Ett argument mot KYC Bitcoin Som alla kan förstå

By Bitcoin Magasin - 1 år sedan - Lästid: 13 minuter
Ons 3 aug 2022 12:00

Ett argument mot KYC Bitcoin Som alla kan förstå

The reasons that KYC should never be the default are obvious when examined from a lens of security and privacy.

This is an opinion editorial by Heady Wook, privacy advocate and contributor to Bitcoin Magazine. This work is licensed under CC BY 4.0. To view a copy of this license, visit https://creativecommons.org/licenses/by/4.0/. Bitcoin Magazine has made several grammatical and formatting changes.

Beskrivning

In d Bitcoin vitt papper, Satoshi Nakamoto cited the need for a cash system over the internet without the need for a trusted third-party. A few months later, Nakamoto introduced the Bitcoin network to the world. In block zero (the “genblock”) of the Bitcoin blockchain, the following message was included: “The Times 03/Jan/2009 Chancellor on brink of second bailout for banks.” On one hand, the quote references en brittisk nyhet outlining Chancellor Alistair Darling’s consideration of a second bailout for banks, which meant pumping billions more British pounds into the economy. On the other hand, the quote references Nakamoto’s frustration and distrust of the traditional financial system and, more broadly, trusted third parties. This is made clear in the white paper abstract and the first paragraph’s opening lines. In another section of the white paper, Nakamoto compares the traditional finance privacy model with Bitcoin’s privacy model. In Bitcoin’s model, trusted third-parties are no longer responsible to safeguard an individual's privacy by limiting access to information. In fact, no personal information is required at all. With Bitcoin, individuals can maintain privacy simply by “keeping public keys anonymous.” In an early Bitcoin forum post, Nakamoto skrev:

"Vi måste lita på vår integritet hos dem, lita på att de inte låter identitetstjuvar tömma våra konton […] och litar på att systemadministratören håller deras information privat. Sekretess kan alltid åsidosättas av administratören baserat på hans bedömningsuppmaning som väger principen om integritet mot andra problem, eller på uppdrag av hans överordnade. […] Det är dags att vi har samma sak för pengarna. […] utan att behöva lita på en tredje parts mellanhand kan pengar vara säkra och transaktioner utan ansträngning. […] Resultatet är ett distribuerat system utan en enda felpunkt. Användare har de [privata] nycklarna till sina pengar och gör transaktioner direkt med varandra."

Nakamoto var oroad över att lita på tredje part med både integritet och pengar. Specifikt citerade Nakamoto några punkter där den traditionella finansintegritetsmodellen misslyckades: dåliga skådespelare eller identitetstjuvar, bristande administratörsintegritet och auktoritativa krav från "överordnade", såsom en regering. En manifestation av dessa misslyckanden visas av den långa historien av valutanedbrytande regeringar (se: Smakämnen Bitcoin Standard) and includes the event cited within the genesis block. Alluding to Bitcoin, Nakamoto suggested these issues are solved with “a distributed system with no single point of failure.”

Bitcoin has been a long time coming. The conversation about “private,” “sovereign” or “electronic” currency had gone on by others at least a decade before Bitcoin’s inception. For instance, “En Cypherpunk's Manifest" diskuterar anonyma transaktionssystem på internet, "Den suveräna individen” förutspår en privat och tillståndslös internetvaluta, och ”Cryptonomicon" describes an anonymous digital gold. Nakamoto designed Bitcoin med sådana egenskaper: Bitcoin is pseudonymous, it can be used privately and it is permissionless. However, “know your customer” regulations1 (KYC) have proven to be pervasive, persistent and problematic for users looking to benefit from such properties.

Med bitcoin's price action from 2020 through 2021, bitcoin companies have experienced lots of growth. Coinbase, for example, rapporterade nå över 35 miljoner användare i över 100 länder i slutet av 2020. Dessutom tog Coinbase 2022 ut en 60-sekunders Super Bowl-annons med en flytande QR-kod som nådde över 20 miljoner träffar på bara en minut. Surojit Chatterjee, produktchef på Coinbase, gick så långt som att kalla det "historic and unprecedented.” However, Coinbase is only one of many successful companies. According to CoinGecko, Coinbase ranks sixth in terms of the most trusted exchanges with Binance (#1), OKX, FTX, KuCoin and Huobi Global (#5) respectively tar ledningen. Together, these exchanges have KYC'd millions upon millions of users. These massive KYC efforts are in direct contrast with the pseudonymous, permissionless, P2P, cash system with no third parties developed by Nakamoto. Furthermore, KYC creates honeypots of user information and gives rise to a permissioned social system.

