Tác giả gốc: angelilu, Foresight News
"Dịch vụ không được hỗ trợ tại khu vực của bạn".
Không biết đây là lần thứ bao nhiêu tôi thấy dòng chữ này rồi. Lần này tôi đã chuẩn bị mọi thứ sẵn sàng – lấy hộ chiếu, chụp mặt trước, chụp mặt sau, chuyển sang chế độ selfie, chụp ảnh cầm giấy tờ, rồi làm theo hướng dẫn trên trang web gật đầu, lắc đầu, chớp mắt, toàn bộ quá trình mất khoảng mười phút, tôi làm cẩn thận hơn lần trước. Sau đó trang web chuyển tiếp, hiển thị "Gửi thành công, đang chờ xét duyệt".
Tôi đợi ba ngày. Ngày thứ tư làm mới, trạng thái vẫn là "Đang xét duyệt". Chức năng rút tiền bị đóng băng, lý do là "Chờ hoàn tất xác minh danh tính". Cửa sổ đăng ký tham gia dự án mà tôi muốn tham gia sẽ đóng trong bốn mươi tám giờ nữa.
Hoặc, thậm chí không có sự chờ đợi – trang web đã nhận diện địa chỉ IP của tôi ngay từ trước khi tôi hành động, và trực tiếp bật lên dòng chữ đó: "Dịch vụ không được hỗ trợ tại khu vực của bạn." Không một lý do nào, không có kênh khiếu nại, cũng không nói cho tôi biết tôi có thể làm gì khác. Không phải tôi không muốn hợp tác, mà là tôi thậm chí không có tư cách để hợp tác.
Đây có lẽ là tình huống mà cả bạn và tôi thường xuyên gặp phải, là bức tường phổ biến nhất trong ngành công nghiệp mã hóa, KYC, Know Your Customer, hiểu khách hàng của bạn. KYC là phần có trọng lượng nhất của từ "tuân thủ": bạn phải chứng minh bạn là bạn, thì mới được vào.
Trong năm năm qua, một số sàn giao dịch chính thống dần dần thuê ngoài KYC cho các hệ thống xác minh danh tính thương mại như Sumsub, Jumio, chi phí tuân thủ được "sản phẩm hóa" và trở thành khoản chi liên tục. Đối với các nền tảng hàng đầu, khoản chi này đã đạt đến mức hàng triệu đến hàng chục triệu đô la.
Nhiều người làm trong ngành thanh toán mã hóa cho Foresight News biết, hiện tại ngành vẫn phụ thuộc cao vào các nhà cung cấp dịch vụ bên thứ ba như Sumsub, Jumio trong khâu KYC, các giải pháp này có lợi thế rõ rệt về khả năng phủ sóng dữ liệu toàn cầu và khả năng tuân thủ.
Tuy nhiên, với quy mô giao dịch mở rộng và nhu cầu quản lý rủi ro ngày càng cao, một số tổ chức hàng đầu đã bắt đầu khám phá mô hình kết hợp "tự xây dựng quản lý rủi ro + KYC bên thứ ba" để đạt được sự cân bằng tối ưu hơn giữa chi phí, tỷ lệ thông qua và kiểm soát rủi ro.
Dù vậy, cho dù bức tường này được xây cao đến đâu, thị trường ngầm đã tự định giá. Và ở phía bên kia bức tường, tồn tại một chuỗi công nghiệp ngầm hoàn chỉnh, chuyên đánh thủng hệ thống này với chi phí thấp. Giá để xuyên thủng nó là 20 USDT – bao phủ toàn bộ quy trình xác minh mà sàn giao dịch yêu cầu: tải lên hộ chiếu hoặc bằng lái, nhận diện khuôn mặt, chứng minh địa chỉ cư trú, giao hàng một lần.
50 vạn người, một thị trường không ai thống kê
Theo nguyên tắc trên có chính sách, dưới có đối sách, tôi bắt đầu tìm kiếm "Web3 KYC" trên mạng, kết quả hiện ra không phải là hướng dẫn, mà nhiều hơn là cảnh báo.
