Argomentazione contro il KYC applicato a Bitcoin

Quest'opera è stata pubblicata su Bitcoin Magazine dopo diverse modifiche editoriali. Questa è la versione originale del post scritto da Heady Wook, così come lui la intendeva. Il contenuto è concesso in licenza CC BY 4.0. Per visualizzare una copia di questa licenza, visitare http://creativecommons.org/licenses/by/4.0/

Introduzione

Nel white paper di bitcoin, Satoshi Nakamoto ha citato la necessità di un sistema di pagamento in contanti su Internet senza la necessità di una terza parte fidata (Nakamoto, 2008). Pochi mesi dopo Nakamoto ha presentato al mondo la rete Bitcoin. Nel blocco zero (cioè il blocco della genesi) della blockchain di Bitcoin è stato inserito il seguente messaggio: 'The Times 03/Jan/2009 Chancellor on brink of second bailout for banks' (Bitcoin Wiki, 2010). Da un lato la citazione fa riferimento a un articolo del Regno Unito che descriveva la considerazione del Cancelliere Alistair Darling di un secondo salvataggio per le banche che significava pompare altri miliardi di sterline britanniche nell'economia (Elliott e Duncan, 2009). Dall'altro, la citazione fa riferimento alla frustrazione e alla sfiducia di Nakamoto nei confronti del sistema finanziario tradizionale e, più in generale, di terze parti fidate. Ciò è reso evidente nell'abstract del white paper e nelle righe iniziali del primo paragrafo. In un'altra sezione del documento, poi, Nakamoto confronta il modello di privacy della finanza tradizionale con quello di Bitcoin. Nel modello Bitcoin le terze parti fidate non hanno più la responsabilità di salvaguardare la privacy di un individuo limitando l'accesso alle informazioni. A dire il vero non è richiesta alcuna informazione personale. Con Bitcoin gli individui possono mantenere la privacy semplicemente 'mantenendo anonime le chiavi pubbliche' (Nakamoto, 2008). In un primo post sul forum di Bitcoin Nakamoto ha scritto:

'Dobbiamo fidarci di loro per la nostra privacy, fidarci di loro per non lasciare che i ladri di identità prosciughino i nostri conti... riponendo fiducia nell'amministratore del sistema per mantenere le loro informazioni private. La privacy potrebbe sempre essere annullata dall'amministratore in base alla sua decisione di soppesare il principio della privacy rispetto ad altre preoccupazioni, o per ordine dei suoi superiori... È ora di fare la stessa cosa per il denaro... senza la necessità di fidarsi di un terzo intermediario, il denaro può essere sicuro e le transazioni [essere effettuate] senza problemi... Il risultato è un sistema distribuito senza un singolo punto di fallimento. Gli utenti possiedono le chiavi [private] del loro denaro e transano direttamente tra loro' (Nakamoto, 2009).

Nakamoto era preoccupato di affidare a terzi sia la privacy che il denaro. Nello specifico Nakamoto cita alcuni punti di fallimento del modello di privacy della finanza tradizionale: Cattivi attori o 'ladri di identità', mancanza di integrità dell'amministratore e richieste autoritarie da parte di 'superiori', come un governo. Una manifestazione di questi fallimenti è rappresentata dalla lunga storia dei governi che sviliscono la moneta (Ammous, 2018) e comprende l'evento citato nel blocco genesi. Alludendo a Bitcoin, Nakamoto ha suggerito che questi problemi sono risolti con 'un sistema distribuito senza un singolo punto di fallimento'.

Bitcoin è arrivato da molto tempo. La conversazione sulla moneta 'privata', 'sovrana' o 'elettronica' è stata discussa da altri almeno un decennio prima della nascita di Bitcoin. Ad esempio 'A Cypherpunk's Manifesto', che parla di sistemi di transazioni anonime su Internet (Hughes, 1993), The Sovereign Individual prevede una moneta privata e senza permessi che gira Internet (Davidson e Rees-Mogg, 1997) e Cryptonomicon descrive un oro digitale anonimo (Stephenson, 1999). Nakamoto ha progettato Bitcoin con queste proprietà: Bitcoin è pseudonimo, può essere usato privatamente ed è privo di permessi. Tuttavia, il KYC (1) si è rivelato pervasivo, persistente e problematico per gli utenti che desiderano beneficiare di tali proprietà.

(1) Per 'KYC' si intende la conferma dell'identità del titolare di un conto tramite la raccolta di documenti (ad esempio, patente di guida, numero di previdenza sociale, libretto di lavoro, selfie, ecc; Federal Reserve, 1997) da parte di servizi finanziari terzi (ad esempio, gli exchange di bitcoin) per conto dell'Internal Revenue Service (Internal Revenue Service, 2000) - [agenzia delle entrate per l'italia, n.d.t.]

