Um aplicativo de conta sob o nome de Kim Jong-Un limpou as verificações Know Your Customer (KYC) do Gate.io e foi aprovado em minutos.
O processo Gate.io KYC atrai escrutínio
Detetive na cadeia, ZachXBTprocurou testar a hipótese de que as contas de troca de criptomoedas fornecem um grau de segurança ao rastrear fundos roubados.
“Quando os fundos roubados vão para uma troca de criptografia, as pessoas gostam de presumir que existe uma pessoa real com uma identidade real vinculada a uma conta“
Para desmascarar isso, ele se inscreveu para uma conta Gate.io com o nome Kim Jong-Un e um endereço de e-mail “nãolazarus.”ZachXBT capturou a aprovação do aplicativo mostrando que ele havia passado pelo KYC e foi liberado para negociar criptomoedas na bolsa.
Além disso, o nível de verificação básica “KYC-1” da empresa permitia que o titular da conta sacasse até 100.000 USDT diariamente.
Não está claro se ZachXBT alterou a documentação de identificação para chegar a esse ponto. No entanto, o resultado destacou falhas no processo de inscrição do Gate.io – principalmente no que diz respeito à verificação de nomes.
Para enfatizar o ponto, ZachXBT repetiu esse processo usando nomes inventados e nomes listados na lista de sanções do Office of Foreign Assets Control (OFAC) com endereços de e-mail como “Harmonyhacker” e “lazaruslover” – todos os quais foram aprovados – contradizendo assim a ideia de que os maus atores evitam usar trocas.
O Grupo Lázaro refere-se a um coletivo de hackers e golpistas, supostamente sob a direção do governo norte-coreano.
O grupo emprega muitas estratégias, incluindo malware, como usado no 2017 Quero chorar ataque ransomware. E engenharia social, como atrair um veterano Axie Infinity engenheiro para abrir um arquivo de “oferta de trabalho”, posteriormente infectando o computador do engenheiro e levando à apreensão de vários nós Axie.
Conheça seu cliente
Para atender à conformidade da Força-Tarefa de Ação Financeira (FATF), as trocas de criptomoedas têm incorporado requisitos obrigatórios de KYC – com ByBit tornando-se o último a cair na fila. A empresa anunciou que todos os usuários precisarão fazer upload do ID a partir de 8 de maio.
Os críticos do KYC argumentam que a prática limita a participação cripto. Além disso, os malfeitores têm os meios e o know-how para contornar facilmente as verificações – tornando o KYC inútil em termos de atingir seu objetivo de impedir a lavagem de dinheiro.
Além disso, conforme demonstrado na violação de dados do Ledger em Julho 2020, o armazenamento de informações do cliente oferece aos hackers uma via adicional de ataque. Os clientes do Ledger foram ameaçados e doxxados depois que suas informações de contato se tornaram públicas.
O CryptoSlate entrou em contato com Gate.io para comentar as descobertas do ZachXBT. Nenhum comentário foi recebido no momento da imprensa.
