Блогер под ником ZachXBT смог получить доступ к торговле криптовалютой под именем лидера северокорейского режима — «Ким Чен Ын». Процедура верификации также смогла пропустить фейковые аккаунты под именами подсанкционных лиц из списка США. Рассказываем про все детали эксперимента и уязвимости системы
Фото:pexels.com
Прохождение верификации – это мера безопасности, которая используется во всех финансовых учреждениях, в том числе и на биржах криптовалют. Биржи позволяют открывать аккаунты, но торговля, как правило, ограничена до тех пор, пока пользователь не подтвердит свою личность.
При прохождении верификации система просит:
- предоставить паспорт, ID-карту или водительские права;
- указать страну выдачи документа;
- загрузить фотографию лица и пройти проверку личности.
Цель процедуры – соблюдение требований борьбы с финансовыми преступлениями, финансированием терроризма и отмыванием денег.
Фото: pexels.com
Эксперимент с эффективностью процедуры верификации
Пользователь ZachXBT попытался зарегистрировать на популярной криптобирже Gate.io клиента под именем лидера Северной Кореи Ким Чен Ына. При этом он использовал электронную почту notlazarus, что очень перекликается с Lazarus Group. Это сообщество хакеров, известное своими связями с КНДР, которое за 2022 год похитило рекордное количество криптоактивов.
К большому удивлению блогера, эксперимент удался. Система верификации успешно зарегистрировала фейкового Ким Чен Ына.
When stolen funds go to a crypto exchange people like to assume that there is a real person with a real identity tied to an account
To disprove this I was able to create an account on @gate_io and KYC as “Kim Jong-Un” with the email “notlazarus” and within minutes I was verified pic.twitter.com/oCZLK4hBh9
— ZachXBT (@zachxbt) May 9, 2023
Кроме того, ZachXBT создал еще несколько аккаунтов, в частности, под именами людей из санкционного списка США. Все они также получили доступ к криптоторгам.
Читайте также: Китайские пользователи обходят ограничения Binance KYC с помощью «ангелов»
Свои действия, блогер объясняет попыткой доказать, что системы верификации на криптовалютных биржах имеют слабые стороны, что не помогает в борьбе с хакерами.
Фото: pexels.com
Почему верификация на криптобиржах уязвима и как ее обходят хакеры?
Верификация уязвима, в первую очередь, из-за сбора и хранения большого количества конфиденциальной информации о клиентах компаний. Если эта информация попадет в руки злоумышленников, то компании и их клиенты могут стать жертвами мошенничества, кражи личных данных и других преступлений. А технические недостатки приводят к утечке конфиденциальной информации индивидуальных пользователей и предприятий.
Вот несколько примеров как хакеры получают доступ:
- Использование поддельной документации или идентификационных данных: злоумышленники могут подделать документы или отправить фальшивые информационные данные при регистрации, чтобы получить доступ к услугам.
- Использование похищенных личных данных: если хакерам удастся взломать систему верификации, они смогут получить доступ к личным данным клиентов и использовать их для создания фальшивых учетных записей.
- Использование ботов: злоумышленники могут использовать компьютерные программы для автоматической регистрации в системе и создания фальшивые аккаунты.
- Использование скраперов: злоумышленники могут использовать инструменты для создания огромного количества фальшивых учетных записей на основе данных, которые они собирают с веб-сайтов или других источников.
Читайте также: Coinbase оштрафована на $100 млн за сбои KYC и AML
Масштабы хакерских атак
Один из реальных примеров такого нарушения произошел в 2017 году, с компанией Equifax, которая специализируется на кредитных отчетах и идентификации лиц. Недостаточно надежная охранная система позволила хакерам с легкостью получить доступ к конфиденциальной информации 150 миллионов пользователей.
Злоумышленники узнали имена, адреса, дату рождения и социальный страховой номер клиентов. Это привело к серьезным последствиям, таким как мошенничество, кража личности и другим преступлениям.
С годами система защиты совершенствуется, но вместе с тем развивают свои навыки и хакеры. Компания CertiK опубликовала отчет о хакерских атаках за апрель. По их данным, за прошлый месяц хакерам удалось похитить более $103 млн из различных криптовалютных проектов. А общая сумма потерь с начала года составляет $429,7 млн.
Самой большой кражей за месяц стала афера Merlin DEX. Потеря достигла 2,7 млн. CertiK уже расследует потенциальную проблему управления приватными ключами на бирже.
Масштабы хакерских атак Фото:pexels.com
Как повысить безопасность верификации личности и избежать взломов?
Прежде всего, поставщики услуг должны регулярно обновлять и повышать уровень защиты своих систем. Существует несколько способов, с помощью которых компании могут улучшить свою программу верификации пользователей:
- использовать двухфакторную аутентификацию;
- выявлять поддельные документы с помощью программы, которая определяет дипфейки и запрещенные символы;
- привлекать различные источники данных для подтверждения личности клиентов. Например, публичные записи;
- использовать блокчейн и шифрование, чтобы обеспечить максимальный уровень защиты;
- усовершенствовать систему обнаружения и мониторинга подозрительных транзакций.
Пользователи, в свою очередь, должны применять надежные пароли и дополнительные механизмы защиты данных.
Читайте также: Криптовалютная биржа Binance потеряла из-за KYC миллиарды долларов и 90% клиентов
Найти слабое место в верификаторе за вознаграждение
Shufti Pro, компания, которая предоставляет технологии для сверхбыстрой проверки документов, работает над уязвимостью верификации клиентов. Для этого Shufti Pro запустила программу вознаграждения тех, кто обнаружит в системе ошибку.
Компания предложила хакерам и исследователям кибербезопасности проникнуть в программное обеспечение Shufti Pro в тестовой среде. Кто обнаружит изъян, получит денежную награду. Правда сумма не разглашается.
Благодаря этой программе Shufti Pro, хочет выявить слабые места, исправить ошибки и повысить доверие клиентов к своим услугам.
ЧИТАЙТЕ ТАКЖЕ:
- Криптобиржа Bybit ужесточит верификацию: что ждет пользователей
- Руководство по сэндвич-атакам: Что это такое и как владельцам криптовалют их избежать
- Объем торгов на криптовалютных биржах сократился почти в два раза: причины
