20 USD một khuôn mặt, kinh doanh "ngầm" của KYC tiền mã hóa

Tác giả gốc: angelilu, Foresight News

"Dịch vụ hiện không được hỗ trợ tại khu vực của bạn."

Không biết đây là lần thứ bao nhiêu tôi nhìn thấy dòng chữ này rồi. Lần này tôi đã chuẩn bị mọi thứ sẵn sàng – lôi hộ chiếu ra, chụp mặt trước, chụp mặt sau trước camera, chuyển sang chế độ selfie, chụp ảnh cầm giấy tờ, rồi làm theo hướng dẫn trên trang web gật đầu, lắc đầu, chớp mắt, toàn bộ quá trình mất khoảng mười phút, tôi làm cẩn thận hơn lần trước. Sau đó trang web chuyển tiếp, hiển thị "Gửi thành công, đang chờ xét duyệt".

Tôi đợi ba ngày. Ngày thứ tư làm mới, trạng thái vẫn là "Đang xét duyệt". Chức năng rút tiền bị đóng băng, lý do là "Chờ hoàn tất xác minh danh tính". Cửa sổ đăng ký tham gia dự án mà tôi muốn tham gia sẽ đóng sau bốn mươi tám giờ nữa.

Hoặc, thậm chí không có gì để chờ đợi – trang web đã nhận diện được địa chỉ IP của tôi trước khi tôi kịp làm gì, trực tiếp bật lên dòng chữ đó: "Dịch vụ hiện không được hỗ trợ tại khu vực của bạn." Không có bất kỳ lý do nào, không có kênh khiếu nại, cũng không cho tôi biết tôi có thể làm gì khác. Không phải tôi không muốn hợp tác, mà là tôi thậm chí không có tư cách để hợp tác.

Đây có lẽ là tình huống mà cả bạn và tôi thường xuyên gặp phải, là bức tường phổ biến nhất trong ngành công nghiệp tiền mã hóa, KYC, Know Your Customer, biết khách hàng của bạn. KYC là phần có trọng lượng nhất của từ "tuân thủ": bạn phải chứng minh bạn là bạn, thì mới được vào.

Trong năm năm qua, một số sàn giao dịch chính thống dần dần thuê ngoài KYC cho các hệ thống xác minh danh tính thương mại như Sumsub, Jumio, chi phí tuân thủ được "sản phẩm hóa", và trở thành khoản chi liên tục. Đối với các nền tảng hàng đầu, phần chi phí này đã đạt đến mức hàng triệu đến hàng chục triệu đô la.

Nhiều người làm việc trong ngành thanh toán tiền mã hóa cho Foresight News biết rằng, hiện tại ngành vẫn phụ thuộc cao vào các nhà cung cấp dịch vụ bên thứ ba như Sumsub, Jumio ở khâu KYC, các giải pháp này có lợi thế rõ rệt về khả năng phủ sóng dữ liệu toàn cầu và năng lực tuân thủ.

Tuy nhiên, với quy mô giao dịch mở rộng và nhu cầu kiểm soát rủi ro tăng lên, một số tổ chức hàng đầu đã bắt đầu khám phá mô hình kết hợp "tự xây dựng kiểm soát rủi ro + KYC bên thứ ba", để đạt được sự cân bằng tối ưu hơn giữa chi phí, tỷ lệ thông qua và kiểm soát rủi ro.

Tuy nhiên, cho dù bức tường này được xây cao đến đâu, thị trường ngầm đã đưa ra mức giá của riêng mình. Và ở phía bên kia của bức tường này, tồn tại một chuỗi công nghiệp ngầm hoàn chỉnh, chuyên xuyên thủng hệ thống này với chi phí thấp. Giá để xuyên thủng nó là 20 USDT – bao gồm toàn bộ quy trình xác minh mà sàn giao dịch yêu cầu: tải lên hộ chiếu hoặc bằng lái xe, nhận diện khuôn mặt, chứng minh nơi cư trú, giao hàng một lần.