KYC skapar honungskrukor med användarinformation

Varje gång en individ registrerar sig för ett utbyte eller relaterad tjänst ombeds de sannolikt att själva KYC - det vill säga tillhandahålla personligt identifierbar information (PII). PII består vanligtvis av en selfie, körkort, personnummer, adress, e-post och telefonnummer. PII lagras vanligtvis av en extern tjänst, som t.ex Prime Trust. När Nakamoto sa, "Vi måste lita på dem med vår integritet [och] lita på att de inte låter identitetstjuvar tömma våra konton", kan hänvisningen till "dem" ses som börser och deras partnertjänsteleverantörer. Alla dessa tredje parter kommer med inneboende risker, såsom dåliga aktörer (t.ex. insiderjobb; BitThumb, 2019), bristande administratörsintegritet (t.ex BitConnect avsluta bluff) och mottaglighet för myndigheters krav (t.ex IRS tvingar efterlevnad). När Nakamoto refererar till "identitetstjuvar" syftar han på dataintrång där hackare får tillgång till och tjänar på PII, antingen genom att direkt stjäla pengar, sälja PII till intresserade parter eller utpressning. Med tanke på all PII som tillhandahålls skapar KYC en kruka med användarinformation som är mogen för exploatering.

Dataintrång har blivit mer och mer förekommande under åren:

Enligt Statista, har dataintrång ökat med över 500 % från 2005 till 2020. Dessutom, enligt Kostnad för dataintrångsrapport, 80 % av alla dataintrång under 2019 inkluderade kund-PII (namn, kreditkortsinformation, hälsojournaler och betalningsinformation). Dataintrång kan också inkludera känsligare typer av PII, såsom personnummer, körkortsnummer eller biometri.

All trusted-required third-parties are susceptible to a data breach, including bitcoin companies. For instance, consider the Ledger hack of July 2020. In an officiellt uttalande av Ledger VD: "1 miljon e-postadresser hade stulits samt 9,532 XNUMX mer detaljerad personlig information (postadress, namn, efternamn och telefonnummer)." Samma år, Ledger kunddatabas dumpades på Raidforum, ett databasdelning och marknadsplatsforum. Därefter flera Ledger-användare rapporterade nätfiskeförsök, utpressning och hotfulla e-postmeddelanden, inklusive hot om kidnappning och våld, såsom mord.

Reddit-användare Cuongnq mottagna ett nätfiskemeddelande som uppmanar honom att "ladda ner den senaste versionen av Ledger Live" och följa instruktionerna för att ställa in en "ny PIN-kod" för sin plånbok. En annan Reddit-användare, Silkblueberry, fick ett mejl stating that hackers had videos of him “masturbating to porn” and that they would post the videos publicly unless he sent them bitcoin as payment. Silkblueberry saw through the ploy. However, the hackers resorted to more extreme measures, threatening to associate his email with “child porn sites” and frame him as a “child predator” if he did not send them $500 in bitcoin. Yet another user fick ett telefonsamtal från en okänd man som kräver betalning. Mannen hotade att han skulle "visa upp till [hans] hus, kidnappa [honom] och 'hugga ihjäl' alla släktingar som bor på [hans] adress" om han inte skickade en betalning senast midnatt den natten.

Ledger-hacket är ett exempel som illustrerar hur skadlig en utnyttjad KYC-honungskruka kan vara. Ändå kan vissa antyda att KYC-tjänster behövs eftersom de erbjuder en enkel påfart för nykomlingar och att exponering är värt risken. Till detta kan man peka på de många icke-KYC-alternativ som är kända för att bevara individuell integritet och säkerhet. Dessutom har dessa icke-KYC-alternativ blivit lättare med tiden med hjälp av flera guider och resurser. Dessa icke-KYC-alternativ inkluderar: (1) Användning decentraliserad peer-to-peer utbyten som Bisq Network or Hodl-Hodl to buy bitcoin; (2) buying privat från en bitcoin ATM; (3) köpa eller sälja face-to-face or selling goods and services at a bitcoin meetup; and (4) brytning för bitcoin at home.

Others might cite the use of bitcoin in criminal activity and suggest KYC provides individuals with the peace of mind that one is not inadvertently supporting illicit activity. However, bitcoin’s use in criminal activity is small compared to that of the U.S. dollar. In 2017 during a judiciary committee hearing, Deputy Assistant Secretary of the Office of Terrorist Financing and Financial Crimes, Jennifer Fowler, vittnade om det “although virtual currencies are used for illicit transactions, the volume is small compared to the volume of illicit activity through traditional financial services.” Given the differences in volume, it is unlikely one may inadvertently support criminal activity by buying non-KYC bitcoin. This becomes even more unlikely when one buys or sells peer-to-peer at a local bitcoin meetup or buys from a bitcoin Bankomat.

