Una solicitud de cuenta con el nombre de Kim Jong-Un superó los controles Know Your Customer (KYC) de Gate.io y fue aprobada en cuestión de minutos.

El proceso KYC de Gate.io atrae el escrutinio

El detective en cadena, ZachXBT, buscó probar la hipótesis de que las cuentas de intercambio criptográfico brindan un grado de seguridad al rastrear fondos robados.

«Cuando los fondos robados van a un intercambio de criptomonedas, a la gente le gusta asumir que hay una persona real con una identidad real vinculada a una cuenta».

Para desacreditar esto, solicitó una cuenta de Gate.io con el nombre de Kim Jong-Un y una dirección de correo electrónico «notlazarus». ZachXBT tomó una captura de pantalla de la aprobación de la aplicación que muestra que había pasado KYC y estaba autorizado para intercambiar criptomonedas en el intercambio.

Además, el nivel de verificación básico «KYC-1» de la empresa permitía al titular de la cuenta retirar hasta 100 000 USDT al día.

No está claro si ZachXBT había alterado la documentación de identificación para llegar a este punto. No obstante, el resultado resaltó fallas en el proceso de solicitud de Gate.io, particularmente con respecto a las verificaciones de nombres.

Para enfatizar el punto, ZachXBT repitió este proceso utilizando nombres inventados y nombres que figuran en la lista de sanciones de la Oficina de Control de Activos Extranjeros (OFAC) con direcciones de correo electrónico como «harmonyhacker» y «lazaruslover», todos los cuales fueron aprobados, por lo tanto contradiciendo la idea de que los malos actores evitan usar intercambios.

El Grupo Lazarus se refiere a un colectivo de piratas informáticos y estafadores, supuestamente bajo la dirección del gobierno de Corea del Norte.

El grupo emplea muchas estrategias, incluido el malware, como se usó en el ataque de ransomware WannaCry de 2017. Y la ingeniería social, como provocar a un ingeniero sénior de Axie Infinity para que abra un archivo de «oferta de trabajo», infectando posteriormente la computadora del ingeniero y provocando la incautación de varios nodos de Axie.

Conozca a su cliente

Para cumplir con el cumplimiento del Grupo de Acción Financiera Internacional (FATF, por sus siglas en inglés), los intercambios de cifrado han estado incorporando requisitos obligatorios de KYC, y ByBit se convirtió en el último en cumplir. La compañía anunció que todos los usuarios deberán cargar una identificación a partir del 8 de mayo.

Los críticos de KYC argumentan que la práctica limita la participación criptográfica. Además, los malos actores tienen los medios y el conocimiento para eludir fácilmente los controles, lo que hace que KYC no tenga sentido en términos de lograr su objetivo de detener el lavado de dinero.

Además, como se demostró en la violación de datos de Ledger en julio de 2020, el almacenamiento de información de los clientes proporciona a los piratas informáticos una vía de ataque adicional. Los clientes del libro mayor fueron amenazados y engañados después de que su información de contacto se hizo pública.

Hyperconectados contactó a Gate.io para comentar sobre los hallazgos de ZachXBT. No se recibió ningún comentario en el momento de la publicación.