近日,币安再次陷入数据泄露事件,相传是内鬼所为。随后,黑客要挟用300个比特币的筹码换取1万个KYC信息内鬼消息。因没有马上拿到勒索款,该身份不明人士就通过网络泄露所掌握的信息。
数据泄露时常发生,似乎从未间断。据公开数据显示,2019年上半年,全球出现了至少10起类似信息被盗事件。
此次的“币安KYC泄露事件”,再一次将行业内的安全问题推到台前。
KYC提升安全性,可以规避机构经营风险
KYC来源于巴塞尔银行监管委员会在1998年12月通过的《关于防止犯罪分子利用银行系统的声明》,该声明提出金融机构在提供服务时应当对用户信息和用户画像进行采集和识别。
随后,KYC被各国的监管机构所接受并推行,成为金融监管的一个重要程序。
动态 | 分析:黑客已通过ChipMixer清洗了至少4836个币安被盗BTC:据Bitcoin Exchange Guide消息,币安此前遭受黑客攻击,损失了7000多个BTC。据报道,黑客现已通过一个名为ChipMixer的加密混合器清洗至少4836个被盗的BTC。根据加密资本流动公司Clain的说法,攻击发生在5月份,活动则是于6月份开始。[2019/8/9]
国内,KYC是反法律制度的强制性要求,是金融机构及其工作人员必须履行的法律义务。
随着互联网金融的快速发展,监管对KYC提出了更高要求。KYC始于金融机构,而后渗透到各行各业,KYC也变得愈加重要。
最常见的就是去银行办理业务,会对每位用户做尽职调查,收集客户信息;其次就是手机APP的实名认证,就是各个机构进行KYC的一个方式。
动态 | 币安被盗BTC中又一关键地址异动,黑客持续中:据PeckShield数字资产护航系统(AML)最新数据显示,继昨天币安被盗7,074枚BTC的其中1个包含1,060枚BTC bc1q2rdpy开头的地址密集后,今天下午16时54分,另一存放有1,060枚BTC 16SMGihY9开头的地址也出现异动。黑客又以不断切割、分散的方式,频繁操作了数百笔交易,直至新地址上最小额仅有0.78枚BTC。截至目前,币安被盗7,074枚BTC分散后的7个主要地址中,已有2个开始密集,其中大部分小额地址存成功可能。[2019/6/15]
趣链科技北京分公司副总张贝龙告诉锌链接,在传统金融领域,KYC只是一个手段,主要是为了后面的AML,以及CFT。
溪塔科技市场总监孔庆阳告诉锌链接,之所以实行KYC,一方面是监管要求,保证金融安全;其次,不少公司通过收集KYC信息形成用户画像,如果在KYC信息采集不完整,上层数据分析就无法顺利开展。
动态 | 区块链分析公司:币安被盗比特币再次移动:据coindesk报道,区块链分析公司Coinfirm表示,黑客现在正在访问包含币安5月被盗比特币的钱包。根据Coinfirm的说法,黑客在几次转账中移动了1,060.64474480 BTC(超过610万美元)。此后黑客将资金再次拆分转移。最终,黑客向bc1qcg开头钱包转移了约1021枚比特币,并且此后一直没有移动。[2019/6/14]
据锌链接了解,目前KYC收集方式分很多种,比较简单的是身份实名认证,即提供姓名、身份证、银行卡等信息,通过调用银联开放平台或是官方授权的身份数据库接口来进行校验。此外,还有人脸识别、活体检测等。而这些信息要么客户主动上传,要么通过其他平台进行授权获取。
然而,KYC数据收集只是第一步,更重要的是数据核验以及数据存储。PlatON创始人孙立林告诉锌链接,尽管KYC提升了安全性,规避了机构的经营风险,但是却对用户隐私构成了威胁。
动态 | Reddit用户声称打折出售币安被盗比特币疑似局:据ambcrypto报道,币安在5月7日被盗走7000枚比特币,现在似乎正在出现围绕被盗比特币的新局。Reddit用户在r / Cryptocurrency subreddit上表示,攻击币安的“团队”正在出售被盗的7,000个BTC,折扣为70%:20 ETH=3 BTC、2 ETH=0.2 BTC;该页面将用户引导到另一个页面,该页面通知用户,在添加比特币地址和ETH后将完成该过程。大多数用户认为这是一个局,警告其他人不要购买。其中一位用户评论说,小心任何”要约“,难以获得回报。[2019/5/17]
用户隐私遭受威胁
据悉,目前市场上惯用的KYC核验方式大概有三种:人工、调用的身份数据库或银联数据库开放的API接口比对、外包。
动态 | 币安被盗7074枚BTC已被黑客汇聚转移至7个主要新地址:据PeckShield数字资产护航系统数据显示,昨天晚间22:35分起,币安交易所热钱包被盗取的7074枚BTC出现多次异动,黑客将此前20个地址中的若干地址余额汇聚起来,将资金统一转移至bc1q2rdpy、16SMGihY9、1MNwMURYw、16SMGihY9、bc1qnf2ja、bc1qx3628、bc1q3a5hd开头的7个新地址,其中前6个地址分别有1,060枚BTC,最后一个地址转入707枚BTC,加上其他小额地址,本次币安被盗的7,074枚BTC已基本全部被转移。PeckShield在此提醒各大交易所留意最新的资金流向,并对相关新地址做及时冻结处理。[2019/5/9]
