Vấn đề KYC trong tiền điện tử
Đối với những người dùng tiền điện tử quan tâm đến quyền riêng tư, có lẽ không có ba chữ cái nào khiến họ lo ngại hơn KYC (Know Your Customer – Biết Khách Hàng). Thuật ngữ này ám chỉ quá trình cung cấp thông tin cá nhân, như tên và địa chỉ, cho một số nhà cung cấp dịch vụ, chủ yếu là các sàn giao dịch tiền điện tử. Ở nhiều khu vực pháp lý, bao gồm cả Mỹ, quy trình này được yêu cầu theo luật nhằm ngăn chặn các hoạt động bất hợp pháp. Tuy nhiên, việc thực hiện KYC cũng đi kèm với những rủi ro—đối với cả các công ty thu thập dữ liệu và cho những cá nhân cung cấp thông tin.
Vụ doxx của Raj Gokal
Vào đầu tuần này, Raj Gokal, đồng sáng lập Solana, cùng với vợ ông đã bị doxx (tiết lộ thông tin cá nhân) bởi những kẻ xấu với yêu cầu ông trả 40 BTC (trị giá khoảng 4.3 triệu đô la). Gokal đã cho biết rằng những bức ảnh về tài liệu của mình đã bị rò rỉ từ quy trình KYC, mặc dù ông không cung cấp chi tiết cụ thể. Việc doxx đề cập đến việc công khai thông tin cá nhân trên internet, trong trường hợp tồi tệ, có thể bao gồm cả địa chỉ nơi ở hoặc thông tin ngân hàng. Trong thế giới tiền điện tử, nơi mà nhiều người dùng có thể ẩn danh hoặc giả danh, ngưỡng rủi ro doxx có thể chỉ cần một cái tên hoặc hình ảnh thực sự của ai đó.
Cụ thể, trong trường hợp của Gokal, những bức ảnh mà kẻ xấu có được là chứng minh thư của ông, trong đó có cả địa chỉ nhà của ông. Sự cố này xảy ra chỉ hai tuần sau khi sàn giao dịch tiền điện tử lớn nhất tại Mỹ, Coinbase, công bố rằng họ bị rò rỉ dữ liệu, dẫn đến thông tin nhạy cảm của khách hàng rơi vào tay các hacker. Michael Arrington, người sáng lập TechCrunch và Arrington Capital đã cảnh báo sự việc này có thể “dẫn đến cái chết của nhiều người” do làn sóng bắt cóc trong ngành. Nhiều người đã suy đoán rằng vụ doxx Gokal có thể liên quan đến cuộc tấn công an ninh của Coinbase, mặc dù điều này vẫn chưa được xác nhận. Tuy nhiên, sự việc đã khiến người dùng tiền điện tử thêm thận trọng khi họ phải xác nhận danh tính của mình với các sàn giao dịch.
Nguy cơ và giải pháp KYC
Quy trình KYC thường yêu cầu người dùng cung cấp ảnh hộ chiếu, giấy tờ xác nhận địa chỉ, và một bức ảnh của bản thân cầm theo chứng minh thư. Với sự gia tăng các vụ bắt cóc liên quan đến tiền điện tử trên toàn cầu, người dùng lo lắng rằng thông tin KYC của họ cũng có thể bị đánh cắp, dẫn đến việc hacker có thể xác định vị trí cũng như hành động với họ. “Khi một nền tảng thu thập quá nhiều dữ liệu KYC, họ trở thành mục tiêu,” Nick Vaiman, đồng sáng lập và CEO của Bubblemaps cho hay. “Khi những kẻ tấn công có quyền truy cập vào dữ liệu đó, chúng có thể thực hiện các cuộc tấn công lừa đảo được nhắm mục tiêu cao, hoặc tồi tệ hơn, sử dụng thông tin cá nhân để xác định bạn trong thế giới thực và trực tiếp cướp bạn,” ông nói. “Dữ liệu KYC tạo ra rủi ro; càng nhiều dữ liệu bạn nắm giữ, bạn càng trở thành mục tiêu lớn hơn.”
Tuy nhiên, một tương lai không có KYC có lẽ là không thực tế, theo Arnaud Droz, đồng sáng lập và COO của Bubblemaps. Ông cho rằng KYC sẽ tiếp tục đóng vai trò như một “cái ác cần thiết” để ngăn chặn các hoạt động tội phạm trên chuỗi. “KYC là một công cụ quan trọng không chỉ để tuân thủ quy định mà còn để ngăn chặn tội phạm,” Slava Demchuk, CEO của công ty tuân thủ AMLBot, nhận định. “Dù các kẻ tội phạm tinh vi vẫn có thể tìm ra cách lách quy trình này, KYC tạo ra rào cản khiến các hoạt động của họ khó khăn hơn—và khi được kết hợp với các biện pháp phòng ngừa chống rửa tiền khác như giám sát giao dịch và sàng lọc, nó trở thành một hàng rào bảo vệ mạnh mẽ.”