Parallelamente all'andamento del prezzo di bitcoin tra il 2020 e il 2021, le società [come gli exchange, n.d.t.] di bitcoin hanno registrato una forte crescita. Coinbase, ad esempio, ha dichiarato di aver raggiunto oltre 35 milioni di utenti in più di 100 Paesi alla fine del 2020 (Aki, 2021). Inoltre, nel 2022 Coinbase ha pubblicato uno spot pubblicitario di 60 secondi per il Super Bowl con un codice QR fluttuante che ha raggiunto oltre 20 milioni di visite in un solo minuto (Valinsky, 2022). Surojit Chatterjee, Chief Product Officer di Coinbase, si è spinto a definirlo 'storico e senza precedenti' (Surojit, 2022). Tuttavia, Coinbase è solo una delle tante aziende di successo. Al momento della stesura di questo articolo Coinbase è al sesto posto nella classifica degli exchange più 'affidabili', con Binance (1°), OKX, FTX, KuCoin e Huobi Global (5°) rispettivamente in testa (CoinGecko, n.d.). Tutti insieme nsieme, questi exchange da soli, hanno effettuato il KYC di milioni e milioni di utenti. Questi sforzi massicci di KYC sono in diretto contrasto con il sistema di denaro pseudonimo, senza permessi, peer-2-peer e senza terze parti sviluppato da Nakamoto. Inoltre, il KYC honey pot di informazioni sugli utenti e dà origine a un sistema sociale autorizzato.

Il KYC crea un tesoro di informazioni sull'utente [trappole honey pot]

Ogni volta che un individuo si iscrive a un exchange (o a un servizio correlato), è probabile che gli venga chiesto di effettuare il KYC, ossia di fornire informazioni di identificazione personale (PII). Le PII consistono tipicamente in un selfie, una patente di guida, un numero di previdenza sociale, un indirizzo, un'e-mail e un numero di telefono e sono solitamente conservate da una terza parte, come Prime Trust (n.d.). Quando Nakamoto (2009) ha detto: 'Dobbiamo fidarci di loro per la nostra privacy [e] fidarci di loro per non lasciare che i ladri di identità prosciughino i nostri conti', il riferimento a 'loro' può essere pensato come servizi bitcoin di terze parti. Le terze parti comportano rischi intrinseci, come i cattivi attori (ad esempio, il lavoro degli insider; BitThumb, 2019), la mancanza di integrità degli amministratori (ad esempio, la truffa dell'uscita da BitConnect; Mangan, 2021) e la suscettibilità alle richieste del governo (ad esempio, l'IRS obbliga alla conformità; Coinbase, 2018). Quando Nakamoto parla di 'ladri di identità', si riferisce alle violazioni di dati in cui gli hacker ottengono l'accesso alle PII e ne traggono profitto, rubando direttamente i fondi, vendendo le PII a parti interessate o facendo estorsioni. Con tutte le informazioni personali fornite, il KYC crea un tesoro di informazioni sugli utenti che sono pronte per essere sfruttate.

Le violazioni dei dati sono diventate sempre più frequenti nel corso degli anni (Khosrowshahi, 2017; Lawler, 2021; McLean, 2019; Muncaster, 2018; Ng e Musil, 2017; Reuters, 2017; Silver-Greenberg e Goldstein, 2014; Tabuchi, 2015; Warren, 2011; Winder, 2020). Secondo Statista (2021), le violazioni dei dati sono aumentate di oltre il 500% dal 2005 al 2020. Inoltre, secondo il Cost of Data Breach Report, l'80% di tutte le violazioni di dati nel 2019 ha riguardato le PII dei clienti (ad esempio, nome, informazioni sulle carte di credito, dati sanitari e informazioni sui pagamenti; IBM Corporation, 2020). Le violazioni dei dati possono riguardare anche tipi di PII più sensibili, come il numero di previdenza sociale, il numero di patente di guida o i dati biometrici (Department of Homeland Security, 2021).

Tutte le terze parti fidate sono suscettibili di violazione dei dati, comprese le società di bitcoin. Si consideri l'hack di Ledger del luglio 2020. In una dichiarazione ufficiale del CEO di Ledger, 'sono stati rubati 1 milione di indirizzi e-mail e 9.532 informazioni personali più dettagliate (indirizzi postali, nome, cognome e numero di telefono)' (Gauthier, 2020). Nello stesso anno il database dei clienti di Ledger è stato scaricato su Raidforum, un forum di condivisione di database e di mercato (Ledger, 2022). In seguito, diversi utenti di Ledger hanno riferito di tentativi di phishing, estorsioni ed e-mail minatorie, tra cui minacce di rapimento e violenza, come l'omicidio.

