2024年,全年全球公开报道的重大数据泄露事件共造成至少471.6亿条数据泄露,较2023年的103.8亿条增长354.3%。最可怕的就是仍在增长并未停滞,这意味着我们每个被KYC过的个人信息都在黑市上被反复关联,拨得一丝不挂,这已经不是我们经常改变密码的问题,因为隐私数据裸奔,当数据泄漏到一定程度,已经无法溯源是哪个互联网服务提供商ISP的数据泄漏,因此隐私泄漏导致的恶性刑事全球频发,甚至主动泄漏数据犯罪也难以追溯。AML 和 KYC 政策有用但是效果并不理想。无辜的人都KYC了,犯罪分子仍逍遥法外。是时候给全球互联网用户拉响警报了,现行的KYC、AML政策到底方便了谁?我们还能相信谁?我们有没有办法保护自己的身份和隐私?
1.数据泄漏是造成加密领域SIM卡交换攻击的根源
加密市场总是与电信诈骗、犯罪网络、黑客攻击和其他非法活动联系在一起,由于 AML 和 KYC 政策,加密市场确实受到了足够的保护,可是网络犯罪分子获得成功的机会并未减少,每年加密市场利用泄露数据造成的损失仍在增加。2024年,九家加密货币交易所用户的个人数据被泄露,该事件影响了超过50万客户,收集大量敏感数据包括:完整的用户名;信用卡号码;电子邮件地址;IP 地址;各种身份验证数据。2024年12月,美国比特币ATM运营商Byte Federal披露了数据泄露事件,黑客利用GitLab漏洞入侵系统,泄露了58000名客户数据。这是泄漏数据的很小的事件,但这些泄漏数据却直接造成sim卡交换攻击。过程如下:
(1)目标确定与信息收集:攻击者首先确定目标,通常会选择那些拥有加密货币的人,例如V神、cz都未逃过攻击。他们会通过购买泄漏数据等途径收集目标的个人信息,如姓名、出生日期、身份证号码、电话号码等KYC需要的信息。
(2)冒充受害者联系运营商:在收集到足够的信息后,攻击者会冒充受害者联系其移动服务提供商。他们可能会编造一些紧急或合理的场景,如声称丢失了手机、SIM卡损坏或需要升级到新设备等,以请求将受害者的电话号码转移到新的SIM卡上。
(3)运营商的SIM卡交换操作:如果攻击者成功说服了运营商的客服代表,运营商会将受害者的电话号码与攻击者控制的新SIM卡关联。此时,受害者的原始SIM卡会被停用,攻击者的新SIM卡将接管该电话号码。
(4)获取短信和电话:一旦攻击者控制了受害者的电话号码,他们就可以接收所有发送到该号码的短信和电话,包括用于双因素认证的验证码。这使得攻击者能够旁路短信2FA,获得账户权限,实施进一步的攻击和资产窃取。
从这个黑色产业链看,一个零信任的网络环境,KYC是必要的,但KYC数据也成了犯罪分子犯罪的源头。
2.加密世界证明自己的手段那么脆弱,伪造成你的手段那么便捷
2023 年,曾被誉为扶贫工具的区块链游戏 Axie Infinity 的崩溃震惊了全球。在巅峰时期,这款“边玩边赚”的游戏吸引了超过 270 万菲律宾玩家(占其全球用户群的 40%),他们通过游戏内的代币获得日常收入。然而,当代币价值暴跌时,许多人发现自己无法将数字资产兑换成法定货币,因为中心化交易所的 KYC 要求无法通过。这凸显了 Web3 的存在悖论:赋予其乌托邦愿景力量的匿名性在现实世界的合规性面前成为其致命弱点。这场危机暴露了 Web3 的核心困境:匿名赋予自由,却牺牲了身份主权;合规要求验证,却剥夺了隐私权。如今,全球有超过 10 亿人缺乏传统的身份凭证,被困在数字经济之外,因为“证明你是你”仍然依赖于电话号码、身份证和银行账户。KYC数据在当今的人工智能和大语言模型技术支持下,伪造验证身份的人脸、声音、身份证件等成本极低。技术没有有效服务证明自己和保护匿名,却可以被技术恶意利用夺取了主权,这就是支撑Web3的身份验证的当今现状,多么讽刺。
3.KYC、AML全新监管时代即将带来
众所周知,犯罪份子利用Tornado Cash等混币工具在逃避监管完成洗币过程。这些年混币帮助了犯罪份子洗钱,现实世界把锚头指向了Tornado Cash并于2022年收押了创始人。
2024年,数字加密货币行业超22亿美元数字资产遭黑客窃取,2025年2月21日发生的Bybit黑客入侵事件,黑客成功窃取了总价值超过15亿美元数字资产,堪称加密货币史上之最。可喜的是Tornado Cash创始人 Alexey Pertsev 却在2025年2月份,荷兰法院已批准暂缓其审前拘留。尽管这不是真正的自由,以太坊联合创始人 Vitalik Buterin 转发了这一消息并表示支持。2025年3月,美国财政部将 Tornado Cash 和几个相关的数字钱包地址从 OFAC 特别指定国民(SDN)制裁名单中删除,这一判决给开启无KYC监管时代带来希望。这个判决标志着隐私保护与政府监管之间的天平正在倾斜。对个人:隐私权的法律地位提升,使用隐私工具的风险降低。对政府:需在KYC要求与技术中立性之间寻求更精细化的平衡,推动监管工具升级。未来,隐私保护可能从“对抗监管”转向“合规创新”,成为数字时代公民权利与国家安全共同演进的关键时期。
