🚨 你的KYC正在裸奔！Web3身份危機全面爆發！🚨

author 阅读：70 2025-03-28 17:34:01 评论：0

數據泄露的警鐘：KYC、AML政策的有效性反思

2024年，全球公開報導的重大數據泄露事件如同海嘯般湧來，至少造成了471.6億條數據泄露，與2023年的103.8億條相比，增長幅度高達354.3%。更令人擔憂的是，這股數據泄露的浪潮並未停歇，反而愈演愈烈。這意味著，我們每一個經過KYC（了解你的客戶）驗證的個人信息，都在黑市上被反覆關聯，隱私被剝得體無完膚。

這已經不是簡單地更改密碼就能解決的問題，因為隱私數據已經如同裸奔一般暴露在外。當數據泄露達到一定程度，溯源變得異常困難，我們甚至無法確定究竟是哪家互聯網服務提供商（ISP）的數據洩露導致了這一切。由此導致的惡性刑事案件在全球範圍內頻發，甚至主動洩露數據的犯罪行為也難以追溯。

現行的AML（反洗錢）和KYC政策雖然在一定程度上起到了一定的作用，但效果並不明顯。無辜的用戶被迫接受KYC驗證，而真正的犯罪分子卻依然逍遙法外。

是時候向全球互聯網用戶敲響警鐘了！現行的KYC、AML政策究竟方便了誰？我們還能相信誰？我們是否有辦法真正保護自己的身份和隱私？

加密市場的困境：數據泄露與SIM卡交換攻擊

加密市場長期以來與電信詐騙、犯罪網絡、黑客攻擊等非法活動緊密相連。儘管AML和KYC政策在一定程度上保護了加密市場，但網絡犯罪分子依舊有機可乘，每年因數據泄露造成的損失仍在不斷攀升。

2024年，九家加密貨幣交易所的用戶個人數據遭到泄露，超過50萬客戶受到影響。泄露的敏感數據包括完整的用戶名、信用卡號碼、電子郵件地址、IP地址以及各種身份驗證數據。同年12月，美國比特幣ATM運營商Byte Federal披露了一起數據泄露事件，黑客利用GitLab漏洞入侵系統，導致58000名客戶的數據洩露。

這些只是數據泄露事件中的冰山一角，但這些洩露的數據卻可能直接導致SIM卡交換攻擊。

SIM卡交換攻擊的流程

目標確定與信息收集： 攻擊者首先確定攻擊目標，通常是那些持有加密貨幣的人，例如V神、CZ等知名人士也未能倖免。他們通過購買泄露數據等途徑，收集目標的個人信息，包括姓名、出生日期、身份證號碼、電話號碼等KYC所需的信息。
冒充受害者聯繫運營商： 在收集到足夠的信息後，攻擊者會冒充受害者聯繫其移動服務提供商。他們可能會編造一些緊急或合理的藉口，例如聲稱丟失了手機、SIM卡損壞或需要升級到新設備等，以請求將受害者的電話號碼轉移到新的SIM卡上。
運營商的SIM卡交換操作： 如果攻擊者成功說服了運營商的客服代表，運營商會將受害者的電話號碼與攻擊者控制的新SIM卡關聯。此時，受害者的原始SIM卡會被停用，攻擊者的新SIM卡將接管該電話號碼。
獲取短信和電話： 一旦攻擊者控制了受害者的電話號碼，他們就可以接收所有發送到該號碼的短信和電話，包括用於雙因素認證的驗證碼。這使得攻擊者能夠繞過短信2FA，獲得賬戶權限，實施進一步的攻擊和資產竊取。

從這個黑色產業鏈來看，在一個零信任的網絡環境中，KYC是必要的，但KYC數據也成了犯罪分子犯罪的源頭。

Web3的悖論：匿名性與身份主權的衝突

2023年，曾被譽為扶貧工具的區塊鏈遊戲 Axie Infinity 的崩潰震驚了全球。在巔峰時期，這款“邊玩邊賺”的遊戲吸引了超過 270 萬菲律賓玩家（佔其全球用戶群的 40%），他們通過遊戲內的代幣獲得日常收入。然而，當代幣價值暴跌時，許多人發現自己無法將數字資產兌換成法定貨幣，因為中心化交易所的 KYC 要求無法通過。

這凸顯了 Web3 的存在悖論：賦予其烏托邦願景力量的匿名性在現實世界的合規性面前成為其致命弱點。這場危機暴露了 Web3 的核心困境：匿名賦予自由，卻犧牲了身份主權；合規要求驗證，卻剝奪了隱私權。

如今，全球有超過 10 億人缺乏傳統的身份憑證，被困在數字經濟之外，因為“證明你是你”仍然依賴於電話號碼、身份證和銀行賬戶。更令人擔憂的是，在當今的人工智能和大語言模型技術支持下，偽造驗證身份的人臉、聲音、身份證件等成本極低。

技術本應服務於證明身份和保護匿名，但現在卻可能被惡意利用來奪取主權。這就是支撐Web3的身份驗證的當今現狀，多麼諷刺。

Tornado Cash事件：無KYC監管時代的曙光？

眾所周知，犯罪分子利用Tornado Cash等混幣工具來逃避監管，完成洗錢過程。這些年來，混幣工具幫助犯罪分子洗錢，現實世界將矛頭指向了Tornado Cash，並於2022年收押了其創始人。

2024年，數字加密貨幣行業遭受了超過22億美元的數字資產被盜，2025年2月21日發生的Bybit黑客入侵事件，黑客成功竊取了總價值超過15億美元的數字資產，堪稱加密貨幣史上之最。

