Given these examples, it becomes clear that Bitcoin lacks essential qualities found in physical cash that CoinJoin can make up for. Despite the benefits that CoinJoin provides users, KYC third-party services operate on the false premise that CoinJoining is malicious or risky and prohibit its use. With CoinJoin prohibition as a common practice among some of the most popular exchanges, a permissioned social system has effectively designated CoinJoins as “bad.”

Weźmy na przykład BlockFi. Mają „zabronione zastosowania” strona stwierdzając zamiar utrzymania „polityki ścisłej zgodności z przepisami”, a zatem zakazuje wpłat i wypłat do lub z: usług mieszanych, peer-to-peer i innych giełd, które nie mają KYC, witryn hazardowych i ciemnych rynków. Ponadto BlockFi „zachowuje prawo do zwrotu środków i zamrożenia/zamknięcia kont w razie potrzeby”. BlockFi jest tylko jedną z wielu giełd, o których wiadomo, że zabraniają lub flagują CoinJoins. Na przykład w jednym z bardziej ekstremalnych przykładów użytkownik Reddit Bujuu zgłaszane his exchange account was closed due to the “amount and frequency” of his CoinJoin transactions. The exchange, Bitvavo, claimed Bujuu posed an “unacceptable risk” and closed his account as a measure of mitigation. Later Bujuu said, “It kinda bugs me that I'm not allowed to do what I want with my BTC, that it's all being monitored.” CoinJoin prohibition is perhaps one of the clearest examples of how KYC gives rise to a permissioned social system.

Kilku innych użytkowników zgłosiło łagodniejsze doświadczenia. Jeden użytkownik twierdził,, „@bottlepay [odrzucił] moją przychodzącą transakcję btc, ponieważ monety były w portfelu samourai i/lub zmieszane z @SamouraiWallet #Whirlpool / Jeśli wysłałeś mieszane monety, zostaniesz użądlony.” Ten użytkownik zgłosił ten problem przy wpłacie środków, co pokazuje wsteczną analizę historii jego monety. Podobny poziom włamań zgłaszali inni. Na przykład inny użytkownik otrzymał e-mail od Paxos stating, “We noticed that a BTC withdrawal from your account has potentially been sent to a known bitcoin mixing service. This type of transaction is not permitted on the platform. Please confirm whether the funds have been sent to a mixing service.” This time the issue arose upon the withdrawal of funds which demonstrates a forward-looking analysis on the coin’s history. Furthermore, Riccardo Masutti twierdził, „@bitwala wysłał [mu] wiadomość e-mail 3 dni temu o kilku transakcjach post-CoinJoin, które miały miejsce prawie 6 MIESIĘCY TEMU” i Kristapsk twierdził, he received “an e-mail from @BitMEX about [an] old #Bitcoin deposit transaction (last summer) that ‘may be connected with activity that is against 1.1(a) of the HDR Terms of Service.’, it was @joinmarket coinjoin.” These last two examples demonstrate the depth of chain analysis conducted by KYCing third parties.

Podsumowując, można zobaczyć, jak wszechobecny może być system społeczny z uprawnieniami. Użytkownicy chcą czerpać korzyści z CoinJoin, ale CoinJoining jest uważane za zabronione zachowanie przez wiele głównych zewnętrznych giełd KYC (lub powiązane usługi). Ta ogólna niechęć do CoinJoin, wraz z rażącą analizą łańcucha, stawia osoby, które KYC w trudnej sytuacji. Osobom, którym KYC zabrania się korzystania z podstawowych praw do prywatności lub grozi im sankcja, jeśli to zrobią. W obu przypadkach osoby z KYC są szpiegowane. Każda rozsądna osoba zgodziłaby się, że nie jest to dobra sytuacja, zwłaszcza gdy uczestniczy w niezależnym i alternatywnym systemie gotówkowym bez osób trzecich. Pomimo wyraźnych korzyści, które CoinJoin ma do zaoferowania, obecny pogląd jest taki, że CoinJoins są zbyt „ryzykowne”. Na a CoinJoin panel at the Bitcoin Konferencja 2022Craig Raw, założyciel Sparrow Wallet, powiedział:

„Jeśli użyjemy narzędzi [tj. CoinJoin], które mamy dzisiaj, zmienia to sposób myślenia ludzi i zmienia sposób, w jaki postrzega to społeczeństwo. Jeśli CoinJoin stanie się dziś szeroko rozpowszechnioną rzeczą, zmieni to sposób postrzegania go przez społeczeństwo i myślę, że ważne jest, aby nie czekać zbyt długo i faktycznie korzystać z narzędzi, ponieważ… zmienia to sposób, w jaki zasady i przepisy świat się uformuje”.

According to Raw, CoinJoin normalization is a function of its use. Therefore, individuals must take it upon themselves to exercise their rights to privacy. This cannot be accomplished from within a permissioned system, nor will it be granted. Rather, CoinJoin normalization must be accomplished outside of a permissioned system, such as within the Bitcoin network as it was designed to be used — without permission.

Wnioski

KYC creates honeypots of user information and gives rise to a permissioned social system. When you KYC, you must provide a lot of sensitive personal information which contributes to the honeypot. This action alone is enough to negate pseudonymity given an identity has been associated with your bitcoin holdings. Furthermore, individuals must trust that third parties will keep sensitive information safe. Further, when you KYC, you voluntarily enter into a permissioned relationship with a third party. That is, you must abide by the rules set in place by the third party or potentially face punitive measures, such as asset seizure, account closure or frozen assets. Given the important role it plays in everyday privacy, CoinJoin is an example of a forbidden behavior within a permissioned social system. Upon examination of the evidence it becomes clear that KYC indeed creates honeypots of user information and gives rise to a permissioned social system.

Referencje

1 “KYC” refers to the confirmation of identity of an account holder via the collection of documents (e.g. driver's license, social security number, employment record, selfies, etc; Rezerwa Federalna, 1997) by financial third-party services (e.g. bitcoin exchanges) on behalf of the Internal Revenue Service (Urząd Skarbowy, 2000).

2 CoinJoin “is a trustless method for combining multiple bitcoin payments from multiple spenders into a single transaction to make it more difficult for outside parties to determine which spender paid which recipient or recipients” (Bitcoin Wiki, 2015). In other words, CoinJoin is a privacy tool that obfuscates transaction history by undermining the common input heuristic. This effectively and reliably provides users with forward-looking transactional privacy at the application layer with no changes to the main bitcoin protokół.

This is a guest post by Heady Wook. Opinions expressed are entirely their own and do not necessarily reflect those of BTC Inc or Bitcoin Czasopismo.

Pierwotnym źródłem: Bitcoin Magazyn