Một báo cáo của CertiK năm 2023 đã quét hơn 20 thị trường KYC ngầm, phát hiện tổng số thành viên tham gia lúc đó vượt quá 50 vạn người, chuyên mua bán các tài khoản đã xác minh trên các nền tảng khác nhau, tập trung ở Đông Nam Á, quy mô nhóm từ 4.000 đến 30 vạn người.
Công ty an ninh mạng ZeroFox từng thống kê, trong vòng một năm, trên các diễn đàn công khai và Telegram phát hiện hơn 1 triệu bài đăng bán tài khoản KYC, liên quan đến các sàn giao dịch tuân thủ chính thống như Coinbase Pro, Kraken, giá bán từ 150 đến 500 đô la.
Một cuộc điều tra của CoinDesk còn trực tiếp hơn, trực tiếp bỏ tiền ra mua vài tài khoản về xác minh. Mỗi tài khoản đi kèm là tên, địa chỉ nhà, ngày sinh của người dùng thật – tài khoản của cư dân Mỹ thậm chí còn chứa số an sinh xã hội. Sau đó họ tìm kiếm trong cơ sở dữ liệu công khai, tìm thấy bốn nhân vật thật khớp hoàn toàn với thông tin tài khoản, và gửi thông báo bằng văn bản cho họ. Phản ứng của những người này là hoàn toàn không biết gì, không nhận ra tên của họ đang được treo dưới tài khoản sàn giao dịch của một người lạ nào đó, mà mật khẩu của tài khoản đó, họ chưa từng thiết lập.
Mặt kỹ thuật cũng đang xấu đi đồng thời. Theo báo cáo gian lận danh tính năm 2025 của Sumsub, các cuộc tấn công làm giả sâu (deep fake) trong ba năm qua đã tăng hơn 2000%, hiện chiếm khoảng 1/15 tổng số lần thử gian lận danh tính.
Đường tấn công hình thành cấu trúc ba tầng:
- Tầng thấp nhất là dùng màn hình độ phân giải cao kết hợp kính phân cực để loại bỏ phản quang, làm cho hình ảnh "phát video" về đặc điểm quang học gần giống với quay thật;
- Tầng thứ hai là tấn công tiêm HOOK, trực tiếp chiếm đoạt giao diện gọi hệ thống của camera điện thoại, "đút" video 4K ghi sẵn vào cửa sổ thu thập của ứng dụng – ứng dụng "thấy" là đầu ra thời gian thực của camera, nhưng thực tế chảy vào là một đoạn video chuẩn bị sẵn;
- Tầng thứ ba là công cụ đổi mặt bằng AI một click, tải ảnh lên là có thể tạo ra, ngưỡng tấn công bị kéo về zero. Chi phí trung bình để突破一套真人活体认证系统的平均成本:10 美元,投入产出比高达 1400%.
Báo cáo Nghiên cứu Rủi ro Tấn công KYC Toàn cầu 2025 của Threat Hunter cho thấy từ phân bố ngành, các sàn giao dịch tiền ảo và nền tảng ví thanh toán là mục tiêu cốt lõi của tất cả các cuộc tấn công KYC, tổng cộng chiếm hơn 78%. Vật liệu tấn công bán chạy nhất là các tệp loại "chứng minh địa chỉ", lý do đơn giản: nó cần được cập nhật thường xuyên, và AI có thể tạo hàng loạt.
Những con số này vẽ ra một bức tranh rất rõ ràng: gian lận, đánh cắp danh tính, chuỗi công nghiệp tội phạm có tổ chức. Chồng những con số này lên nhau: 50 vạn người tham gia, 1 triệu bài đăng bán công khai lưu thông, tài khoản của các sàn giao dịch tuân thủ hàng đầu như Coinbase, Binance US, Kraken đều nằm trong đó. Đây không phải là trường hợp đặc biệt của một nền tảng nào, mà là lỗ hổng hệ thống mà toàn bộ hệ thống tuân thủ mã hóa cùng đối mặt – chỉ cần KYC tồn tại, thị trường vượt qua nó sẽ tồn tại, và quy mô cũng tương đương.