然而，令人欣慰的是，Tornado Cash創始人 Alexey Pertsev 卻在2025年2月份，獲得荷蘭法院批准暫緩其審前拘留。儘管這並非真正的自由，但以太坊聯合創始人 Vitalik Buterin 轉發了這一消息並表示支持。更令人振奮的是，2025年3月，美國財政部將 Tornado Cash 和幾個相關的數字錢包地址從 OFAC 特別指定國民(SDN)制裁名單中刪除。

這一判決給開啟無KYC監管時代帶來了希望。 這個判決標誌著隱私保護與政府監管之間的天平正在傾斜。對於個人而言，隱私權的法律地位得到提升，使用隱私工具的風險降低。對於政府而言，需要在KYC要求與技術中立性之間尋求更精細化的平衡，推動監管工具的升級。未來，隱私保護可能從“對抗監管”轉向“合規創新”，成為數字時代公民權利與國家安全共同演進的關鍵。

Privasea的宣言：FHE KYC技術引領數字身份主權

為了紀念這一關鍵時刻，Privasea團隊撰寫此文，對此時刻致敬，我們宣布：KYC 不是保護加密投資者的途徑，只有將“你的存在”轉化為數學上可驗證的加密對象才是最佳途徑。

原創的FHE KYC技術將生物特徵轉換為不可變的隱私保護憑證，通過匿名身份設備（匿名電信SIM卡、匿名信用卡等數字世界連接器）錨定到web2世界，讓個人信息遁於無形；我們不僅僅是在升級基礎設施——我們正在啟動數字身份主權的範式轉變，我們看到了隱私保護的迫切性，Privasea將成為隱私保護和自主身份的堅定捍衛者。

FHE技術如何革新身份驗證

FHE（全同态加密）在身份验证方面实现了前所未有的突破：

用户保护： 生物识别信息和文件保持端到端加密，消除泄漏风险。
合规性： 服务提供商使用准确匹配的明文方法执行活体检查、年龄验证等。
监管平衡： “监管密钥分片”可实现极端情况下（例如刑事调查）的合法解密，从而兼顾隐私和安全。

FHE的原理

完全同态加密 (FHE) 长期以来被认为是密码学的“皇冠上的宝石”，它解决了一个 30 年来的难题：对加密数据进行计算而无需解密。

传统加密的局限性： 标准加密（例如 AES）保护静态数据。任何计算（例如身份检查）都需要解密，从而暴露原始数据——这是 Facebook 数据泄露的根本原因。
FHE 的突破： 想象一个上锁的保险箱（加密数据）。FHE 允许外部方在不解锁的情况下对其内容进行分类、计数或执行复杂操作。数据保持加密状态，但结果是可验证的。

ImHuman：加密狀態下的人類存在證明

ImHuman 的創新在於將生物特徵驗證轉變為完全在加密狀態下執行的加密過程：

分鍵存儲： 用戶生成客戶端密鑰，通過 Shamir 的祕密共享分成三個片段，分別存儲在本地、雲端和 ImHuman 服務器上。檢索需要兩個片段，從而消除單點故障。
活性至 NFT 鑄造： 初始面部掃描會生成 512 維特徵向量，通過客戶端密鑰加密並嵌入到 ImHuman NFT 中。這些 NFT 不存儲原始生物特徵，只存儲同態加密的“加密指紋”。
加密驗證： 在驗證過程中，新的面部掃描會產生新的向量。Privanetix 節點完全以加密形式計算相似度分數。
動態閾值： 如果超過預設的閾值，解密的相似度結果將觸發帶時間戳的憑證。

FHE+KYC匿名SIM卡：數字身份的完美守護者

傳統 SIM 卡依賴於集中式系統。eSIM + FHE KYC 釋放了前所未有的可能性：

零殘留綁定： eSIM 綁定到 ImHuman NFT 憑證，而不是原始生物識別信息。運營商無需訪問電話號碼、身份證或面部數據即可驗證憑證。
防丟失恢復： 丟失設備？通過 ImHuman 恢復：
- 使用兩個密鑰片段恢復客戶端密鑰。
- 通過加密檢查來驗證身份。
無法交換攻擊：

只有掌握自己 ImHuman NFT 憑證的人才可以重新補卡下發原來號碼，沒有其他任何途經變更號碼的主人，從而避免sim卡交換攻擊。
自動發行新的 eSIM—無需傳統KYC明文數據、也無需eKYC敏感數據。

匿名SIM卡的應用場景

有了這張匿名的SIM卡，可以註冊需要手機號的郵箱註冊，例如gmail、outlook等郵箱；也可以註冊需要手機號的IM即時通信工具telegram、whatapps等；特別是有了不暴露真實身份和無法篡改的號碼，可以確保郵箱的安全，大量只有郵箱註冊的互聯網服務將被延伸保護，例如社交網站等。

世界部分地區還可以用這個匿名SIM卡實現當地銀行業務的辦理，註冊信用卡等；還可以用這個匿名SIM卡辦理支付和結算業務，如尼日利亞等國家。

在大多數互聯網發達國家，SIM卡承擔了驗證服務，有了匿名SIM卡，可以放心註冊2FA驗證服務。 專卡專用的時代已經到來，FHE+KYC 底層技術重新定義了數字身份主權。

監管理念的轉變：隱私保護與技術中立

人們通常認為加密貨幣公司與傳統金融服務類似，因此受到的監管也應與傳統金融服務類似。歐盟也確認加密貨幣交易所在維護金融體系方面應與銀行承擔同等責任。但是美國財政部將 Tornado Cash 和幾個相關的數字錢包地址從 OFAC 特別指定國民(SDN)制裁名單中刪除，說明涉及加密貨幣交易的全新KYC和監管理念正在變化。加密貨幣公司不應與傳統金融服務一樣監管，對Tornado Cash創始人 Alexey Pertsev 的指控都是違反反洗錢法的。