L'utente di Reddit Cuongnq ha ricevuto un'e-mail di phishing che lo invitava a 'scaricare l'ultima versione di Ledger Live' e a seguire le istruzioni per impostare un 'nuovo PIN' per il suo portafoglio (Cuongnq, 2020). Un altro utente di Reddit, Silkblueberry (2021), ha ricevuto un'e-mail in cui si diceva che gli hacker avevano dei video di lui che si 'masturbava con il porno' e che avrebbero reso i video pubblici, a meno che non avesse inviato loro bitcoin come pagamento. Silkblueberry ha capito lo stratagemma. Tuttavia, gli hacker sono ricorsi a misure più estreme, minacciando di associare la sua e-mail a 'siti pedopornografici' e di incastrarlo come 'predatore di bambini' se non avesse inviato loro 500 dollari in bitcoin. Un altro utente ha ricevuto una telefonata da uno sconosciuto che chiedeva il pagamento. L'uomo ha minacciato che 'si sarebbe presentato a casa sua, lo avrebbe rapito e avrebbe pugnalato a morte tutti i parenti che vivevano al suo indirizzo' se non avesse inviato il pagamento entro la mezzanotte (Osemka8, 2020).

L'hackeraggio di Ledger è un esempio che illustra quanto possa essere dannoso un honey pot KYC sfruttato. Alcuni potrebbero comunque sostenere che i servizi KYC sono necessari perché offrono un facile accesso ai nuovi arrivati e che l'esposizione vale il rischio. A questo proposito si possono citare le numerose alternative non KYC, note per preservare la privacy e la sicurezza individuale. Inoltre, queste alternative non KYC sono diventate più facili nel tempo grazie all'aiuto di diverse guide e risorse. Queste alternative non KYC includono: (1) l'utilizzo di scambi decentralizzati peer-to-peer come Bisq Network o Hodl-Hodl per acquistare bitcoin (Wook, 2020a e Bitcoin QnA, 2021); (2) l'acquisto privato da un bancomat di bitcoin (Wook, 2020b); (3) l'acquisto o la vendita peer-to-peer o la vendita di beni e servizi in un meet-up di bitcoin (Bitcoin Only, n. d.); e (4) il mining di bitcoin a casa (Diverter_NoKYC, 2020 e Econoalchemist, 2021).

Altri potrebbero citare l'uso di bitcoin in attività criminali e suggerire che il KYC fornisce agli individui la tranquillità di non sostenere inavvertitamente attività illecite. Tuttavia l'uso di bitcoin in attività criminali è ridotto rispetto a quello del dollaro USA. Nel 2017, durante un'audizione della commissione giudiziaria, il vice assistente segretario dell'Ufficio per il finanziamento del terrorismo e i crimini finanziari, Jennifer Fowler, ha testimoniato che 'sebbene le valute virtuali siano utilizzate per transazioni illecite, il volume è ridotto rispetto al volume delle attività illecite attraverso i servizi finanziari tradizionali' (Fowler, 2017). Date le differenze di volume, è improbabile che si possa inavvertitamente sostenere un'attività criminale acquistando bitcoin non KYC. Questo diventa ancora più improbabile quando si acquista o si vende peer-to-peer a un meetup locale di bitcoin, si fa mining di bitcoin o si acquista da un ATM.

Bitcoin è stato progettato in parte come pseudonimo, eppure si sta verificando un livello allarmante di KYC che mina completamente questa proprietà. Milioni di utenti in tutto il mondo stanno legando la loro identità ai loro bitcoin e ognuno di loro sta contribuendo alla creazione di honey pot, tesori di informazioni sugli sé stessi. Ciò rimane vero anche di fronte alle prove schiaccianti che le violazioni dei dati sono diventate un evento quasi quotidiano. Piuttosto che sacrificare lo pseudonimo, assumersi ulteriori rischi o contribuire al problema, gli utenti dovrebbero invece essere parte della soluzione e riprendersi il proprio pseudoanonimato, ridurre i rischi e proteggere le PII utilizzando alternative non KYC.