Mỗi báo cáo đều dùng từ ngữ rất chắc chắn, sử dụng các từ như "tác nhân đe dọa", "thị trường ngầm", "hoạt động bất hợp pháp". Nhưng chúng có một điểm mù chung về góc nhìn. Tất cả đều nhìn từ bên ngoài, là góc nhìn của cơ quan quản lý và công ty an ninh, giống như mô tả một đám cháy xảy ra sau tấm kính.
Nhưng không có báo cáo nào giải thích, những người hàng ngày treo trạng thái "trực tuyến" trên Telegram, rốt cuộc họ là ai, họ nhìn nhận việc mình đang làm như thế nào, và món kinh doanh này rốt cuộc đang phục vụ ai.
Tôi quyết định đi tìm người trong giới để trò chuyện.
Một tiểu thương KYC ngầm: 600 giao dịch trong hai năm
Tìm kiếm KYC trên Telegram, vài giây là có thể bật ra một loạt tài khoản.
Đầu tháng 3, tôi chọn ngẫu nhiên một nhà môi giới KYC trông có vẻ đáng tin, không may, tôi gặp phải một gã lạnh lùng, phản hồi của anh ta không quá 5 chữ, hầu hết các câu hỏi tôi đặt ra đều trả lời trực tiếp bằng "ừ", thông tin nhận được nhiều nhất là báo giá, ví dụ "KYC CoinList 40 U", "KYC Coinbase 20 U".
Sau một hồi lâu không có hồi âm, đối phương gửi một tin nhắn dài hơn một chút: "Vậy chúng ta có thể làm việc cùng nhau không?" Câu nói như dịch cứng từ ngôn ngữ khác, đọc giống như đang bàn hợp tác, nhưng thực ra có lẽ chỉ là đang thúc đơn. Cuộc đối thoại rất khó tiếp tục.
Vì vậy tôi chuyển sang tra địa chỉ nhận tiền trên chuỗi TRON mà anh ta đưa trên chain, địa chỉ này bắt đầu hoạt động từ tháng 1 năm 2024, đến nay累计流入超过 59,243 USDT,共 600笔收入交易,横跨 26 个月. Nhưng净留存是零.
Mỗi一笔收入, đều在一段时间内被迅速清空,转向同一个上游地址. Đi theo这条链追下去,他最后转入了 OKX 在 TRON 链上的热钱包. Vị trung gian giúp người vượt KYC này, đã gửi từng đồng kiếm được, vào sàn giao dịch.
Một người bán ẩn danh khối lượng không lớn, doanh thu hai năm gần 6 vạn đô, 600 giao dịch, không nghỉ phép, không mùa vắng, chỉ có sự lên xuống theo nhịp độ chào bán. Đây mới chỉ là một địa chỉ, một người bán, một chuỗi.
Chuỗi này với tôi không nối lại được, manh mối đến đây là đứt. Người ẩn danh sẽ không mở miệng, tôi cần tìm một người sẵn sàng nói chuyện hơn.
Một 'doanh nhân' KYC: Năm năm, hàng chục nền tảng
Cuối cùng cũng tìm được một "doanh nhân" chuyên làm dịch vụ KYC trên X, qua giới thiệu của bạn bè, thêm được liên hệ, và anh ta đồng ý接受采访.
Anh ta tên是猫鲤(Māo Lǐ), kinh doanh "nền tảng dịch vụ blockchain" đa dạng phong phú.
Nói về cách thức dịch vụ Web3 KYC,猫鲤 nói "Tôi là căn cứ theo nhu cầu của fan của mình, đi tìm các kênh khác nhau,并且投入时间研究,慢慢将这个业务做起来的".
猫鲤至今已经做了五年. Nay anh ta và một trợ lý hai người vận hành,大部分商品自动发货. Danh mục sản phẩm của anh ta bao phủ hàng chục nền tảng,并且以人民币标价,价格越高,代表这个平台的近期参与人数越多热度越高,或者身份核验的门槛越难绕过.
