BTC:幣安被勒索的KYC 憑啥值300個比特幣_到底什么是區塊鏈

近日，幣安再次陷入數據泄露事件，相傳是內鬼所為。隨后，黑客要挾用300個比特幣的籌碼換取1萬個KYC信息內鬼消息。因沒有馬上拿到勒索款，該身份不明人士就通過網絡泄露所掌握的信息。

數據泄露時常發生，似乎從未間斷。據公開數據顯示，2019年上半年，全球出現了至少10起類似信息被盜事件。

此次的“幣安KYC泄露事件”，再一次將行業內的安全問題推到臺前。

KYC提升安全性，可以規避機構經營風險

KYC來源于巴塞爾銀行監管委員會在1998年12月通過的《關于防止犯罪分子利用銀行系統洗錢的聲明》，該聲明提出金融機構在提供服務時應當對用戶信息和用戶畫像進行采集和識別。

隨后，KYC被各國的監管機構所接受并推行，成為金融監管的一個重要程序。

分析 | 幣安被盜BTC中第三個關鍵地址異動，黑客連續三天密集洗錢:據PeckShield數字資產護航系統（AML）最新數據顯示，繼前兩天幣安被盜7,074枚BTC的2個包含1,060枚BTC地址密集洗錢后，今天早晨06時02分，另一存放有1,060枚BTC 1MNwMURY開頭的地址也出現異動。黑客又以同樣的方式，頻繁打包交易，切碎被盜資金。截至目前，幣安被盜7,074枚BTC分散后的7個主要地址中，已有3個地址共計3,180枚BTC開始密集洗錢，其中大部分小額地址存洗錢成功可能。[2019/6/16]

國內，KYC是反洗錢法律制度的強制性要求，是金融機構及其工作人員必須履行的法律義務。

隨著互聯網金融的快速發展，監管對KYC提出了更高要求。KYC始于金融機構，而后滲透到各行各業，KYC也變得愈加重要。

動態 | 幣安被盜BTC中又一關鍵地址異動，黑客持續洗錢中:據PeckShield數字資產護航系統（AML）最新數據顯示，繼昨天幣安被盜7,074枚BTC的其中1個包含1,060枚BTC bc1q2rdpy開頭的地址密集洗錢后，今天下午16時54分，另一存放有1,060枚BTC 16SMGihY9開頭的地址也出現異動。黑客又以不斷切割、分散的方式，頻繁操作了數百筆交易，直至新地址上最小額僅有0.78枚BTC。截至目前，幣安被盜7,074枚BTC分散后的7個主要地址中，已有2個開始密集洗錢，其中大部分小額地址存洗錢成功可能。[2019/6/15]

最常見的就是去銀行辦理業務，會對每位用戶做盡職調查，收集客戶信息；其次就是手機APP的實名認證，就是各個機構進行KYC的一個方式。

聲音 | Ledger CEO：幣安被盜事件發生后，公司銷量增長了一倍:5月15日，Ledger首席執行官Pascal Gauthier在Atomic Swap會議上表示，在幣安黑客攻擊事件發生后，該公司的銷售額增長了一倍。Gauthier還表示，提供安全關鍵產品會帶來壓力。一旦市值從10億美元大幅增長至1萬億美元，安全問題就變得更加棘手。如果出現大幅增長，Ledger將需要額外的投資來應對安全方面的擔憂。[2019/5/16]

趣鏈科技北京分公司副總張貝龍告訴鋅鏈接，在傳統金融領域，KYC只是一個手段，主要是為了后面的AML，以及CFT。

溪塔科技市場總監孔慶陽告訴鋅鏈接，之所以實行KYC，一方面是監管要求，保證金融安全；其次，不少公司通過收集KYC信息形成用戶畫像，如果在KYC信息采集不完整，上層數據分析就無法順利開展。

聲音 | 趙東：幣安被盜可能只是一系列黑客事件的開始，各平臺需嚴查自身安全問題:針對幣安熱錢包被盜一事，趙東發微博稱：“突然想到，就不負責地陰謀論一下，幣安被盜可能只是一系列黑客事件的開始，希望此事給大家敲響警鐘，各家平臺嚴查自身安全問題。你的系統可能早就被黑客潛伏大半年或者N年了。現在沒丟幣不代表沒有安全問題。 ????”[2019/5/9]

據鋅鏈接了解，目前KYC收集方式分很多種，比較簡單的是身份實名認證，即提供姓名、身份證、銀行卡等信息，通過調用銀聯開放平臺或是官方授權的身份數據庫接口來進行校驗。此外，還有人臉識別、活體檢測等。而這些信息要么客戶主動上傳，要么通過其他平臺進行授權獲取。

然而，KYC數據收集只是第一步，更重要的是數據核驗以及數據存儲。PlatON創始人孫立林告訴鋅鏈接，盡管KYC提升了安全性，規避了機構的經營風險，但是卻對用戶隱私構成了威脅。