Il KYC dà origine a un sistema sociale autorizzato

La rete Bitcoin è un sistema di denaro senza permessi, al di fuori del controllo di terzi. Eppure la maggior parte degli individui non utilizza bitcoin in questo modo. Al contrario: gli individui si sono affidati a servizi KYC di terze parti, come gli exchange, le piattaforme di trading e il mining gestito da terzi, tra gli altri. Il KYC non solo mina lo pseudoanonimato (stabilito nella sezione precedente), ma mina anche la privacy delle transazioni. Questo è vero anche dopo aver preso in custodia i propri bitcoin. A differenza dei contanti fisici, per i quali una banca non può tracciare l'uso che se ne fa dopo il prelievo, una terza parte, come un exchange, è in grado di tracciare l'uso che si fa dei propri fondi dopo che è stato ritirato (Samourai Wallet, 2022). Questo fino a quando non si adottano le opportune misure di privacy, come la partecipazione a un coinjoin [per gli amici di Milano Trustless ne abbiamo parlato QUI, QUI, QUI e QUI , n.d.t.] (2). Tuttavia, anche se l'identità di un individuo può essere offuscata dalle transazioni in bitcoin, la terza parte che effettua il KYC conserva tutte le informazioni di identificazione personale (PII) dell'utente, tra cui nome, indirizzo, selfie e importo totale dell'acquisto. Armato di PII e della capacità di 'spiare' il comportamento nelle transazioni, il KYC dà origine a un sistema sociale autorizzato. Sebbene si possano citare molti esempi di come il KYC dia origine a un sistema sociale autorizzato (ad esempio, limiti e restrizioni, Zhao, 2021 e Partz, 2021; misure di verifica intrusive, Bitonic, n.d.-a e Bitonic, n.d.-b; whitelisting degli indirizzi, Celsius, n.d., Kraken, n.d., e OMGfin, 2018; e interventi statali, Brennan, 2022 e Gaceta Oficial de la Rebública Bolivariana de Venezuela, 2020), questa sezione si concentra su coinjoin come esempio di comportamento vietato all'interno di un sistema sociale autorizzato. La scelta è ricaduta su Coinjoin per l'importanza del suo ruolo nella privacy quotidiana.

(2) Coinjoin 'è un metodo che elimina la fiducia, per combinare più pagamenti in bitcoin da parte di più spenditori in un'unica transazione per rendere più difficile per le parti esterne determinare quale spenditore ha pagato quale o quali ne siano i destinatari' (Bitcoin Wiki, 2015). In altre parole: il coinjoin è uno strumento per la privacy che offusca la cronologia delle transazioni, mettendo a repentaglio l'euristica dell'input comune. In questo modo, gli utenti possono disporre di una privacy transazionale lungimirante a livello di applicazione, senza modifiche al protocollo principale di Bitcoin.

Poiché Bitcoin è un libro mastro pubblico, è buona norma 'rendere ogni spesa un coinjoin' (SamouraiDev, 2019). Questo è vero per due motivi: il primo perché  il coinjoin limita le deduzioni che un terzo osservatore [spione] potrebbe trarre dalla cronologia delle transazioni e, il secondo, che il coinjoin protegge dal rischio (contro altri) di esporre a leak le proprie finanze. Il primo motivo è importante perché, come discusso in precedenza, una terza parte che effettua il KYC può tracciare ciò che si fa con i propri bitcoin, mentre coinjoining può aiutare gli utenti a ottenere una privacy preventiva. Il secondo motivo è importante perché, a differenza dei contanti o delle carte di debito/credito, dove un commerciante (cioè un beneficiario) non può sbirciare nelle finanze di un pagatore (cioè il totale del conto bancario), con i bitcoin il beneficiario può sbirciare nelle finanze del pagatore. È come consegnare l'estratto conto della propria banca a ogni transazione.

Se ci si sofferma un attimo a riflettere su alcune delle situazioni che potrebbero derivare da una simile situazione, ci si rende subito conto delle implicazioni che questa ha sulla privacy. Un esempio caricaturale viene proposto da Samourai Wallet (2022): 'Immaginate se il pastore della vostra chiesa fosse in grado di vedere il vostro abbonamento a OnlyFans quando mettete una banconota da un dollaro nel piatto delle offerte'. La banconota da un dollaro rappresenta una tipica transazione bitcoin. Un coinjoin avrebbe fornito all'utente di questo esempio la privacy necessaria per evitare questa situazione imbarazzante, offuscando la cronologia delle transazioni di pagamento. In un altro esempio più estremo 'immaginiamo di pagare a qualcuno una piccola somma ma utilizzando un UTXO di grandi dimensioni. La persona che riceve il pagamento sarebbe in grado di vedere che il pagatore possiede una quantità significativa di bitcoin. Questo potrebbe mettere l'ordinante a maggior rischio di un cosidddetto 'attacco con chiave inglese da cinque dollari'. Un coinjoin avrebbe suddiviso un UTXO di grandi dimensioni in UTXO più piccoli, riducendo la capacità del beneficiario di determinare le disponibilità del pagatore. Alla luce di questi esempi appare chiaro che Bitcoin manca di qualità essenziali che si trovano nel contante fisico e che un coinjoin può compensare. Nonostante i vantaggi che coinjoin offre agli utenti, i servizi KYC di terze parti operano sulla falsa premessa che coinjoin sia dannoso o rischioso e ne vietano l'uso. Con il divieto di coinjoin come pratica comune tra alcune degli exchange più popolari, un sistema sociale autorizzato ha effettivamente designato i coinjoin come 'cattivi'.

