Верификатор зарегистрировал на криптобирже «Ким Чен Ына»: подробнее об эксперименте блогера и уязвимости системы

Блогер под ником ZachXBT смог получить доступ к торговле криптовалютой под именем лидера северокорейского режима — «Ким Чен Ын». Процедура верификации также смогла пропустить фейковые аккаунты под именами подсанкционных лиц из списка США. Рассказываем про все детали эксперимента и уязвимости системы

Фото:pexels.com

Прохождение верификации – это мера безопасности, которая используется во всех финансовых учреждениях, в том числе и на биржах криптовалют. Биржи позволяют открывать аккаунты, но торговля, как правило, ограничена до тех пор, пока пользователь не подтвердит свою личность.

При прохождении верификации система просит:

• предоставить паспорт, ID-карту или водительские права;
• указать страну выдачи документа;
• загрузить фотографию лица и пройти проверку личности.

Цель процедуры – соблюдение требований борьбы с финансовыми преступлениями, финансированием терроризма и отмыванием денег.

Фото: pexels.com

Эксперимент с эффективностью процедуры верификации

Пользователь ZachXBT попытался зарегистрировать на популярной криптобирже Gate.io клиента под именем лидера Северной Кореи Ким Чен Ына. При этом он использовал электронную почту notlazarus, что очень перекликается с Lazarus Group. Это сообщество хакеров, известное своими связями с КНДР, которое за 2022 год похитило рекордное количество криптоактивов.

К большому удивлению блогера, эксперимент удался. Система верификации успешно зарегистрировала фейкового Ким Чен Ына.

When stolen funds go to a crypto exchange people like to assume that there is a real person with a real identity tied to an account

To disprove this I was able to create an account on @gate_io and KYC as “Kim Jong-Un” with the email “notlazarus” and within minutes I was verified pic.twitter.com/oCZLK4hBh9

— ZachXBT (@zachxbt) May 9, 2023

Кроме того, ZachXBT создал еще несколько аккаунтов, в частности, под именами людей из санкционного списка США. Все они также получили доступ к криптоторгам.

Читайте также: Китайские пользователи обходят ограничения Binance KYC с помощью «ангелов»

Свои действия, блогер объясняет попыткой доказать, что системы верификации на криптовалютных биржах имеют слабые стороны, что не помогает в борьбе с хакерами.

Фото: pexels.com

Почему верификация на криптобиржах уязвима и как ее обходят хакеры?

Верификация уязвима, в первую очередь, из-за сбора и хранения большого количества конфиденциальной информации о клиентах компаний. Если эта информация попадет в руки злоумышленников, то компании и их клиенты могут стать жертвами мошенничества, кражи личных данных и других преступлений. А технические недостатки приводят к утечке конфиденциальной информации индивидуальных пользователей и предприятий.

Вот несколько примеров как хакеры получают доступ:

1. Использование поддельной документации или идентификационных данных: злоумышленники могут подделать документы или отправить фальшивые информационные данные при регистрации, чтобы получить доступ к услугам.
2. Использование похищенных личных данных: если хакерам удастся взломать систему верификации, они смогут получить доступ к личным данным клиентов и использовать их для создания фальшивых учетных записей.
3. Использование ботов: злоумышленники могут использовать компьютерные программы для автоматической регистрации в системе и создания фальшивые аккаунты.
4. Использование скраперов: злоумышленники могут использовать инструменты для создания огромного количества фальшивых учетных записей на основе данных, которые они собирают с веб-сайтов или других источников.

Читайте также: Coinbase оштрафована на $100 млн за сбои KYC и AML

Масштабы хакерских атак

Один из реальных примеров такого нарушения произошел в 2017 году, с компанией Equifax, которая специализируется на кредитных отчетах и идентификации лиц. Недостаточно надежная охранная система позволила хакерам с легкостью получить доступ к конфиденциальной информации 150 миллионов пользователей.

Злоумышленники узнали имена, адреса, дату рождения и социальный страховой номер клиентов. Это привело к серьезным последствиям, таким как мошенничество, кража личности и другим преступлениям.

С годами система защиты совершенствуется, но вместе с тем развивают свои навыки и хакеры. Компания CertiK опубликовала отчет о хакерских атаках за апрель. По их данным, за прошлый месяц хакерам удалось похитить более $103 млн из различных криптовалютных проектов. А общая сумма потерь с начала года составляет $429,7 млн.

Самой большой кражей за месяц стала афера Merlin DEX. Потеря достигла 2,7 млн. CertiK уже расследует потенциальную проблему управления приватными ключами на бирже.

Масштабы хакерских атак Фото:pexels.com

Как повысить безопасность верификации личности и избежать взломов?

Прежде всего, поставщики услуг должны регулярно обновлять и повышать уровень защиты своих систем. Существует несколько способов, с помощью которых компании могут улучшить свою программу верификации пользователей:

• использовать двухфакторную аутентификацию;
• выявлять поддельные документы с помощью программы, которая определяет дипфейки и запрещенные символы;
• привлекать различные источники данных для подтверждения личности клиентов. Например, публичные записи;
• использовать блокчейн и шифрование, чтобы обеспечить максимальный уровень защиты;
• усовершенствовать систему обнаружения и мониторинга подозрительных транзакций.

Пользователи, в свою очередь, должны применять надежные пароли и дополнительные механизмы защиты данных.

Читайте также: Криптовалютная биржа Binance потеряла из-за KYC миллиарды долларов и 90% клиентов

Найти слабое место в верификаторе за вознаграждение

Shufti Pro, компания, которая предоставляет технологии для сверхбыстрой проверки документов, работает над уязвимостью верификации клиентов. Для этого Shufti Pro запустила программу вознаграждения тех, кто обнаружит в системе ошибку.

Компания предложила хакерам и исследователям кибербезопасности проникнуть в программное обеспечение Shufti Pro в тестовой среде. Кто обнаружит изъян, получит денежную награду. Правда сумма не разглашается.

Благодаря этой программе Shufti Pro, хочет выявить слабые места, исправить ошибки и повысить доверие клиентов к своим услугам.

ЧИТАЙТЕ ТАКЖЕ:

• Криптобиржа Bybit ужесточит верификацию: что ждет пользователей
• Руководство по сэндвич-атакам: Что это такое и как владельцам криптовалют их избежать
• Объем торгов на криптовалютных биржах сократился почти в два раза: причины