Верифікатор зареєстрував на криптобіржі «Кім Чен Ина»: детальніше про експеримент блогера та вразливість системи

Блогер під ніком ZachXBT зміг отримати доступ до торгівлі криптовалютою під ім’ям лідера північнокорейського режиму — “Кім Чен Ин”. Процедура верифікації також пропустила фейкові акаунти під іменами підсанкційних осіб зі списку США. Розповідаємо про всі деталі експерименту та вразливості системи

Фото:pexels.com

Проходження верифікації — це захід безпеки, який використовується у всіх фінансових установах, зокрема й на біржах криптовалют. Біржі дають змогу відкривати акаунти, але торгівля, як правило, обмежена доти, доки користувач не підтвердить свою особистість.

Під час проходження верифікації система просить:

• надати паспорт, ID-карту або водійські права;
• вказати країну видачі документа;
• завантажити фотографію обличчя й пройти перевірку особи.

Мета процедури — дотримання вимог боротьби з фінансовими злочинами, фінансуванням тероризму та відмиванням грошей.

KYC криптовалюта Фото: pexels.com

Експеримент з ефективністю процедури верифікації

Користувач ZachXBT спробував зареєструвати на популярній криптобіржі Gate.io клієнта під ім’ям лідера Північної Кореї Кім Чен Ина. При цьому він використовував електронну пошту notlazarus, що дуже перекликається з Lazarus Group. Це спільнота хакерів, відома своїми зв’язками з КНДР, яка за 2022 рік викрала рекордну кількість криптоактивів.

На превеликий подив блогера, експеримент вдався. Система верифікації успішно зареєструвала фейкового Кім Чен Ина.

When stolen funds go to a crypto exchange people like to assume that there is a real person with a real identity tied to an account

To disprove this I was able to create an account on @gate_io and KYC as “Kim Jong-Un” with the email “notlazarus” and within minutes I was verified pic.twitter.com/oCZLK4hBh9

— ZachXBT (@zachxbt) May 9, 2023

Крім того, ZachXBT створив ще кілька акаунтів, зокрема, під іменами людей із санкційного списку США. Усі вони також отримали доступ до криптоторгів.

Читайте також: Користувачі з Китаю обходять обмеження Binance KYC за допомогою «янголів»

Свої дії, блогер пояснює спробою довести, що системи верифікації на криптовалютних біржах мають слабкі сторони, що не допомагає в боротьбі з хакерами.

Чому KYC вразливий? Фото: pexels.com

Чому верифікація на криптобіржах вразлива та як її обходять хакери?

Верифікація вразлива насамперед через збір і зберігання великої кількості конфіденційної інформації про клієнтів компаній. Якщо ця інформація потрапить до рук зловмисників, то компанії та їхні клієнти можуть стати жертвами шахрайства, крадіжки особистих даних та інших злочинів. А технічні недоліки призводять до витоку конфіденційної інформації індивідуальних користувачів і підприємств.

Ось кілька прикладів як хакери отримують доступ:

• Використання підробленої документації або ідентифікаційних даних: зловмисники можуть підробити документи або надіслати фальшиві інформаційні дані під час реєстрації, щоб отримати доступ до послуг.
• Використання викрадених особистих даних: якщо хакерам вдасться зламати систему верифікації, вони зможуть отримати доступ до особистих даних клієнтів і використовувати їх для створення фальшивих облікових записів.
• Використання ботів: зловмисники можуть використовувати комп’ютерні програми для автоматичної реєстрації в системі та створення фальшивих акаунтів.
• Використання скраперів: зловмисники можуть використовувати інструменти для створення величезної кількості фальшивих облікових записів на основі даних, які вони збирають з вебсайтів або інших джерел.

Читайте також: Coinbase оштрафовано на $100 млн за збої KYC та AML

Масштаби хакерских атак

Один із реальних прикладів такого порушення стався 2017 року, з компанією Equifax, яка спеціалізується на кредитних звітах та ідентифікації осіб. Недостатньо надійна охоронна система дозволила хакерам з легкістю отримати доступ до конфіденційної інформації 150 мільйонів користувачів.

Зловмисники дізналися імена, адреси, дату народження та соціальний страховий номер клієнтів. Це призвело до серйозних наслідків, таких як шахрайство, крадіжка особистості та інших злочинів.

З роками система захисту вдосконалюється, але разом з тим розвивають свої навички й хакери. Компанія CertiK опублікувала звіт про хакерські атаки за квітень. За їхніми даними, за минулий місяць хакерам вдалося викрасти понад $103 млн з різних криптовалютних проєктів. А загальна сума втрат з початку року становить $429,7 млн.

Найбільшою крадіжкою за місяць стала афера Merlin DEX. Збиток сягнув $2,7 млн. CertiK уже розслідує потенційну проблему управління приватними ключами на біржі.

Масштаби хакерських атак Фото:pexels.com

Як підвищити безпеку верифікації особистості та уникнути зломів?

Перш за все, постачальники послуг повинні регулярно оновлювати та підвищувати рівень захисту своїх систем. Існує кілька способів, за допомогою яких компанії можуть поліпшити свою програму верифікації користувачів:

• використовувати двофакторну аутентифікацію;
• виявляти підроблені документи за допомогою програми, яка визначає діпфейки та заборонені символи;
• залучати різні джерела даних для підтвердження особи клієнтів. Наприклад, публічні записи;
• використовувати блокчейн і шифрування, щоб забезпечити максимальний рівень захисту;
• удосконалити систему виявлення і моніторингу підозрілих транзакцій.

Користувачі, своєю чергою, мають застосовувати надійні паролі та додаткові механізми захисту даних.

Читайте також: Криптовалютна біржа Binance втратила через KYC мільярди доларів

Знайти слабке місце в верифікаторі за винагороду

Shufti Pro, компанія, яка надає технології для надшвидкої перевірки документів, працює над вразливістю верифікації клієнтів. Для цього Shufti Pro запустила програму винагороди тих, хто виявить у системі помилки.

Компанія запропонувала хакерам та дослідникам кібербезпеки проникнути в програмне забезпечення Shufti Pro в тестовому середовищі. Хто виявить хибність, отримає грошову нагороду. Щоправда, сума не розголошується.

Завдяки цій програмі Shufti Pro, хоче виявити слабкі місця, виправити помилки й підвищити довіру клієнтів до своїх послуг.

ЧИТАЙТЕ ТАКОЖ:

• Криптобіржа Bybit посилить верифікацію: що чекає на користувачів
• Посібник із сендвіч-атак: Що це таке і як власникам криптовалют їх уникнути
• Об’єм торгів на криптовалютних біржах скоротився майже у два рази: причини