Prendiamo ad esempio BlockFi. La società ha una pagina sugli 'usi proibiti' in cui dichiara di mantenere 'una politica di rigorosa conformità normativa' e pertanto vieta i depositi e i prelievi da o verso: servizi di mixaggio, scambi peer-to-peer e altri scambi che non prevedono il KYC, siti di gioco d'azzardo e mercati dark net. Inoltre, BlockFi 'si riserva il diritto di restituire i fondi e di bloccare/chiudere i conti se necessario' (BlockFi, n.d.). BlockFi è solo uno dei tanti exchange noti per vietare o segnalare i coinjoin. In uno degli episodi più estremi, ad esempio, l'utente di Reddit Bujuu (2020) ha riferito che il suo conto exchange è stato chiuso a causa della 'quantità e frequenza' delle sue transazioni coinjoin. L'exchange, Bitvavo, ha affermato che Bujuu rappresentava un 'rischio inaccettabile' e ha chiuso il suo account come misura di mitigazione. In seguito Bujuu ha dichiarato: 'Mi dà fastidio che non mi sia permesso di fare ciò che voglio con i miei BTC, che sia tutto monitorato'. Il divieto di Coinjoin è forse uno degli esempi più chiari di come il KYC dia origine a un sistema sociale autorizzato.

Molti altri utenti hanno riportato esperienze più lievi. Un utente ha dichiarato: '@bottlepay [ha] rifiutato la mia transazione Bitcoin in entrata perché le coin erano nel portafoglio samourai e/o mischiate con @SamouraiWallet #Whirlpool / Se avete inviato monete mixate verrete colpiti' (Marty_P_B, 2021). Marty ha segnalato questo problema al momento del deposito dei fondi, il che dimostra un'analisi retrospettiva della storia delle sue UTXO. Un livello simile di intrusione è stato segnalato da altri. Un altro utente ha ricevuto un'e-mail da Paxos che diceva: 'Abbiamo notato che un prelievo di BTC dal suo conto è stato potenzialmente inviato a un noto servizio di miscelazione di bitcoin. Questo tipo di transazione non è consentito sulla piattaforma. La preghiamo di confermare se i fondi sono stati inviati a un servizio di mixaggio' (McHodled, 2020). Questa volta il problema è sorto al momento del ritiro dei fondi, il che dimostra un'analisi preventiva della storia dei fondi. Inoltre, Riccardo Masutti (2021) ha affermato che '@bitwala gli ha inviato un'e-mail 3 giorni fa su un paio di transazioni post-CoinJoin avvenute quasi 6 MESI FA' e Kristapsk (2021) ha affermato di aver ricevuto 'un'e-mail da @BitMEX su [una] vecchia transazione di deposito di #Bitcoin (l'estate scorsa) che 'potrebbe essere connessa con un'attività contraria al punto 1.1(a) dei Termini di Servizio HDR', si trattava di @joinmarket coinjoin'. Questi ultimi due esempi dimostrano la profondità dell'analisi della catena condotta da terze parti che effettuano il KYC.

Nel complesso, si può notare quanto possa essere pervasivo un sistema sociale autorizzato. Gli utenti vogliono raccogliere i benefici di un coinjoin, ma il coinjoin è considerato un comportamento proibito da molti dei principali exchange KYC di terze parti (o servizi correlati; 6102bitcoin, n.d.). Questa avversione generale per i coinjoin, insieme alla palese chain analysis, pone gli individui che fanno KYC in una posizione vulnerabile. In primo luogo agli individui che effettuano il KYC è vietato esercitare i diritti fondamentali della privacy. Inoltre, rischiano di subire misure punitive se lo fanno; in secondo luogo gli individui che fanno KYC sono spiati. Qualsiasi persona ragionevole concorderebbe sul fatto che questa non è una buona posizione in cui trovarsi, specialmente quando si partecipa a un sistema di contanti indipendente e alternativo senza terze parti. Nonostante gli evidenti vantaggi offerti dai coinjoin, l'opinione corrente è che siano troppo 'rischiosi'. Durante un panel su coinjoin alla Bitcoin Conference 2022, Craig Raw, fondatore di Sparrow Wallet, ha affermato che:

'Se usiamo gli strumenti [cioè coinjoin] che abbiamo oggi, cambia la mentalità delle persone e cambia il modo in cui la società la vede. Se coinjoin diventa una cosa ampiamente utilizzata oggi, allora cambierà il modo in cui la società la vede e penso che sia importante non aspettare troppo a lungo e usare effettivamente gli strumenti perché... cambia il modo in cui si formeranno le regole e i regolamenti del mondo'. (Bitcoin Magazine, 2022).

Secondo Raw, la normalizzazione dei coinjoin è una funzione del loro utilizzo. Di conseguenza gli individui devono assumersi la responsabilità di esercitare i propri diritti alla privacy. Questo non può essere realizzato all'interno di un sistema di autorizzazioni, né sarà consentito. La normalizzazione dei coinjoin, al contrario, deve essere realizzata al di fuori di un sistema autorizzato, ad esempio all'interno della rete Bitcoin, così come è stata progettata per essere utilizzata, senza autorizzazione.

