Эксперт по безопасности продемонстрировал, как KuCoin и Huobi неожиданно провалили тест KYC
Основатель CipherBlade Рич Сандерс протестировал процедуры KYC на мега-биржах Kucoin и Huobi. Его исследования показали, что эти процессы на биржах являются скорее формальностью, чем реальными усилиями остановить мошенников.
«Знай своего клиента» или театр одного актера
Экосистема обмена крипто-активов печально известна своим расплывчатым подходом к соблюдению требований «Знай своего клиента» (KYC) и борьбе с отмыванием денег (AML). Причины этого различны. С одной стороны, криптовалюта — это глобальное явление, однако в каждой стране действуют разные правила, и многие не спешат принимать новые законы, специфичные для растущих крипто-рынков. Или, если биржи сочли местные правила слишком жесткими, они переместились в такие юрисдикции, как Мальта или Каймановы острова, где они считают правовой надзор менее обременительным.
Тем не менее, по мере развития криптовалютных рынков некоторые крупные биржи, которые действуют как фиатные платформы, признали необходимость строгих программ KYC и AML, чтобы успокоить власти и гарантировать, что злоумышленники не смогут воспользоваться их платформами.
Другие, однако, похоже, используют процедуру KYC просто как формальность. Фирмы по анализу блокчейнов, такие как CipherTrace, Chainalysis и CipherBlade, имеют детальное представление об блокчейн-экосистеме, и именно их команды лучше всего оснащены для понимания не только движения криптовалют, но и методов безопасности на различных биржах.
Недавний отчет CipherTrace показал, что 56% глобальных крипто-бирж имеют слабые протоколы идентификации. В отчете говорится, что, несмотря на существующие правила крипто-AML, многие страны продолжают принимать поставщиков услуг виртуальных активов (VASP) с недостаточным KYC. CipherTrace сообщает, что в 2020 году 56% VASP во всем мире имеют слабые или пористые процессы KYC, что означает, что лица, отмывающие деньги, могут использовать эти VASP для внесения или снятия своих незаконно полученных средств с минимальным KYC или без него.
Более прозрачные VASP, которые позволяют вносить и снимать средства с минимальным или нулевым KYC, рискуют столкнуться с традиционными уловками по отмыванию денег, такими как структурирование.
Высокий уровень безопасности
Рич Сандерс, соучредитель и ведущий исследователь CipherBlade, в Twitter продемонстрировал слабые процедуры KYC на двух крупнейших биржах — KuCoin и Huobi. В двух отдельных ветках Twitter Сандерс создал поддельные личности, а затем успешно прошел первый этап KYC на двух китайских биржах. Для драматического эффекта, и чтобы еще больше подчеркнуть абсурдность ситуации, Сандерс на самом деле оделся как Борат и Тейлор Свифт,
и представил фотографии себя в образе во время процесса KYC.
И он прошел процедуру в обоих случаях.
Рич Сандерс все это прокомментировал так:
«KYC — это лишь один из нескольких аспектов программы соответствия. Сказать, что это важно, может создать впечатление, что я сторонник повышенных требований KYC, что в значительной степени неверно. Тем не менее, если вы собираетесь разработать программу соответствия, важно делать ее правильно.
Сигнализация добродетели KYC более разрушительна, чем ее отсутствие вообще. Например, ICO в эпоху 2017 года были печально известны соблюдением правил добродетели. Они просто собирали все документы, удостоверяющие личность, присланные людьми, и проводили визуальный осмотр. Вместо того, чтобы тратить деньги на Onfido (платформу идентификации), у них был менеджер сообщества с нулевым опытом соблюдения требований, который смотрел на идентификаторы.
Как видите, это все еще происходит сейчас на крупных биржах. Просто потрясающе. Многие в нашей отрасли критикуют банки, и это справедливо. Как мы собираемся заменять банки, когда я могу проделать такой трюк?
Я пытаюсь подчеркнуть, что, как в программах AML, так и во всем остальном — просто верить этим биржам на слово не сработает. Такие биржи, как Huobi и KuCoin, говорят что-то вроде «мы серьезно относимся к соблюдению требований», но на самом деле это далеко не так.»