A recente violação de dados da Coinbase está provocando novos apelos para remover os requisitos de Conheça Seu Cliente (KYC) em exchanges licenciadas de criptomoedas.

Atores ilícitos subornaram agentes de atendimento ao cliente da exchange no exterior em dezembro de 2024 para obter acesso a informações pessoais de 70.000 usuários. Em maio, a Coinbase admitiu que os hackers haviam obtido dados como fotos de documentos de identidade e endereços residenciais.

“Toda essa encenação de segurança precisa ser abolida o quanto antes. Repetidamente, ela só beneficia hackers e extorsionistas,” disse o desenvolvedor pseudônimo Banteg no X. “O KYC na verdade facilita o crime.”

No entanto, não é viável para as exchanges simplesmente abandonarem o KYC, pois ele é um requisito regulatório em várias jurisdições. Enquanto isso, alternativas com foco em privacidade, como as provas de conhecimento zero (ZK), ainda são limitadas pelo custo e pela complexidade técnica.

O grande escândalo de dados quase não prejudicou o desempenho das ações da Coinbase em maio. Fonte: Nasdaq

O KYC se torna um porteiro falho para a Coinbase

O mais recente escândalo de dados da Coinbase coloca a empresa listada na Nasdaq sob os holofotes. Mas a preocupação se aplica a todas as plataformas centralizadas que operam com licenças regulatórias em todo o mundo. As exchanges centralizadas agora coletam e gerenciam escaneamentos de passaporte, identidades oficiais, selfies e até contas de luz de usuários que apenas querem negociar.

O KYC foi projetado para conter fraudes, lavagem de dinheiro e financiamento ao terrorismo. Mas na prática, são os usuários comuns que acabam expostos, enquanto atacantes determinados encontram maneiras de contornar o sistema.

“Qualquer pessoa é capaz de gerar um passaporte falso dos EUA ou um diploma de uma faculdade de direito de renome. E 50% das empresas com verificação de identidade provavelmente podem ser burladas com IA generativa,” disse Ilia Kolochenko, CEO da empresa de cibersegurança ImmuniWeb, ao Cointelegraph.

Em fevereiro de 2024, foi relatado que pessoas conseguiram burlar sistemas de verificação KYC de exchanges de cripto gerando passaportes com IA. Em outubro de 2024, outro serviço baseado em IA surgiu para adicionar uma ferramenta de geração de vídeo para burlar essas verificações.

Em 2023, o renomado detetive blockchain ZachXBT compartilhou detalhes de uma demonstração em que burlou o sistema de verificação da Gate.io usando uma identidade falsa com o nome do líder norte-coreano “Kim Jong-Un.” Ele disse que levou apenas alguns minutos para fazer isso.

O teste de verificação KYC fraca do detetive de criptomoedas não foi um caso isolado. Fonte: ZachXBT

Lisa Loud, diretora executiva da Secret Foundation, suspeita que seus dados pessoais foram incluídos na violação da Coinbase devido ao aumento de mensagens de spam suspeitas que tem recebido.

“Só ontem, recebi cinco mensagens sobre a Coinbase, dizendo que alguém estava tentando acessar meu 2FA ou sacar fundos,” disse Loud ao Cointelegraph. “O objetivo do Web3 é superar os problemas do Web2, não repeti-los.”

Em termos financeiros, ela se considera com sorte, já que não mantém muito na exchange. Sua maior preocupação são as informações privadas que atores ilícitos agora podem acessar.

Coinbase destaca como o KYC do Web2 falha com os usuários do Web3

O KYC não foi projetado com o cripto em mente, mas hoje é um pilar de como os reguladores forçam a indústria emergente a seguir regras tradicionais.

“O problema não é estarmos fazendo KYC; é que estamos fazendo isso do jeito do Web2, e não de uma forma nova,” disse Loud. “O objetivo deles é apertar o modelo de risco. Faz sentido do ponto de vista de negócios — mas é completamente injusto com os usuários.”