为了纪念这一关键时刻,Privasea团队撰写此文,对此时刻致敬,我们宣布:KYC 不是保护加密投资者的途径,只有将“你的存在”转化为数学上可验证的加密对象才是最佳途径。原创的FHE KYC技术将生物特征转换为不可变的隐私保护凭证,通过匿名身份设备(匿名电信SIM卡、匿名信用卡等数字世界连接器)锚定到web2世界,让个人信息遁于无形;我们不仅仅是在升级基础设施——我们正在启动数字身份主权的范式转变,我们看到了隐私保护的迫切性,Privasea将成为隐私保护和自主身份的坚定捍卫者。
4.FHE+KYC的匿名SIM卡将数字身份锚定到web2世界
(1)FHE 在身份验证方面实现了不可能的事情
用户保护:生物识别信息和文件保持端到端加密,消除泄漏风险。
合规性:服务提供商使用准确匹配的明文方法执行活体检查、年龄验证等。
监管平衡:“监管密钥分片”可实现极端情况下(例如刑事调查)的合法解密,从而兼顾隐私和安全。
(2)什么是 FHE
完全同态加密 (FHE) 长期以来被认为是密码学的“皇冠上的宝石”,它解决了一个 30 年来的难题:对加密数据进行计算而无需解密。
传统加密的局限性:标准加密(例如 AES)保护静态数据。任何计算(例如身份检查)都需要解密,从而暴露原始数据——这是 Facebook 数据泄露的根本原因。
FHE 的突破:想象一个上锁的保险箱(加密数据)。FHE 允许外部方在不解锁的情况下对其内容进行分类、计数或执行复杂操作。数据保持加密状态,但结果是可验证的。
(3)ImHuman:重新定义人类存在的证据
ImHuman 的创新在于将生物特征验证转变为完全在加密状态下执行的加密过程:
分键存储
用户生成客户端密钥,通过 Shamir 的秘密共享分成三个片段,分别存储在本地、云端和 ImHuman 服务器上。检索需要两个片段,从而消除单点故障。
活性至 NFT 铸造
初始面部扫描会生成 512 维特征向量,通过客户端密钥加密并嵌入到 ImHuman NFT 中。这些 NFT 不存储原始生物特征,只存储同态加密的“加密指纹”。
加密验证
在验证过程中,新的面部扫描会产生新的向量。Privanetix 节点完全以加密形式计算相似度分数。
动态阈值
如果超过预设的阈值,解密的相似度结果将触发带时间戳的凭证。
(4)FHE+KYC的匿名SIM卡将完美保护用户数字身份
传统 SIM 卡依赖于集中式系统。eSIM + FHE KYC 释放了前所未有的可能性:
零残留绑定:
eSIM 绑定到 ImHuman NFT 凭证,而不是原始生物识别信息。运营商无需访问电话号码、身份证或面部数据即可验证凭证。
防丢失恢复:
丢失设备?通过 ImHuman 恢复:
使用两个密钥片段恢复客户端密钥。
通过加密检查来验证身份。
无法交换攻击:
只有掌握自己 ImHuman NFT 凭证的人才可以重新补卡下发原来号码,没有其他任何途经变更号码的主人,从而避免sim卡交换攻击。
自动发行新的 eSIM—无需传统KYC明文数据、也无需eKYC敏感数据。
(5)FHE+KYC的匿名SIM卡将数字身份锚定到web2世界
有了这张匿名的SIM卡,可以注册需要手机号的邮箱注册,例如gmail、outlook等邮箱;也可以注册需要手机号的IM即时通信工具telegram、whatapps等;特别是有了不暴露真实身份和无法篡改的号码,可以确保邮箱的安全,大量只有邮箱注册的互联网服务将被延伸保护,例如社交网站等。
世界部分地区还可以用这个匿名SIM卡实现当地银行业务的办理,注册信用卡等;还可以用这个匿名SIM卡办理支付和结算业务,如尼日利亚等国家。
在大多数互联网发达国家,SIM卡承担了验证服务,有了匿名SIM卡,可以放心注册2FA验证服务。专卡专用的时代已经到来,FHE+KYC 底层技术重新定义了数字身份主权。
5.为什么这是不可逆转的:范式转变
人们通常认为加密货币公司与传统金融服务类似,因此受到的监管也与传统金融服务类似。欧盟也确认加密货币交易所在维护金融体系方面应与银行承担同等责任。但是美国财政部将 Tornado Cash 和几个相关的数字钱包地址从 OFAC 特别指定国民(SDN)制裁名单中删除,说明涉及加密货币交易的 全新KYC和监管理念在变化。加密货币公司不与传统金融服务一样监管,对Tornado Cash创始人 Alexey Pertsev 的指控都是违反反洗钱法的。
我们正处于一个历史性的转折点:人类首次能够用数学方法秘密的证明“我存在”,而无需放弃对自己身份的控制,这是在构建加密世界与现实世界互操作的隐私层,一场伟大的技术实践,也是为捍卫隐私权而战。这不仅仅是一次技术飞跃,更是数字人权的一个里程碑。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