Bitcoin was designed in part as pseudonymous, yet there is an alarming level of KYC taking place which completely undermines this property. Millions of users all over the world are tying their identity to their bitcoin and every one of them is contributing to the creation of honeypots of user information. This remains true even in the face of overwhelming evidence that data breaches have become almost an everyday occurrence. Rather than sacrificing pseudonymity, taking on additional risk or contributing to the problem, users should instead be part of the solution and take back their pseudonymity, reduce risks and protect PII by using non-KYC alternatives.

KYC ger upphov till ett tillåtet socialt system

Smakämnen Bitcoin network is a permissionless cash system outside the control of any third party. However, the majority of individuals are not using bitcoin this way. Instead, individuals have become reliant on third-party KYC services, such as bitcoin exchanges, yield platforms and hosted mining, among others. Not only does KYC undermine your pseudonymity, it also undermines your transactional privacy. This is true even after taking custody of your bitcoin. Unlike physical cash, where a bank cannot track what you do with it after withdrawal, a third-party, such as an exchange, is kunna spåra what you do with your bitcoin after it has been withdrawn. That is, until the proper privacy measures are taken, such as participating in a coinjoin2.

Even if an identity can be obfuscated from an individual’s bitcoin transactions, the KYCing third party still retains all the user's personally identifiable information (PII), including name, address, selfies and total purchase amount. Armed with PII and the ability to spy on transactional behavior, KYC gives rise to a permissioned social system. There are many examples for how KYC gives rise to a permissioned social system (e.g. gränser och begränsningar; påträngande kontroll åtgärder; adress vitlistning; Och tillstånd interventioner). Det här avsnittet fokuserar på CoinJoin som ett exempel på ett förbjudet beteende inom ett tillåtet socialt system. CoinJoin valdes ut med tanke på den viktiga roll det spelar i vardagens integritet.

Eftersom Bitcoin is a public ledger, it is bra övning to “make every spend a CoinJoin.” This is true for two reasons. First, CoinJoining limits any inferences a spying third-party might be able to draw up from one’s transaction history. Second, CoinJoining protects others from peering into one’s personal finances. Reason one is important because, as discussed above, a KYCing third-party can track what one does with their bitcoin and CoinJoining can help users gain forward-looking privacy. Reason two is important because, unlike cash or debit/credit cards where a merchant ( the payee) cannot peer into a payer’s finances (e.g. bank account totals), with bitcoin payee’s can peer into a payer’s finances — at least, the UTXO being spent. This is akin to handing out one’s bank statement with every transaction.

Om du tar en stund att fundera över några av de situationer som kan uppstå från en sådan situation, kommer du snabbt att inse vilka konsekvenser detta har för integriteten. Ett karikerat exempel är lägga fram by Samourai Wallet: “Imagine if your church pastor was able to see your OnlyFans subscription when you place a dollar bill into the offering plate.” The dollar bill here represents a typical bitcoin transaction. A CoinJoin would have provided the user in this example the privacy needed to avoid this awkward situation by obfuscating the payment’s transaction history. In another more extreme example, imagine paying someone a small amount but using a large UTXO (akin to taking out an enormous gold coin just to shave a tiny portion off). The person receiving the payment would be able to see that the payer holds a significant amount of bitcoin. This might place the payer at a higher risk for a five-dollar wrench attack. A CoinJoin would have broken up a large UTXO into smaller UTXOs, reducing the payee's ability to determine a payer’s holdings; they only see that you’re spending from pocket change. Given these examples, it becomes clear that Bitcoin lacks essential qualities found in physical cash that CoinJoin can make up for. Despite the benefits that CoinJoin provides users, KYC third-party services operate on the false premise that CoinJoining is malicious or risky and prohibit its use. With CoinJoin prohibition as a common practice among some of the most popular exchanges, a permissioned social system has effectively designated CoinJoins as “bad.”

Ta BlockFi till exempel. De har en "förbjuden användning" sida som anger avsikten att upprätthålla "en policy för strikt regelefterlevnad" och förbjuder därför insättningar och uttag till eller från: Blandningstjänster, peer-to-peer och andra börser som inte har KYC, spelsajter och mörka nätmarknader. Dessutom behåller BlockFi rätten att returnera pengar och frysa/stänga konton vid behov. BlockFi är bara en av många börser som är kända för att förbjuda eller flagga CoinJoins. Till exempel, i ett av de mer extrema exemplen, Reddit-användaren Bujuu rapporterade his exchange account was closed due to the “amount and frequency” of his CoinJoin transactions. The exchange, Bitvavo, claimed Bujuu posed an “unacceptable risk” and closed his account as a measure of mitigation. Later Bujuu said, “It kinda bugs me that I'm not allowed to do what I want with my BTC, that it's all being monitored.” CoinJoin prohibition is perhaps one of the clearest examples of how KYC gives rise to a permissioned social system.

