币安摊上事了

链得得 ChainDD.com

｜得区块链者得天下｜

如何保障用户信息不被泄露，同时符合金融监管，是每个交易所不得不思考的难题。

编辑|肆歌

头图|Unsplash

币安最近摊上事儿了。

8月8日，Telegram直播群里，大量疑似从币安泄露的用户KYC资料被曝光，其中包括身份证、护照等重要证件照片，这些证件上面记录着一些用户极其隐私的信息。

群截图

链得得注：KYC，即了解客户规则（know your customer），KYC政策不仅要求金融机构实行账户实名制，了解账户的实际控制人和交易的实际收益人，还要求对客户的身份、常住地址或企业所从事的业务进行充分的了解，并采取相应的措施。

随后币安官方回应表示，在Telegram群传播的数据和币安后台中的数据不同，币安的内部信息全部采用了电子水印，而网上传播的图片没有币安特定的电子水印。同时，网上传播的图片的标注日期都是2018年2月。在那期间，由于工作量巨大，币安曾有一周将部分KYC审核外包给第三方服务公司。

币安公告

事实上，币安用户KYC资料被曝光事件不是第一次发生。早在今年1月份，类似新闻就传出，当时一名为“ExploitDOT”的黑客声称，已经利用Binance等其他几个市场头部加密货币交易所的技术漏洞窃取了他们用户的KYC资料，并在网上发布了数百张相关照片。当时币安方面当时否认数据泄露，并表示这是一次有组织的网络钓鱼事件，诱骗交易所用户提供更多的私密信息。

有趣的是，1月份和8月份这两次泄露的KYC信息上标注的时间都为18年2月份，而且有着相当一部分信息重合了。

5月份，币安发生了另一起轰动整个业界的事件，7000多个比特币被盗，按当时的币价换算涉案金额约4000万美元。币安官方回应称，黑客使用了复合型的攻击技术，包括网络钓鱼，病毒等其他攻击手段，获得大量用户API密钥、谷歌验证2FA码以及其他相关信息。

而8月7号的用户KYC信息泄露似乎也与5月份的比特币被盗事件有关。在周三发布币安KYC客户详细信息前，一位匿名为Bnatov Platon的黑客向Conindesk指出，上次与用户API秘钥等信息一同泄露的还有KYC信息，他认为可能是交易所内部人士向黑客提供大量API信息，允许黑客直接访问客户帐户。尽管Platon自诩是白帽黑客，并声明自己与此前主导盗取比特币事件的黑客不是一伙，他的目的只是想把黑客绳之以法，但他似乎以KYC信息要求币安提供揭露信息漏洞的赏金，谈判最终失败，因此Platon于8月7日公开部分KYC照片。最后，他还声称自己掌握有6万多用户KYC信息。

但如果Platon所说为真，案件仍有存疑的地方，比如，为何这次KYC信息与1月所曝光的信息大量重叠，如果是5月随比特币被盗事件一同被窃取的，为何他不发新一批的用户KYC信息？

不管真相如何，币安的用户KYC信息确实是丢了，与这几次事件一同被质疑的不仅有币安的安全防护能力，还有KYC规则本身，尽管在一定程度上，KYC规避了人们利用加密货币从事洗钱等犯罪行为，但是由于信息披露的严格要求，加上交易所平台的中心化，用户也承担着自己的隐私不慎被泄露的危险。如何保障用户信息不被泄露，同时符合金融监管，是每个交易所不得不思考的难题。