Przestępstwa w świecie kryptowalut również w świecie realnym

Przestępstwa w świecie kryptowalut nie skupiają się już obecnie tylko w Internecie, ale również w rzeczywistości, pokazał to atak z Paryża.

Kiedy myślimy o zagrożeniach związanych z kryptowalutami, na myśl przychodzi raczej cyberprzestępczość, phishing czy oszustwa na rynku NFT. Wydarzenia z Paryża rzucają zupełnie nowe światło na problem bezpieczeństwa, nie wirtualnego, lecz fizycznego. Próba porwania córki i wnuka szefa francuskiej giełdy kryptowalut Paymium unaocznia niebezpieczeństwa związane z gromadzeniem i udostępnianiem danych osobowych użytkowników cyfrowych aktywów.

Od końca 2024 roku w Europie obowiązują nowe regulacje rozciągające tzw. „Travel Rule” z tradycyjnych przelewów bankowych także na transakcje kryptowalutowe. Oznacza to, że każda platforma wymiany kryptowalut ma obowiązek przekazywać informacje o nadawcy i odbiorcy transakcji, w tym imię, nazwisko, adres zamieszkania oraz adres portfela kryptowalutowego.

Teoretycznie ma to służyć przeciwdziałaniu praniu pieniędzy, korupcji czy finansowaniu terroryzmu. W praktyce jednak – jak ostrzega Alexandre Stachtchenko z Paymium, tworzy to centralne bazy danych pełne informacji o osobach, które przechowują znaczne środki w kryptowalutach. Jakiekolwiek wycieki takich baz mogą mieć tragiczne konsekwencje: „dziś w sieci darknetu, jutro ktoś stoi pod twoim domem” – przestrzega Stachtchenko.

Równolegle do wydarzeń w Paryżu, amerykańska giełda Coinbase ujawniła, że padła ofiarą cyberataku, w którym przestępcy przekupili zewnętrznych pracowników firmy i zdobyli dane części klientów. Hakerzy zażądali 20 milionów dolarów okupu, grożąc ujawnieniem informacji. Coinbase odmówiło zapłaty, zgłosiło sprawę regulatorom i ogłosiło, że koszt strat i rekompensat może sięgnąć 400 milionów dolarów.

Te dwa incydenty, choć pozornie od siebie niezależne, pokazują wspólny problem: gromadzenie i przechowywanie danych osobowych w środowisku, które z założenia miało być zdecentralizowane i anonimowe.

Jednak regulacje wchodzą w życie. Nowe przepisy AML (Anti-Money Laundering), które zaczną obowiązywać w UE od 2027 roku, jeszcze bardziej ograniczą anonimowe korzystanie z kryptowalut i urządzeń do maskowania transakcji.

Eksperci, jak William O’Rorke z kancelarii ORWL, twierdzą, że sektor krypto był przez lata „niedojrzały”, pełen nowobogackich inwestorów z ograniczoną świadomością bezpieczeństwa. Brak standardów ochrony danych, outsourcing usług do niesprawdzonych dostawców, a także niechęć do audytów bezpieczeństwa – to wszystko tworzyło środowisko, w którym atak to tylko kwestia czasu.

Jameson Lopp, programista i aktywista na rzecz prywatności, od 2014 roku odnotował 219 fizycznych ataków na użytkowników kryptowalut – od prób porwań po napady z bronią.

Sektor kryptowalut stoi przed trudnym dylematem: jak pogodzić bezpieczeństwo danych osobowych z rosnącymi wymaganiami regulacyjnymi? Jak chronić użytkowników przed przestępcami – zarówno cyfrowymi, jak i fizycznymi — nie rezygnując z podstawowej idei: wolności finansowej?

Jednym z rozwiązań może być przechowywanie danych w formie rozproszonej, z wykorzystaniem zaawansowanej kryptografii i ograniczonego dostępu. Lepsza edukacja użytkowników oraz obowiązkowe standardy bezpieczeństwa dla dostawców usług krypto.

Nowe regulacje Unii Europejskiej, nakładające obowiązek gromadzenia i przekazywania danych osobowych użytkowników kryptowalut, mogą zwiększać ryzyko ich fizycznego zagrożenia, co unaoczniły niedawne incydenty związane z Paymium i Coinbase. Zdarzenia te pokazują niebezpieczeństwa wynikające z centralizacji wrażliwych informacji, która kłóci się z pierwotną ideą zdecentralizowanej i anonimowej sieci. Świat kryptowalut stoi dziś przed koniecznością znalezienia nowej równowagi między przejrzystością, ochroną prywatności. Rozwiązaniem może być wykorzystanie technologii rozproszonych, zasada ograniczonego zaufania oraz wprowadzenie wyższych standardów bezpieczeństwa po stronie dostawców usług.

Szymon Ślubowski