As práticas de KYC surgiram na década de 1970 sob o Bank Secrecy Act dos EUA e foram reforçadas após os ataques de 11 de setembro pela Lei Patriota dos EUA com o “Programa de Identificação de Clientes”.

O cripto surgiu muito depois, mas cada vez mais depende de verificação de identidade. Atores ilícitos podem comprar identidades roubadas ou contas com KYC verificado em mercados da dark web, ou usar ferramentas avançadas, como IA, para burlar essas verificações a um custo mínimo.

Um estudo testa 300 links da dark web para encontrar 12 sites que vendem contas verificadas por KYC em plataformas de transferência de dinheiro. Fonte: CertiK

Alguns usuários pedem que o KYC seja abandonado e substituído por inovações modernas, como a tecnologia ZK. Isso permitiria que uma parte provasse a outra que uma informação é verdadeira sem revelar os dados subjacentes. Em teoria, isso permitiria que reguladores cumprissem suas exigências enquanto os usuários mantêm sua privacidade.

O vazamento de dados em uma das corretoras de criptomoedas mais maduras gerou uma onda de protestos contra as práticas de KYC. Fonte: Francisco Calderón

“O problema é que exchanges e muitas empresas Web3 estão todas fazendo KYC de forma independente, repetidamente. Mas se eu pudesse verificar minha identidade uma vez e depois usar esse serviço para fornecer uma prova ZK de identidade, isso seria muito melhor,” disse Loud.

Escândalo da Coinbase não deve acabar com o KYC

Embora soluções modernas baseadas em blockchain possam melhorar a privacidade ao mesmo tempo em que verificam identidades, Kolochenko afirma que o KYC continuará a prevalecer globalmente, apesar de suas falhas.

“O KYC veio para ficar, e os reguladores não vão afrouxar as exigências. Se algo, vão apertá-las. Sem ele, o cripto corre o risco de se tornar uma ferramenta para todo tipo de crime imaginável,” disse ele.

Apesar do incidente de segurança, Kolochenko se recusou a classificá-lo como uma violação de dados, observando que as informações dos clientes foram obtidas por meio de suborno de funcionários estrangeiros da Coinbase e não por falha técnica ou ataque à infraestrutura.

Independentemente da classificação, os dados dos clientes foram comprometidos. Há pouco que possam fazer além de seguir boas práticas para manter uma pegada digital limpa.

O crime físico contra donos de criptomoedas está aumentando.

“Ative o modo paranoico — no bom sentido. Atualize tudo. Ative o 2FA. Nunca confie em uma ligação pedindo sua seed phrase,” disse Kolochenko.

Loud é uma defensora da tecnologia ZK, que pode melhorar a privacidade ao mesmo tempo que atende aos requisitos de verificação de identidade. Mas até ela admite que a tecnologia não pode ser implementada de forma imediata devido às suas altas exigências computacionais e custos.

Enquanto os usuários de cripto correm para recuperar sua privacidade, reguladores e exchanges permanecem presos a uma mentalidade de compliance que exige a submissão de dados pessoais.

Loud tem sido especialmente cautelosa desde o vazamento da Coinbase, do qual ela acredita ter sido vítima. Agora ela considera mudar o número de telefone que possui há mais de uma década, já que passou a receber uma enxurrada de mensagens de spam relacionadas à Coinbase.

A violação também gerou temores sobre a segurança dos usuários, já que endereços residenciais foram incluídos no vazamento. O fundador do TechCrunch e da Arrington Capital, Michael Arrington, disse no X que as informações vazadas podem colocar os usuários em risco físico.

Siga o Cointelegraph Brasil para acompanhar as notícias em tempo real: estamos no X, no Telegram, no Facebook, no Instagram e no YouTube, com análises, especialistas, entrevistas e notícias de última hora do mercado de cripto e blockchain no Brasil e na América Latina.