動態 | 何一否認幣安被盜10000BTC：平臺內部轉賬:針對與SYS漏洞相關的幣安異常交易，且有10000比特幣被盜傳言，幣安聯合創始人何一回應稱是平臺內部轉賬，并非被盜，不用擔心。何一詳細解釋全過程表示：首先，API賬戶異常是客觀事實，所以目前已經刪除所有API，對于沒有經過自己的確認做了第三方授權或者做了授權自己不知道的賬戶，所有的都需要重新綁一遍API。但是這個轉賬并沒有轉出幣安，所以不用擔心。第二個問題，由于API異常所以SYS被拉高了，在價格拉高的過程中，幣安對于所有非主動進行交易的個別賬戶會進行異常的回滾。此外，何一還稱，“這就是一個看上去會比較異常的正常轉賬，大家會把那個理解為被盜我們也能夠理解。但外面傳聞越說越夸張，越說越嚇人。且不說不是真的被盜了，就算真被盜了幣安也賠得起，我們做平臺的一直都是把用戶放在第一位的。”[2018/7/4]

用戶隱私遭受威脅

據悉，目前市場上慣用的KYC核驗方式大概有三種：人工、調用的身份數據庫或銀聯數據庫開放的API接口比對、外包。

TEEX聯合創始人余煬告訴鋅鏈接，不論是人工審查，還是調用API，用戶數據在整個過程中都是暴露的。企業內部員工，甚至是一些低權限的實習生操作員，都可以輕松拿走數據。而采取外包審查形式，數據出了公司，泄漏風險無疑會變得更大。再加上數據本身極易二次拷貝和沉淀，因此一些不法分子可以非常容易地利用用戶隱私數據進行牟利。

不僅核驗階段數據極易泄露，存儲階段也不例外。據鋅鏈接了解，目前一般都是采用中心化存儲在服務器，部分公司甚至直接是明文存儲。

中心化的儲存方式很脆弱，一旦遭遇攻擊，信息就會全部泄露，因此對服務器的安全性要求極高。

而對于KYC的保護，則需要付出高昂的成本。湯森路透最近的報告顯示，一些金融機構每年要花費5億美元來做客戶盡職調查以及保證KYC的合規，其中人工成本占大頭，其次還有硬件設備和其他費用。

站在攻擊者的角度保護KYC

目前，市場對于KYC信息最好的保護方式就是將數據的所有權和使用權進行分離，機構通過數據使用權來實現KYC。

余煬告訴鋅鏈接，從攻擊者的角度出發，可以從兩個方面保護KYC信息。一是防止外部黑客竊取。具體來說，需要加固KYC系統的安全性，最小化軟件中的潛在漏洞。二是防止內部惡意員工的信息泄露，需要機構對KYC信息的訪問權限進行嚴格的管控。

TEEX通過TEE技術結合GPU-TEE方案構建了一個可信KYC平臺。據余煬介紹，該平臺能夠將整個自動化KYC過程保護起來。無論是誰都無法接觸到驗證過程中的KYC信息。對于人工審核，也可以通過可信顯示技術，保證在將KYC信息顯示給審核員的同時，信息本身不被竊取。

同時，對于調用第三方服務的機構則提供可信KYC服務調用前置機。利用TEE技術，將整個調用第三方服務的邏輯進行保護，包括第三方服務身份的驗證、KYC信息的傳遞以及最終結果的獲取。

另外，可信水印技術能夠保證信息泄露之后，準確定位泄露主體。

可信KYC審核平臺TEEX提供

PlatON則使用隱私計算，既能驗證身份又能保護隱私的。據孫立林介紹，隱私計算主要采用多方安全計算，完全通過密碼學的技術手段，在保護數據不被轉移不被披露的情況下，還能計算并得到正確結果。

但TEE的硬件設備成本較高，再加上用戶接受度方面的問題，可能在商業銀行乃至互聯網金融領域，都不是一個比較好的應用點，更適合于數字貨幣領域。據張貝龍介紹，而純密碼學是一件非常“烏托邦”的事情，目前大規模商用還存在問題，也難以解決KYC難題。

趣鏈科技則采用“密碼學工程學”并行的方式推出BitXMesh。

技術詳解趣鏈科技提供

張貝龍向鋅鏈接介紹，BitXMesh使用智能合約控制數據使用權限并且僅在L1層中傳輸數據模型，把如KYC信息等大量數據存放在L2層，從而實現“數據可用不可見”，控制數據交易，進而在數據隱私與數據共享中找尋更合適的平衡點。該產品目前主要用于不同銀行間黑名單數據的共享。

技術還需不斷完善，新的商業模式正在醞釀。區塊鏈技術有去中心化、可追溯、不可篡改等特性，或許能為KYC帶來新的發展空間。

余煬告訴鋅鏈接，目前KYC都是依靠中心化機構去實現的。區塊鏈獨特的去中心化信任體系，能夠搭建一個公開的信任網絡，讓數據共享更可信。

孔慶陽則表示，區塊鏈技術是一個構建信用體系的工具，做訪問控制和存證，能夠追溯到數據使用的全流程，對KYC起到一個監管的作用，但可能需要政府部門、監管機構和科技公司三方的介入來共同維護。

此外，區塊鏈是可以幫助搭建統一的數字身份，來解決不同國家KYC標準和審查機制的差異。

數據只有流通起來才會發揮最大價值，不管是對機構還是用戶，保護KYC數據不被泄露的同時實現共享是趨勢也是目標。

Tags：BTCAPI區塊鏈GER200BTC是什么意思Hackspace Capital到底什么是區塊鏈ledger錢包使用教程

比特幣交易所