500 nghìn người, một thị trường không ai thống kê

Theo nguyên tắc trên có chính sách, dưới có đối sách, tôi bắt đầu tìm kiếm "Web3 KYC" trên mạng, những thứ hiện ra không phải là hướng dẫn, mà nhiều hơn là cảnh báo.

Một báo cáo năm 2023 của CertiK quét hơn 20 thị trường KYC ngầm, phát hiện tổng số thành viên tham gia lúc đó vượt quá 500 nghìn người, chuyên mua bán các tài khoản đã xác minh của các nền tảng khác nhau, tập trung ở Đông Nam Á, quy mô nhóm từ 4.000 đến 300 nghìn người.

Công ty an ninh mạng ZeroFox từng thống kê, trong một năm, phát hiện hơn 1 triệu bài đăng bán tài khoản KYC trên các diễn đàn công khai và Telegram, liên quan đến các sàn giao dịch tuân thủ chính thống như Coinbase Pro, Kraken, giá bán từ 150 đến 500 đô la.

Một cuộc điều tra mà CoinDesk từng thực hiện còn trực tiếp hơn, trực tiếp bỏ tiền mua vài tài khoản về để xác minh. Mỗi tài khoản đi kèm là tên, địa chỉ nhà, ngày sinh của người dùng thực – tài khoản của cư dân Mỹ thậm chí còn bao gồm số an sinh xã hội. Sau đó họ tìm kiếm trong cơ sở dữ liệu công khai, tìm thấy bốn nhân vật thực hoàn toàn khớp với thông tin tài khoản, và gửi thông báo bằng văn bản cho họ. Phản ứng của những người này thực sự là hoàn toàn không biết gì, không nhận thức được tên của họ đang được treo dưới tài khoản sàn giao dịch của một người lạ nào đó, và mật khẩu của tài khoản đó, họ chưa bao giờ đặt.

Mặt kỹ thuật cũng đang xấu đi đồng thời. Theo báo cáo gian lận danh tính năm 2025 do Sumsub công bố, các cuộc tấn công deep fake trong ba năm qua đã tăng hơn 2000%, hiện chiếm khoảng 1/15 tổng số lần thử gian lận danh tính.

Đường tấn công hình thành cấu trúc ba tầng:

• Tầng thấp nhất là sử dụng màn hình độ phân giải cao kết hợp kính phân cực để loại bỏ phản quang, làm cho hình ảnh "phát video" về đặc điểm quang học gần giống với quay thực tế;
• Tầng thứ hai là tấn công tiêm HOOK, trực tiếp chiếm đoạt giao diện gọi hệ thống của camera điện thoại, "đút" video 4K đã ghi sẵn vào cửa sổ thu thập của ứng dụng – ứng dụng "nhìn thấy" là đầu ra thời gian thực của camera, thực tế chảy vào là một đoạn video đã chuẩn bị sẵn;
• Tầng thứ ba là công cụ đổi mặt AI một cú nhấp chuột, tải ảnh lên là có thể tạo ra, ngưỡng tấn công bị kéo xuống bằng không. Chi phí trung bình để phá vỡ một hệ thống xác thực sinh trắc học người thật: 10 đô la, tỷ lệ lợi nhuận trên chi phí lên đến 1400%.

Báo cáo "Nghiên cứu Rủi ro Tấn công KYC Toàn cầu Năm 2025" do Threat Hunter công bố cho thấy từ phân bố ngành, sàn giao dịch tiền ảo và nền tảng thanh toán ví là mục tiêu cốt lõi của tất cả các cuộc tấn công KYC, tổng tỷ lệ vượt quá 78%. Vật liệu tấn công bán chạy nhất là các tài liệu loại "chứng minh địa chỉ", lý do đơn giản: nó cần được cập nhật thường xuyên, và AI có thể tạo hàng loạt.