Conclusione

Nel presente articolo è stato affermato che il KYC crea invitanti tesori di informazioni, di proprietà degli utenti, e dà origine a un sistema sociale autorizzato. In sintesi: quando una persona effettua il KYC, deve fornire molte informazioni personali sensibili che contribuiscono a creare il vaso di Pandora. Questa azione da sola è sufficiente a negare lo pseudoaanonimato, dato che un'identità è stata associata al possesso di bitcoin. Inoltre gli individui devono fidarsi del fatto che le terze parti terranno al sicuro le informazioni sensibili. Infine, quando una persona effettua il KYC, entra volontariamente in una relazione autorizzata con una terza parte. In altre parole, un utente deve attenersi alle regole stabilite da una terza parte o potenzialmente incorrere in misure punitive, come il sequestro dei beni, la chiusura del conto o il congelamento dei fondi. Dato il ruolo importante che svolge nella privacy quotidiana, coinjoin è stato citato come esempio di comportamento vietato all'interno di un sistema sociale autorizzato. Dall'esame delle prove emerge chiaramente che il KYC crea effettivamente honey pot di informazioni sugli utenti e dà origine a un sistema sociale autorizzato. Sono state inoltre evidenziate diverse implicazioni sulla privacy.

Riferimenti

6102bitcoin. (n.d.). Coinjoin flagging. Retrieved July 2, 2022, from https://6102bitcoin.com/coinjoin-flagging/

Aki, J. (2021, August 25). Coinbase users top 35 million as exchange continues on growth pattern. Inside Bitcoins. https://insidebitcoins.com/news/coinbase-users-top-35-million-as-exchange-continues-on-growth-pattern

Ammous, S. (2018). Monetary metals [E-book]. In The Bitcoin standard: The decentralized alternative to central banking (pp. 17–40). John Wiley & Sons, Inc. https://archive.org/details/the-bitcoin-standard-the-decentralized-alternative-to-central-banking_202205

Bitcoin Magazine. (2022, April 10). Coinjoins & coinswaps with Ben Carman, Craig Raw, Fontaine, and Nicholas Gregory [Video]. YouTube. https://www.youtube.com/watch?v=OwJL0J_nPDE&t=2272s

Bitcoin Only. (n.d.). Meetups. https://bitcoin-only.com/meetups

Bitcoin QnA. (2021). 10 steps to your first non-KYC bitcoin. Bitcoiner Guide. https://bitcoiner.guide/hodlhodl/

Bitcoin Wiki. (2010, December 16). Genesis block. Retrieved July 2, 2022, from https://en.bitcoin.it/wiki/Genesis_block

Bitcoin Wiki. (2015, March 2). Coinjoin. Retrieved July 3, 2022, from https://en.bitcoin.it/wiki/CoinJoin

Bitonic. (n.d.-a). Why do we ask you to sign a message? Retrieved July 2, 2022, from https://bitonic.nl/en/faq/43/why-do-we-ask-you-to-sign-a-message

Bitonic. (n.d.-b). Why do we ask you to verify your bitcoin address? Retrieved July 2, 2022, from https://bitonic.nl/en/faq/42/why-do-we-ask-you-to-verify-your-bitcoin-address

BitThumb. (2019, March 30). Apology for internal embezzlement accident. BitThumb Cafe. https://cafe.bithumb.com/view/board-contents/1640037

BlockFi. (n.d.). Prohibited uses. Retrieved July 2, 2022, from https://blockfi.com/prohibited-uses/

Brennan, M. (2022, February 9). Russia to publish bill that will legalize and regulate cryptocurrencies on february 18, 2022. The Crypto Basic. https://thecryptobasic.com/2022/02/09/russia-to-publish-bill-that-will-legalize-and-regulate-cryptocurrencies-on-february-18-2022/

Bujuu. (2020, August 13). Exchange account closed because of “risk profile” (btc sent to mixing services) [Online forum post]. Reddit. https://www.reddit.com/r/Bitcoin/comments/i8ye6x/exchange_account_closed_because_of_risk_profile/

Celsius. (n.d.). Whitelist withdrawal addresses. All about Celsius. Retrieved July 2, 2022, from https://allaboutcelsius.com/whitelist-withdrawal-addresses/

Coinbase. (2018, February 23). IRS notification. Coinbase Support. https://archive.ph/4IfUM

CoinGecko. (n.d.). Top crypto exchanges ranking. Retrieved July 2, 2022, from https://www.coingecko.com/en/exchanges

Cuongnq. (2020, October 25). [Phishing Alert] To all Ledger customer [Online forum post]. Reddit. https://www.reddit.com/r/ethfinance/comments/jhqhc0/phishing_alert_to_all_ledger_customer/

Davidson, J. D., & Rees-Mogg, W. (1997). The sovereign individual [E-book]. Simon & Schuster. https://archive.org/details/sovereignindivid00davi