Flera andra användare har rapporterat mildare upplevelser. En användare hävdade, "@bottlepay [har] avvisat min inkommande btc-transaktion på grund av att mynten har legat i samourai-plånboken och/eller blandat med @SamouraiWallet #Whirlpool / Om du har skickat blandade mynt kommer du att bli stucken." Den här användaren rapporterade detta problem vid insättningen av medel, vilket visar en bakåtblickande analys av hans mynts historia. En liknande nivå av intrång har rapporterats av andra. En annan användare fick till exempel ett mejl från Paxos stating, “We noticed that a BTC withdrawal from your account has potentially been sent to a known bitcoin mixing service. This type of transaction is not permitted on the platform. Please confirm whether the funds have been sent to a mixing service.” This time the issue arose upon the withdrawal of funds which demonstrates a forward-looking analysis on the coin’s history. Furthermore, Riccardo Masutti hävdade "@bitwala skickade [honom] ett e-postmeddelande för tre dagar sedan om ett par transaktioner efter CoinJoin som hände för nästan 3 MÅNADER SEDAN" och Kristapsk hävdade he received “an e-mail from @BitMEX about [an] old #Bitcoin deposit transaction (last summer) that ‘may be connected with activity that is against 1.1(a) of the HDR Terms of Service.’, it was @joinmarket coinjoin.” These last two examples demonstrate the depth of chain analysis conducted by KYCing third parties.

Sammantaget kan man se hur genomgripande ett tillåtet socialt system kan vara. Användare vill skörda fördelarna med en CoinJoin men CoinJoining anses vara förbjudet beteende av många större tredjeparts KYC-börser (eller Relaterade tjänster). Denna allmänna avsky för CoinJoin, tillsammans med uppenbar kedjeanalys, placerar individer som KYC i en utsatt position. Individer som KYC är förbjudna att utöva grundläggande integritetsrättigheter eller så möter de straffåtgärder om de gör det. I båda fallen spioneras KYC:s individer på. Varje förnuftig person skulle hålla med om att detta inte är en bra position att vara i, särskilt när man deltar i ett oberoende och alternativt kontantsystem utan tredje part. Trots de tydliga fördelarna som CoinJoin har att erbjuda, är den nuvarande uppfattningen att CoinJoins är för "riskfyllda". På a CoinJoin panel at the Bitcoin 2022-konferens, Craig Raw, grundare av Sparrow Wallet, sa:

"Om vi ​​använder verktygen [dvs CoinJoin] som vi har idag, förändrar det människors tankesätt och det förändrar hur samhället ser på det. Om CoinJoin blir en mycket använd sak idag, då kommer det att förändra samhällets syn på det och jag tror att det är viktigt att inte vänta för länge och att faktiskt använda verktygen eftersom... det förändrar hur reglerna och förordningarna i världen kommer att bildas."

According to Raw, CoinJoin normalization is a function of its use. Therefore, individuals must take it upon themselves to exercise their rights to privacy. This cannot be accomplished from within a permissioned system, nor will it be granted. Rather, CoinJoin normalization must be accomplished outside of a permissioned system, such as within the Bitcoin network as it was designed to be used — without permission.

Slutsats

KYC creates honeypots of user information and gives rise to a permissioned social system. When you KYC, you must provide a lot of sensitive personal information which contributes to the honeypot. This action alone is enough to negate pseudonymity given an identity has been associated with your bitcoin holdings. Furthermore, individuals must trust that third parties will keep sensitive information safe. Further, when you KYC, you voluntarily enter into a permissioned relationship with a third party. That is, you must abide by the rules set in place by the third party or potentially face punitive measures, such as asset seizure, account closure or frozen assets. Given the important role it plays in everyday privacy, CoinJoin is an example of a forbidden behavior within a permissioned social system. Upon examination of the evidence it becomes clear that KYC indeed creates honeypots of user information and gives rise to a permissioned social system.

Referensprojekt

1 “KYC” refers to the confirmation of identity of an account holder via the collection of documents (e.g. driver's license, social security number, employment record, selfies, etc; Federal Reserve, 1997) by financial third-party services (e.g. bitcoin exchanges) on behalf of the Internal Revenue Service (Internal Revenue Service, 2000).

2 CoinJoin “is a trustless method for combining multiple bitcoin payments from multiple spenders into a single transaction to make it more difficult for outside parties to determine which spender paid which recipient or recipients” (Bitcoin Wiki, 2015). In other words, CoinJoin is a privacy tool that obfuscates transaction history by undermining the common input heuristic. This effectively and reliably provides users with forward-looking transactional privacy at the application layer with no changes to the main bitcoin protokoll.

This is a guest post by Heady Wook. Opinions expressed are entirely their own and do not necessarily reflect those of BTC Inc or Bitcoin Tidskrift.

Ursprunglig källa: Bitcoin magazine