"Sau khi thiết lập xong về cơ bản là tự động hóa, chưa kể bây giờ còn có AI hỗ trợ nữa," anh ta nói, "Về cơ bản sẽ không cần quá nhiều người để vận hành." Ngoại lệ là khi thị trường tốt – các dự án chào bán dồn dập, mỗi ngày có thể làm việc đến 12 tiếng. Khi thị trường ảm đạm, anh ta dành thời gian cho vận hành X.
"Cửa hàng tạp hóa của nhân dân, phục vụ tất cả fan ngành blockchain." Anh ta mô tả việc kinh doanh của mình như vậy.
Khách hàng của anh ta trải khắp khu vực Trung văn: Trung Quốc đại lục, Hồng Kông, Đài Loan, Malaysia, Hàn Quốc, Mỹ. Nhu cầu của người dùng đại lục là trực tiếp nhất – rất nhiều nền tảng chào bán chặn IP Trung Quốc, hộ chiếu hoặc chứng minh thư tải lên, hệ thống tự động từ chối, không có kênh khiếu nại, cũng không giải thích.
"Họ mua tài khoản là để tham gia hoạt động,"猫鲤 nói, mỗi lần giao hàng, anh ta đều đính kèm một dòng nhắc nhở rủi ro cố định: "Do đây là tài khoản đăng ký bằng thông tin người khác, xin đừng đặt số tiền lớn trong nền tảng, tham gia số tiền nhỏ, vào随出." Rủi ro anh ta nhắc nhở, là tài khoản随时可能被原主找回; việc sử dụng thông tin danh tính người khác để đăng ký tài khoản tài chính, tại hầu hết các khu vực pháp lý cũng cấu thành gian lận danh tính.
Chuỗi công nghiệp nổi lên mặt nước
Một đơn được hoàn thành như thế nào?猫鲤 mô tả quy trình hoàn chỉnh: tư vấn trước bán, thanh toán, anh ta liên hệ "người nước ngoài đủ điều kiện", người nước ngoài thao tác theo quy trình đã được培训好的, hoàn thành KYC, tài khoản chuyển giao cho người mua, người mua kiểm tra后修改安全设置, kết đơn.
Khách hàng khiến anh ta ấn tượng sâu sắc nhất là một người Hàn Quốc, người phụ trách một đội 孵化 chuyên nghiệp, mỗi lần đặt hàng số lượng都很大. "Anh ấy总会和项目方一起合作,购买很大量的账号,"猫鲤 nói, "Anh ấy đã nói chuyện với tôi,通过我挣了很多的钱.不过我倒是没挣太多,他是挣的资源的钱,KYC 这块我是挣的辛苦钱."
Có nghĩa là, chuỗi công nghiệp này cũng có nhiều cấp độ, là đội孵化 Hàn Quốc ở đầu nhu cầu, dựa vào tài khoản tham gia số lượng lớn đăng ký dự án, có lợi nhuận. Vì vậy mới có nhà trung gian như猫鲤, tầng dưới cùng là những "người nước ngoài" cung cấp thông tin xác minh, hoàn thành KYC theo yêu cầu, có lẽ chỉ lấy đi vài đô la.
Nguồn gốc của "người nước ngoài" trải khắp toàn cầu – những người ở Đông Nam Á, Đông Phi, Mỹ Latinh nhận đơn dưới danh nghĩa "công việc bán thời gian trực tuyến", làm theo yêu cầu完成点头、摇头、眨眼的动作, lấy đi phần thưởng trị giá vài đô la đến vài chục đô la.
Cụ thể chia cho "người nước ngoài" bao nhiêu tiền,猫鲤 không nói thẳng, nhưng một bài đăng tuyển dụng流传 trên diễn đàn tiếng Nga viết thế này: "Chỉ cần khuôn mặt của bạn. Hoàn thành xác minh video qua WhatsApp. Mỗi lần 1.500 đến 2.000 rúp (khoảng 17 đến 23 đô la), một ngày có thể làm nhiều lần."