Department of Homeland Security. (2021, December 8). What is personally identifiable information? Homeland Security. http://dhs.gov/privacy-training/what-personally-identifiable-information

Diverter_NoKYC. (2020). Mining for the streets. On a Path, Diverted. https://diverter.hostyourown.tools/mining-for-the-streets/

Econoalchemist. (2021, January 29). Home mining for non-KYC bitcoin. Burn the Bridge Blog. https://www.econoalchemist.com/post/home-mining-for-non-kyc-bitcoin

Elliott, F., & Duncan, G. (2009, January 3). Chancellor Alistair Darling on brink of second bailout for banks. The Times. https://archive.ph/ICMLC

Federal Reserve. (1997, September). Know Your Customer. https://www.federalreserve.gov/boarddocs/SupManual/bsa/bsa_p5.pdf

Fowler, J. (2017, November 28). Testimony of Jennifer Fowler. Judiciary Committee. https://www.judiciary.senate.gov/imo/media/doc/Fowler%20Testimony.pdf

Gaceta Oficial de la Rebública Bolivariana de Venezuela. (2020, September 21). Gaceta Oficial de la Rebública Bolivariana de Venezuela. Internet Archive. https://web.archive.org/web/20200926222909/https://www.morocotacoin.com/wp-content/uploads/2020/09/Gaceta-Oficial-41969.pdf

Gauthier, P. (2020, December 21). Message by Ledger’s CEO - update on the July data breach. Despite the leak, your crypto assets are safe. Ledger. https://www.ledger.com/message-ledgers-ceo-data-leak

Hughes, E. (1993, March 9). A cypherpunk’s manifesto. Nakamoto Institute. https://nakamotoinstitute.org/cypherpunk-manifesto/

IBM Corporation. (2020, July). Cost of a data breach report. IBM. https://www.capita.com/sites/g/files/nginej291/files/2020-08/Ponemon-Global-Cost-of-Data-Breach-Study-2020.pdf

Internal Revenue Service. (2000). Application procedures for qualified intermediary status. IRS. https://www.irs.gov/pub/irs-drop/rp-00-12.pdf

Khosrowshahi, D. (2017, November 22). 2016 data security incident. Uber Newsroom. https://www.uber.com/newsroom/2016-data-incident

Kraken. (n.d.). Adding and confirming a new cryptocurrency withdrawal address. Kraken Support. Retrieved July 2, 2022, from https://support.kraken.com/hc/en-us/articles/360000672863-Adding-and-confirming-a-new-cryptocurrency-withdrawal-address

Kristapsk. (2021, March 23). Got an e-mail from @BitMEX about old #Bitcoin deposit transaction (last summer) that "may be connected with activity [Tweet]. Twitter. https://twitter.com/kristapsk/status/1374336620158140419

Lawler, R. (2021, August 18). T-Mobile data breach exposed the personal info of more than 47 million people. The Verge. https://www.theverge.com/2021/8/18/22630446/t-mobile-47-million-data-breach-ssn-pin-pii

Ledger. (2022, April 6). E-commerce and marketing data breach. Ledger Support. https://support.ledger.com/hc/en-us/articles/360015559320-E-commerce-and-Marketing-data-breach-FAQ?support=true

Mangan, D. (2021, November 16). U.S. to sell cryptocurrency worth $56 million after record seizure in BitConnect fraud case. CNBC. https://www.cnbc.com/2021/11/16/us-selling-seized-cryptocurrency-in-bitconnect-fraud-case.html

Marty_P_B. (2021, March 2). 1. @bottlepay have rejected my incoming btc transactions due to the coins having been in samourai wallet and/or mixed with [Tweet]. Twitter. https://archive.ph/8cMR9

McHodled. (2020, January 28). Wtf?? Apparently you are not allowed to do what you want with your bitcoin once you own the keys. Fortunately [Tweet]. Twitter. https://twitter.com/McHodled/status/1222172084610027523

McLean, R. (2019, July 30). Capital One data breach: A hacker gained access to 100 million credit card applications and accounts. CNN. https://edition.cnn.com/2019/07/29/business/capital-one-data-breach/index.html

Muncaster, P. (2018, November 22). US Postal Service exposes 60 million users in API snafu. Infosecurity Magazine. https://www.infosecurity-magazine.com/news/us-postal-service-exposes-60m

Nakamoto, S. (2008, October). Bitcoin: A peer-to-peer electronic cash system. https://bitcoin.org/bitcoin.pdf

Nakamoto, S. (2009, February 11). Bitcoin open source implementation of P2P currency [Online forum post]. P2P Foundation. https://p2pfoundation.ning.com/forum/topics/bitcoin-open-source

Ng, A., & Musil, S. (2017, September 8). Equifax data breach may affect nearly half the US population. CNET. https://www.cnet.com/news/privacy/equifax-data-leak-hits-nearly-half-of-the-us-population/

