Những tình tiết mới trong vụ sàn giao dịch tiền số Coinbase làm lộ dữ liệu KYC của 70.000 người dùng đang gây sốc trong cộng đồng. Reuters cho biết thiệt hại của vụ hack ước tính lên đến 400 triệu USD. Nhưng hậu quả lớn hơn là những tranh cãi đang bị thổi bùng lên về việc các sàn tiền số đang thu thập và quản lý dữ liệu người dùng ra sao? Liệu KYC có thật sự cần thiết? Có cách nào để dữ liệu người dùng được an toàn hơn trong khi cơ quan chức năng vẫn có thể kiểm soát khi cần?
70.000 dữ liệu KYC của người dùng bị lộ
Theo hồ sơ gửi lên tòa án liên bang Manhattan (Mỹ), Coinbase thừa nhận vụ việc bắt đầu từ tháng 12.2024. Nhân viên của một công ty gia công phần mềm cho Coinbase đã nhận hối lộ từ kẻ gian để có quyền truy cập vào thông tin cá nhân của 70.000 người dùng.
Coinbase gây sốc khi thừa nhận tin tặc đã lấy được những dữ liệu quan trọng của người dùng như ảnh ID do chính phủ cấp, địa chỉ nhà ở và nhiều thông tin nhạy cảm khác.
Minh họa dữ liệu KYC của 70.000 người dùng của Coinbase bị đánh cắp
ẢNH: COINTRIBUNE
Sáng 3.6, Reuters dẫn nguồn tin cho biết bê bối của Coinbase bắt đầu từ một nhân viên gia công phần mềm ở Ấn Độ. Công ty phát hiện ra sự cố khi thấy nữ nhân viên này dùng điện thoại chụp ảnh màn hình máy tính. Cô và đồng phạm được cho là đã đổi dữ liệu người dùng để nhận tiền đút lót từ tin tặc. Ngay sau đó, hơn 200 nhân viên của công ty đã bị sa thải.
Coinbase đổ lỗi cho "các nhân viên nước ngoài" về sự cố. Mãi đến khi bị tin tặc tống tiền vào ngày 11.5, sàn giao dịch tiền số lớn nhất nước Mỹ mới nhận ra "sự vụ nghiêm trọng hơn hình dung rất nhiều lần". Coinbase tuyên bố họ đã "cắt đứt quan hệ" với công ty đối tác có nhân viên vi phạm, đồng thời "thắt chặt kiểm soát" quyền truy cập dữ liệu.
"Gót chân Achilles" của người gác cổng cho Coinbase
KYC (Know Your Customer) là quy trình xác minh danh tính khách hàng của các nền tảng tài chính, mạng xã hội. Những thông tin cá nhân thu thập từ quá trình KYC giúp đảm bảo danh tính chính chủ, người dùng không liên quan đến các hoạt động phạm pháp như rửa tiền, tài trợ khủng bố. KYC giúp các thể chế tài chính truyền thống lẫn sàn giao dịch tiền số phòng những rủi ro, gian lận.
Quy định KYC tại Mỹ bắt đầu từ những năm 1970, theo Đạo luật Bảo mật của ngân hàng Mỹ. Sau vụ khủng bố 11.9, đạo luật USA PATRIOT theo "Chương trình Nhận dạng khách hàng" được thông qua khiến quy định về KYC càng trở nên chặt chẽ.
Với lĩnh vực tiền mã hóa còn non trẻ, KYC cũng trở thành yêu cầu bắt buộc. Với một công ty niêm yết trên Nasdaq như Coinbase, KYC được xem như "người gác cổng" để bảo vệ sàn. Theo yêu cầu, nền tảng sẽ thu thập dữ liệu của người dùng thông qua ảnh hộ chiếu, ID do chính phủ cấp, ảnh selfie, thậm chí hóa đơn mua bán.
KYC được thiết kế để hạn chế gian lận, rửa tiền và tài trợ khủng bố. Nhưng trên thực tế, người dùng thường trở thành nạn nhân đầu tiên bị đánh cắp thông tin khi kẻ xấu tấn công vào hệ thống. Vụ hack đánh cắp 70.000 dữ liệu người dùng đã phơi bày "gót chân Achilles" của KYC.
Cộng đồng chia rẽ sau bê bối Coinbase
Sau cú sốc 70.000 dữ liệu của người dùng Coinbase bị đánh cắp, cộng đồng tiền điện tử đã kêu gọi loại bỏ KYC khỏi ngành. Những người ủng hộ việc này cho rằng quá trình xác minh danh tính chỉ khiến người dùng trở thành con mồi của tin tặc và những kẻ tống tiền.
Nhưng những người ủng hộ KYC cũng có lý khi lập luận rằng các sàn giao dịch không thể từ bỏ quá trình xác minh này. Đây là yêu cầu bắt buộc về pháp lý dành cho những công ty được cấp phép hoạt động.
Với sự phát triển của blockchain, có một giải pháp tối ưu hơn là công nghệ zero-knowledge (ZK). Với ZK, dữ liệu người dùng được bảo vệ bằng cách họ chỉ chia sẻ một phần thông tin cần thiết để xác minh danh tính, trong khi cơ quan chức năng có thể dựa vào dữ liệu trên blockchain để truy ngược lại thông tin của người này khi cần thiết. Dù cân bằng được yêu cầu của ba bên là người dùng, sàn giao dịch và cơ quan quản lý, ZK lại có một nhược điểm là chi phí vận hành lớn và phức tạp về mặt kỹ thuật. Đó là lý do KYC dù có nhiều lỗ hổng nhưng vẫn là lựa chọn tốt nhất hiện nay của các sàn giao dịch tiền số.