Trước đây khi Worldcoin triển khai thiết bị quét mống mắt hình cầu ở Campuchia và Kenya, đã từng để hiện tượng này nổi lên trong thời gian ngắn – thị trường chợ đen World ID dưới 30 đô la随即出现, năm 2024 chính quyền Thái Lan ra lệnh xóa 1,2 triệu dữ liệu mống mắt đã thu thập, Indonesia dừng toàn bộ hoạt động của Worldcoin. Nhưng Worldcoin chỉ là phần nổi của tảng băng chìm, và đó còn là mặt có thương hiệu, có phóng viên có thể chất vấn.
Định giá còn có một logic khác. "Khu vực càng phát triển, chi phí KYC càng đắt,"猫鲤 nói, "Khoản phí bạn đưa thậm chí không mua nổi bữa sáng, người ta根本不会配合你去操作." Đơn của Mỹ khó nhất, đôi khi cần khách hàng dẫn "người nước ngoài" đến làm chứng offline ở New York.
Mỗi giao dịch anh ta phục vụ đều kèm theo điều khoản sau bán: anh ta chỉ đảm bảo thành công "lần đăng nhập đầu tiên". "Bởi vì chúng tôi không thể kiểm soát quy tắc quản lý rủi ro của mỗi sàn giao dịch hoặc nền tảng, họ随时都有可能更改," người mua nhận được tài khoản, việc đầu tiên là thay đổi绑定邮箱、设置二次验证、踢出未知设备. Thời gian cửa sổ có thể chỉ vài giờ.
Anh ta cũng thừa nhận có trường hợp không làm được, "Tài khoản mà mỗi lần đăng nhập đều cần quét mặt, thì không thể làm được, người nước ngoài không thể一直飞到中国来给你扫脸登录." Anh ta bổ sung一句: "Theo logic này, là những nền tảng quản lý rủi ro rất rất nghiêm ngặt,那通常是不缺用户、不缺数据的平台,也不会有福利特别高的活动,所以很少有人会购买."
Web3 KYC, một cánh cửa có khung nhưng trống rỗng
猫鲤 có định vị rõ ràng về việc mình đang làm.
Khi被问及加密行业的 KYC,有没有在发挥它应该有的作用时, anh ta nói, "KYC là ngưỡng cửa mà mọi người đều biết rõ, nền tảng, người dùng, đều biết mình đang làm gì. Đối với người thực sự muốn tham gia ngành thì đây không phải là trở ngại, mà giống như một cách筛选方式罢了."
Trong mô tả của anh ta, đây là một giao dịch ba bên cùng thắng: người dùng có được cơ hội vào nền tảng, sàn giao dịch có được người dùng và dữ liệu mới, anh ta thu phí dịch vụ ở giữa. "Ba thắng" anh ta nói.
Logic này có một chi tiết, giấu trong chính lời nhắc sau bán của anh ta: "Do đây là tài khoản đăng ký bằng thông tin người khác, xin đừng đặt số tiền lớn trong nền tảng, tham gia số tiền nhỏ, vào随出." "Người nước ngoài" của anh ta là người tham gia có biết, có thù lao. Nhưng từ "người khác" này意味着账号背后坐着一个真实的人, một người随时可以主张权利的人.
Nhưng cuộc điều tra của CoinDesk cho thấy, trong thị trường lớn hơn,还有些账号随附的是本人毫不知情的真实居民的姓名、住址和社会安全号码. Những người này, không nằm trong "ba thắng".
猫鲤 là một người sẵn sàng接受采访 trong thị trường này. Đằng sau anh ta, dự kiến có 50 vạn người tham gia, khoảng 1 triệu bài đăng bán, và một hệ thống bóng tối vẫn đang vận hành.
Chú thích: Các bản ghi trò chuyện Telegram, dữ liệu trên chain liên quan trong bài đều do tác giả điều tra thu thập.