TEEX联合创始人余炀告诉锌链接,不论是人工审查,还是调用API,用户数据在整个过程中都是暴露的。企业内部员工,甚至是一些低权限的实习生操作员,都可以轻松拿走数据。而采取外包审查形式,数据出了公司,泄漏风险无疑会变得更大。再加上数据本身极易二次拷贝和沉淀,因此一些不法分子可以非常容易地利用用户隐私数据进行牟利。
不仅核验阶段数据极易泄露,存储阶段也不例外。据锌链接了解,目前一般都是采用中心化存储在服务器,部分公司甚至直接是明文存储。
中心化的储存方式很脆弱,一旦遭遇攻击,信息就会全部泄露,因此对服务器的安全性要求极高。
而对于KYC的保护,则需要付出高昂的成本。汤森路透最近的报告显示,一些金融机构每年要花费5亿美元来做客户尽职调查以及保证KYC的合规,其中人工成本占大头,其次还有硬件设备和其他费用。
站在攻击者的角度保护KYC
目前,市场对于KYC信息最好的保护方式就是将数据的所有权和使用权进行分离,机构通过数据使用权来实现KYC。
余炀告诉锌链接,从攻击者的角度出发,可以从两个方面保护KYC信息。一是防止外部黑客窃取。具体来说,需要加固KYC系统的安全性,最小化软件中的潜在漏洞。二是防止内部恶意员工的信息泄露,需要机构对KYC信息的访问权限进行严格的管控。
TEEX通过TEE技术结合GPU-TEE方案构建了一个可信KYC平台。据余炀介绍,该平台能够将整个自动化KYC过程保护起来。无论是谁都无法接触到验证过程中的KYC信息。对于人工审核,也可以通过可信显示技术,保证在将KYC信息显示给审核员的同时,信息本身不被窃取。
同时,对于调用第三方服务的机构则提供可信KYC服务调用前置机。利用TEE技术,将整个调用第三方服务的逻辑进行保护,包括第三方服务身份的验证、KYC信息的传递以及最终结果的获取。
另外,可信水印技术能够保证信息泄露之后,准确定位泄露主体。
可信KYC审核平台TEEX提供
PlatON则使用隐私计算,既能验证身份又能保护隐私的。据孙立林介绍,隐私计算主要采用多方安全计算,完全通过密码学的技术手段,在保护数据不被转移不被披露的情况下,还能计算并得到正确结果。
但TEE的硬件设备成本较高,再加上用户接受度方面的问题,可能在商业银行乃至互联网金融领域,都不是一个比较好的应用点,更适合于数字货币领域。据张贝龙介绍,而纯密码学是一件非常“乌托邦”的事情,目前大规模商用还存在问题,也难以解决KYC难题。
趣链科技则采用“密码学工程学”并行的方式推出BitXMesh。
技术详解趣链科技提供
张贝龙向锌链接介绍,BitXMesh使用智能合约控制数据使用权限并且仅在L1层中传输数据模型,把如KYC信息等大量数据存放在L2层,从而实现“数据可用不可见”,控制数据交易,进而在数据隐私与数据共享中找寻更合适的平衡点。该产品目前主要用于不同银行间黑名单数据的共享。
技术还需不断完善,新的商业模式正在酝酿。区块链技术有去中心化、可追溯、不可篡改等特性,或许能为KYC带来新的发展空间。
余炀告诉锌链接,目前KYC都是依靠中心化机构去实现的。区块链独特的去中心化信任体系,能够搭建一个公开的信任网络,让数据共享更可信。
孔庆阳则表示,区块链技术是一个构建信用体系的工具,做访问控制和存证,能够追溯到数据使用的全流程,对KYC起到一个监管的作用,但可能需要政府部门、监管机构和科技公司三方的介入来共同维护。
此外,区块链是可以帮助搭建统一的数字身份,来解决不同国家KYC标准和审查机制的差异。
数据只有流通起来才会发挥最大价值,不管是对机构还是用户,保护KYC数据不被泄露的同时实现共享是趋势也是目标。
文章系金色财经专栏作者供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.
1900/1/1 0:00:00尊敬的R网用户:为迎接DNA即将到来的重大活动季,元界双链DNA联合R网举办活动,将对R网持有ETP的用户进行DNA代币空投.
1900/1/1 0:00:00亲爱的用户:您好!ZG.COM将于2019年9月2日14:00开放ISCM的充值和提币业务,于9月3日14:00开启ISCM/USDT交易对.
1900/1/1 0:00:00尊敬的用户:ZZEX交易所将于2019年9月17日15:00上线HuaTaiNetwork,支持HTN/USDT和HTN/ETH交易对.
1900/1/1 0:00:00Dearvaluedcustomers,NTWDtradingissuspendedduetotechissue.Afurtherannouncementwillbemadewhenitresu.
1900/1/1 0:00:00活动时间:2019年08月26日18:00:00到2019年09月05日18:00:00为庆祝Harmony(ONE)上线KuCoin.
1900/1/1 0:00:00