Những con số này vẽ nên một bức tranh rất rõ ràng: gian lận, đánh cắp danh tính, chuỗi công nghiệp tội phạm có tổ chức. Chồng những con số này lên nhau: 500 nghìn người tham gia, 1 triệu bài đăng bán công khai lưu thông, tài khoản của các sàn giao dịch tuân thủ hàng đầu như Coinbase, Binance US, Kraken đều nằm trong đó. Đây không phải là trường hợp đặc biệt của một nền tảng nào, mà là lỗ hổng hệ thống mà toàn bộ hệ thống tuân thủ tiền mã hóa cùng đối mặt – chỉ cần KYC tồn tại, thị trường vượt qua nó sẽ tồn tại, và quy mô cũng tương đương.

Mỗi báo cáo đều có cách diễn đạt rất chắc chắn, sử dụng các từ như "tác nhân đe dọa", "thị trường ngầm", "hoạt động bất hợp pháp". Nhưng chúng có một điểm mù chung về góc nhìn. Tất cả đều nhìn từ bên ngoài, là góc nhìn của cơ quan quản lý và công ty an ninh, giống như đang mô tả một đám cháy xảy ra sau tấm kính.

Nhưng không có báo cáo nào giải thích, những người hàng ngày treo trạng thái "trực tuyến" trên Telegram, họ thực sự là ai, họ nhìn nhận việc mình đang làm như thế nào, và công việc kinh doanh này thực sự đang phục vụ ai.

Tôi quyết định đi tìm người trong giới để nói chuyện.

Một tiểu thương KYC ngầm: 600 giao dịch trong hai năm

Tìm kiếm KYC trên Telegram, vài giây là có thể bật ra một loạt tài khoản.

Đầu tháng 3, tôi ngẫu nhiên chọn một nhà môi giới KYC trông có vẻ đáng tin cậy, không may, tôi gặp phải một anh chàng lạnh lùng, câu trả lời của anh ta không quá 5 chữ, hầu hết các câu hỏi tôi đặt ra đều được trả lời trực tiếp bằng "có", thông tin nhận được nhiều nhất là báo giá, ví dụ "KYC của CoinList 40 U", "KYC của Coinbase 20 U".

Sau một thời gian dài không có hồi âm, đối phương gửi một tin nhắn dài hơn một chút: "Vậy chúng ta có thể làm việc cùng nhau không?" Câu nói giống như được dịch cứng từ ngôn ngữ khác, đọc giống như đang bàn hợp tác, nhưng thực ra có lẽ chỉ là đang thúc đơn. Cuộc đối thoại rất khó tiến hành.

Vì vậy tôi chuyển sang kiểm tra địa chỉ nhận tiền trên chuỗi TRON mà anh ta đưa cho tôi trên chain, địa chỉ này bắt đầu hoạt động từ tháng 1 năm 2024, đến nay tích lũy dòng vào vượt quá 59.243 USDT, tổng cộng 600 giao dịch thu nhập, trải dài 26 tháng. Nhưng tồn kho ròng là không.

Mỗi khoản thu nhập, đều bị xóa sạch nhanh chóng trong một khoảng thời gian, chuyển đến cùng một địa chỉ thượng nguồn. Đi theo chuỗi này truy xuống, cuối cùng anh ta chuyển vào ví nóng của OKX trên chuỗi TRON. Nhà môi giới giúp người khác vượt qua KYC này, đã gửi từng đồng kiếm được vào sàn giao dịch.

Một người bán ẩn danh không lớn, doanh thu hai năm gần 60 nghìn đô la, 600 giao dịch, không nghỉ phép, không mùa thấp điểm, chỉ có sự lên xuống theo nhịp độ đợt mở bán mới. Đây chỉ là một địa chỉ, một người bán, một chuỗi.

Chuỗi này không nối lại được ở tôi, manh mối đến đây cũng đứt. Người ẩn danh sẽ không mở miệng, tôi cần tìm một người sẵn sàng nói chuyện hơn.

Một "doanh nhân" KYC: Năm năm, hàng chục nền tảng

Cuối cùng tìm được một "doanh nhân" chuyên làm dịch vụ KYC trên X, qua giới thiệu của bạn bè, thêm được liên hệ, và anh ta sẵn sàng nhận phỏng vấn.

Anh ta tên là Mao Li, điều hành "nền tảng dịch vụ blockchain"