OMGfin. (2018). Rules of procedure and internal audit rules compiled pursuant to money laundering and terrorist financing prevention act. OMGfin Exchange. https://omgfin.com/assets/pdf/Rules_of_procedure_and_internal_control_rules.pdf

Osemka8. (2020, December 22). A user on r/ledgerwalletleak sharing his shocking story [Online forum post]. Reddit. https://www.reddit.com/r/CryptoCurrency/comments/ki3x7z/a_user_on_rledgerwalletleak_sharing_his_shocking/

Partz, H. (2021, July 28). Binance cuts withdrawal limits, rolls out tax reporting tool. Cointelegraph. https://cointelegraph.com/news/binance-cuts-withdrawal-limits-rolls-out-tax-reporting-tool

Prime Trust. (n.d.). Qualified custody. Retrieved July 2, 2022, from https://www.primetrust.com/products/qualified-custody

Reuters. (2017, May 24). Target settles 2013 hacked customer data breach for $18.5 million. NBC News. https://www.nbcnews.com/business/business-news/target-settles-2013-hacked-customer-data-breach-18-5-million-n764031

RiccardoMasutti. (2021, March 26). #CoinJoin flagging @bitwala sent me an email 3 days ago about a couple of post-CoinJoin transactions that happened [Tweet]. Twitter. https://twitter.com/RiccardoMasutti/status/1375507165151076353

Samourai Wallet [@SamouraiWallet]. (2022, February 3). When you withdraw from your exchange it isn’t like withdrawing physical cash from an ATM. The exchange is able to [Why we coinjoin, a thread]. Twitter. https://threadreaderapp.com/thread/1489220847336308739.html

SamouraiDev. [@samouraidev]. (2019, January 3). Bob paid Alice but how much and with which utxo(s)? https://bitcoinmagazine.com/articles/blockchain-analysis-about-get-harder-p2ep-enters-testing-phase/ https://blockstream.info/testnet/tx/6e568c4f8ab7cda73879d45a245bd127e825b8f9bc8183576b5be22d6dc1a4c4 #Stowaway #Cahoots #P2EP Make every spend a[Tweet]. Twitter. https://twitter.com/samouraidev/status/1080879231234727936

Silkblueberry. (2021, April 2). Criminally threatening email [Online forum post]. Reddit. https://www.reddit.com/r/ledgerwalletleak/comments/mj0teu/criminally_threatening_email/

Silver-Greenberg, J., & Goldstein, M. (2014, October 2). JPMorgan Chase says more than 76 million accounts compromised in cyberattack. Deal Book. https://archive.nytimes.com/dealbook.nytimes.com/2014/10/02/jpmorgan-discovers-further-cyber-security-issues/?_php=true&_type=blogs&_r=0

Statista. (2021, March 3). Cyber crime: Number of breaches and records exposed 2005–2020. https://www.statista.com/statistics/273550/data-breaches-recorded-in-the-united-states-by-number-of-breaches-and-records-exposed/

Stephenson, N. (1997). Cryptonomicon [E-book]. Harper Perennial. https://archive.org/details/cryptonomicon0000step_b9v1

Surojit. (2022, February 13). Some more details. We had over 20M hits on our landing page in one minute. That was historic and unprecedented. [Tweet]. Twitter. https://twitter.com/surojit/status/1493113238275297280

Tabuchi, H. (2015, July 17). CVS and Walmart Canada are investigating a data breach. The New York Times. https://www.nytimes.com/2015/07/18/business/cvs-and-walmart-canada-are-investigating-a-data-breach.html

Valinsky, J. (2022, February 15). Coinbase’s strange QR-code Super Bowl ad briefly crashes app. CNN. https://edition.cnn.com/2022/02/14/investing/coinbase-qr-code-app/index.html

Warren, C. (2011, June 11). Sony pictures website hacked, 1 million accounts exposed. Mashable. https://mashable.com/archive/sony-pictures-hacked

Winder, D. (2020, August 19). 235 million Instagram, TikTok and YouTube user profiles exposed in massive data leak. Forbes. https://www.forbes.com/sites/daveywinder/2020/08/19/massive-data-leak235-million-instagram-tiktok-and-youtube-user-profiles-exposed/?sh=5169fb781111

Wook, H. (2020a, July 7). How to buy non-KYC bitcoin with a US Postal Money Order on Bisq. Internet Archive. https://archive.org/details/how-to-buy-non-kyc-bitcoin-with-a-us-postal-money-order

Wook, H. (2020b, November 27). How to use Text Verified to buy non-KYC bitcoin at a bitcoin ATM. Internet Archive. https://archive.org/details/how-to-use-text-verified-to-buy-non-kyc-bitcoin-at-a-bitcoin-atm

Zhao, C. (2021, July 27). Thread by @cz_binance on Thread Reader App. Thread Reader. https://threadreaderapp.com/thread/1420056975094665226.html