Những thách thức và triển vọng tương lai
Chức năng quan trọng này khiến KYC trở thành yêu cầu theo luật tại hầu hết các khu vực pháp lý, bao gồm Mỹ, với việc yêu cầu này được quy định trong Đạo luật Patriot Mỹ năm 2001. Mặc dù có những lợi ích mà nó mang lại, tình hình đã dấy lên sự phản đối của nhiều lãnh đạo ngành trước các yêu cầu KYC sau vụ hack của Coinbase. Erik Voorhees, người sáng lập sàn giao dịch tiền điện tử ShapeShift, đã lên tiếng trên mạng xã hội chỉ trích KYC do nhà nước áp đặt là một tội ác. CEO Coinbase, Brian Armstrong cũng đồng tình với quan điểm này. “Vấn đề cốt lõi là nếu bạn là một kẻ lừa đảo, việc vượt qua hệ thống không khó,” Vaiman nói thêm. “Bạn có thể đơn giản mua KYC giả hoặc sử dụng thông tin KYC của người khác. Với sự phát triển của AI, việc tạo ra danh tính giả cũng ngày càng dễ dàng, khiến toàn bộ hệ thống trở nên mong manh. KYC không ngăn chặn được kẻ xấu và lại tạo ra rào cản cho người dùng trung thực.”
Vậy nếu hệ thống KYC, mặc dù cần thiết, còn nhiều lỗ hổng, thì chúng ta có thể làm gì để cải thiện nó? “Chúng ta đang chứng kiến sự xuất hiện của những giải pháp sáng tạo như KYC không biết trong và triển khai KYC không biết lý thuyết,” Jeff Feng, đồng sáng lập dự án blockchain layer-1 Sei Labs, chia sẻ. “Nhưng chúng ta phải thực tế—các hệ thống tài chính cần có các biện pháp bảo vệ chống lại các hoạt động bất hợp pháp.”
Các chứng minh không biết, thường được gọi là ZK-proofs, là một loại mật mã cho phép người dùng chứng minh một thông tin cụ thể, chẳng hạn như họ không sinh sống tại các nước bị trừng phạt, mà không tiết lộ thông tin cụ thể nào cho người nhận. Ông Demchuk từ AMLBot cho rằng ZK-KYC là một tính năng bảo vệ quyền riêng tư tuyệt vời nhưng sẽ rất khó để áp dụng, bởi vì điều này yêu cầu những thay đổi quy định đáng kể tại châu Âu, do các quy định GDPR yêu cầu nhà điều hành dữ liệu, trong trường hợp này là sàn giao dịch, phải lưu trữ dữ liệu liên quan đến quy trình KYC trong vòng năm năm. ZK-KYC sẽ ngăn cản sàn giao dịch tiếp xúc với dữ liệu, cũng như cấm họ lưu trữ nó trong thời gian yêu cầu.
Định hướng tương lai cho giao dịch tiền điện tử
Bất kể ngành công nghiệp sẽ phát triển ra sao về vấn đề KYC, một số người dùng vẫn tin rằng tình huống này chỉ ra một vấn đề sâu sắc hơn. “Khả năng giao dịch một cách ẩn danh là nền tảng của tiền điện tử như một công nghệ cách mạng chống lại sự xâm phạm của nhà nước,” Charlotte Fang, người sáng lập Remilia Corporation, cho biết trong cuộc phỏng vấn. “Ngành tiền điện tử đã đi xa khỏi những nguyên lý cơ bản của phong trào cypherpunk, không chỉ trong quy trình KYC của các sàn giao dịch, mà còn trong cả văn hóa tổng thể.” Các nhà bảo vệ quyền riêng tư tin rằng việc hoàn toàn ẩn danh trong giao dịch trên các mạng blockchain là điều cần thiết, trong khi các cơ quan quản lý lại tìm cách ngăn chặn điều này. Tuy nhiên, sau khi Bộ Tài chính Mỹ dỡ bỏ các biện pháp trừng phạt đối với Tornado Cash, công cụ trộn tiền nhằm bảo vệ quyền riêng tư Ethereum, vào đầu năm nay, có thể nói rằng xu hướng này—ít nhất là tại Washington D.C.—có thể đang dần thay đổi.
