Tại sao KYC là ‘kẻ thù’ ngầm của người dùng tiền điện tử?

Vụ vi phạm dữ liệu gần đây của Coinbase đã làm lộ rõ một vấn đề nhức nhối mà nhiều người trong ngành tiền điện tử đều muốn tránh: sự mong manh về mặt cấu trúc của các hệ thống xác minh danh tính (KYC) bắt buộc trên các nền tảng tập trung. Sự cố này không chỉ phơi bày thông tin cá nhân của 70.000 người dùng mà còn làm bùng lên cuộc tranh luận về mức độ tương thích của KYC và các biện pháp quản lý khác được kế thừa từ tài chính truyền thống với nguyên lý phi tập trung của tiền điện tử.

KYC: Một cơ chế được xây dựng cho một môi trường khác biệt

Quy trình KYC được ra đời từ những năm 1970 dưới sự quy định của các ngân hàng tại Hoa Kỳ và được củng cố sau vụ tấn công khủng bố 11/9 thông qua Đạo luật USA PATRIOT. Mục đích chính của KYC là ngăn chặn việc sử dụng các dịch vụ tài chính cho các hành vi rửa tiền và tài trợ cho các hoạt động bất hợp pháp. Tuy nhiên, khi KYC được áp dụng vào ngành công nghiệp tiền điện tử, những căng thẳng về cấu trúc và sự không tương thích giữa hai thế giới này bắt đầu bộc lộ rõ.

Khác với ngân hàng truyền thống, nơi thông tin nhạy cảm được lưu trữ và bảo vệ bởi các tổ chức được kiểm toán nghiêm ngặt, hệ sinh thái tiền điện tử lại đa dạng và phân tán, với nhiều nhóm hoạt động và các tiêu chuẩn bảo mật không đồng nhất. Sự khác biệt này khiến cho việc xác minh danh tính trở thành một cổng thông tin không chỉ dành cho người dùng hợp pháp, mà còn là mục tiêu của những kẻ lừa đảo, tống tiền và tội phạm kỹ thuật số.

Khi xác minh danh tính trở thành mối đe dọa

Vụ việc của Coinbase đã minh họa rõ ràng sự nguy hiểm này. Các nhân viên hỗ trợ khách hàng của Coinbase đã bị hối lộ để cung cấp dữ liệu cá nhân quan trọng. Điều này không phải là một lỗ hổng kỹ thuật trong cơ sở hạ tầng, mà là lỗi của con người trong một hệ thống đã có lỗ hổng. Nó cho thấy rằng việc tập trung một lượng lớn dữ liệu cá nhân vào một điểm duy nhất có thể trở thành một mối đe dọa bảo mật nghiêm trọng đối với người dùng.

Đối với các nhà đầu tư, hậu quả của sự cố này còn vượt xa những rủi ro tài chính. Việc rò rỉ các thông tin như địa chỉ nhà, số ID cá nhân và phương thức xác thực có thể dẫn đến tình trạng đánh cắp danh tính, tấn công lừa đảo, và thậm chí là những nguy cơ về thể chất. Trong một thị trường nơi người dùng phải tự bảo vệ tài sản của mình, những sự cố như vậy tạo ra những mối nguy hiểm mới mà trước đây chưa từng có.

Nghịch lý của các quy định trong thế giới phi tập trung

Vấn đề cốt lõi nằm ở chỗ, các quy trình KYC hiện nay vẫn đang vận hành dựa trên logic của Web2 trong khi tiền điện tử được xây dựng trên nền tảng phi tập trung (Web3). Các sàn giao dịch tập trung, buộc phải tuân thủ các quy định pháp lý hiện hành, yêu cầu người dùng cung cấp hộ chiếu, ảnh tự sướng và các tài liệu chứng minh địa chỉ. Sau khi thu thập, những dữ liệu này trở thành mục tiêu hấp dẫn cho các tác nhân độc hại.

Mặc dù KYC được áp dụng với mục tiêu ngăn chặn các hoạt động bất hợp pháp, nhưng thực tế lại chứng minh quy trình này không thực sự hiệu quả trong việc ngăn chặn tội phạm. Kẻ tấn công có thể sử dụng các tài liệu giả do AI tạo ra hoặc mua danh tính trên các thị trường dark web, khiến các biện pháp kiểm soát trở nên vô hiệu. Trong khi đó, người dùng hợp pháp lại phải đối mặt với việc mất quyền riêng tư và bảo mật cá nhân.

Các lựa chọn thay thế cho KYC

Tuy nhiên, không phải tất cả hy vọng đã mất. Những công nghệ mới như proof of knowledge đang mở ra một hướng đi mới, cho phép xác thực danh tính mà không cần tiết lộ dữ liệu nhạy cảm. Những công nghệ này có thể kết hợp quyền riêng tư với việc tuân thủ các quy định. Tuy nhiên, việc triển khai rộng rãi các giải pháp này vẫn còn gặp rất nhiều thách thức về chi phí, kỹ thuật và quy mô, khiến cho chúng vẫn chưa thể áp dụng đại trà trong ngành công nghiệp tiền điện tử.

Trong khi chờ đợi các giải pháp thay thế khả thi, các nhà đầu tư hiện nay đang phải đối mặt với một hệ sinh thái mà những cơ chế bảo vệ, thay vì bảo vệ họ, lại khiến họ gặp phải những rủi ro không lường trước. Vụ rò rỉ dữ liệu của Coinbase không phải là sự cố duy nhất, và nếu không có những cải tiến về bảo mật và quy định, sẽ còn nhiều sự cố tương tự xảy ra trong tương lai. Dữ liệu cá nhân sẽ tiếp tục bị lưu trữ trong các cơ sở dữ liệu tập trung, dễ bị tấn công, trong khi các cơ quan quản lý vẫn tiếp tục yêu cầu áp dụng một mô hình xác minh danh tính được thiết kế cho kỷ nguyên ngân hàng truyền thống vào thế giới tiền điện tử.

Nhìn chung, quy trình KYC trong ngành crypto hiện nay đang là một rủi ro bị đánh giá thấp đối với người dùng. Mặc dù mục tiêu của KYC là bảo vệ hệ thống khỏi các hoạt động bất hợp pháp, nhưng thực tế nó lại đặt người dùng vào tình thế nguy hiểm hơn. Họ không chỉ đối mặt với các mối đe dọa về bảo mật mà còn phải hy sinh quyền riêng tư cá nhân trong một hệ sinh thái vốn được kỳ vọng sẽ bảo vệ họ khỏi những nguy cơ này.

Trong khi các giải pháp thay thế KYC còn chưa được triển khai rộng rãi, việc yêu cầu các nền tảng tiền điện tử áp dụng một mô hình bảo mật không phù hợp với bản chất của chúng chỉ tạo thêm những vấn đề thay vì giải quyết chúng. Cuộc tranh luận không còn chỉ là việc liệu những hoạt động này có cần thiết hay không, mà là cách thức và thời điểm chúng sẽ được thay thế bởi những khuôn khổ thực sự phù hợp với thế giới phi tập trung của tiền điện tử.

• Bộ Tài chính và IRS Hoa Kỳ hoàn thiện quy định nhà môi giới DeFi, yêu cầu KYC
• Căng thẳng Israel – Iran leo thang rủi ro lớn nhất với giá BTC tuần này

Lilly