By Bitcoin Magazyn - 1 rok temu - Czas czytania: 13 minuty
Teraz, gdy władze zamknęły Tornado Cash, jest Bitcoin Kolejny?
Crypto privacy advocates were appalled when U.S. authorities sanctioned and shut down Tornado Cash. Could Bitcoin survive a similar attack?
Pomimo tego, że jest zautomatyzowaną, zdecentralizowaną wersją typowego miksera kryptowalut, Tornado Cash została usankcjonowana przez rząd USA w zeszłym tygodniu, ponieważ Biuro Kontroli Aktywów Zagranicznych (OFAC) Departamentu Skarbu dodało adresy Ethereum powiązane z narzędziem do swojej listy specjalnie wyznaczonych obywateli i osób zablokowanych (SDN).
Wiele napisano o prawne aspekty posunięcia Departamentu Skarbu. Instead of embarking on –– arguably much needed –– advocacy to dispute the legal grounds of such a move, this article seeks to objectively explore the technical intricacies of Tornado Cash and its sanction, as well as evaluate potential risks that could bleed into Bitcoin w przyszłości.
Jak działa Tornado Cash
W swojej istocie mikser otrzymuje depozyty w kryptowalutach użytkowników, które łączy lub miesza razem, zanim umożliwi każdemu użytkownikowi wypłatę takiej samej ilości zdeponowanych monet. W ten sposób użytkownicy otrzymują „świeże” monety, które nie są powiązane z tymi, które zdeponowali, co może zapewnić im dużo przyszłościowej prywatności.
Większość mikserów jest scentralizowana, prowadzona przez podmiot lub firmę, która pobiera opłaty za wyżej wymienione usługi.
Z drugiej strony Tornado Cash to mikser kryptowalut wdrożony jako inteligentny kontrakt na blockchainie Ethereum. Dlatego jest bardziej podobny do robota niż bytu – można go traktować jako zautomatyzowaną wersję typowego miksera kryptowalut. Jednak nadal działa jak zwykły mikser. Użytkownicy deponują kryptowalutę w umowie Tornado Cash, która łączy środki i umożliwia wypłaty niepowiązane z depozytami.
Tornado Cash zapewnia prywatność i umożliwia wypłaty użytkowników bez zaufania, wykorzystując solidne techniki kryptograficzne, z dowodami znanymi jako zwięzły, nieinteraktywny argument wiedzy o zerowej wiedzy (zk-SNARK).
W istocie zk-SNARK –– i ogólnie dowody z wiedzą zerową –– pozwolić podmiotowi udowodnić oświadczenie o tajemnicy bez ujawniania tajemnicy. W kontekście Tornado Cash pozwala użytkownikowi udowodnić, że jest uprawniony do wypłaty określonej ilości monet z inteligentnej umowy bez przekazywania informacji o swoich wpłatach.
“SNARKs in the context of Tornado Cash allow depositors to move money into the pool and have an off-chain deposit note they can use to withdraw it to any other account,” Michael Lewellen, security solutions architect at smart contract security firm OpenZeppelin, told Bitcoin Magazine. “The fact that the deposit note has zero ties to the deposit account is where the SNARKs are used to ensure privacy.”
Poza korzyściami związanymi z prywatnością, nota depozytowa zapewnia również wyższy poziom bezpieczeństwa i kontroli dla użytkownika, ponieważ umożliwia mu bezproblemowe wypłacanie środków z miksera w dowolnym momencie. Ta funkcja sprawia, że Tornado Cash jest podobny do usługi bez powiernictwa, ponieważ te „wymienne banknoty” działają jako klucze kryptograficzne, które odblokowują środki użytkownika.
„Myślę, że nadal można nazwać to nieizolacyjnym” – powiedział Lewellen. „Zasadniczo otrzymujesz nowy „dowód” klucza kryptograficznego związany z tym konkretnym depozytem, który może być następnie wykorzystany przez konto wypłaty do wypłaty pieniędzy”.
Miksery kryptowalut od lat są celem rządu USA i jego organów ścigania. Można by pomyśleć, że Tornado Cash, będący fragmentem kodu autonomicznie żyjącym na blockchainie, a nie centralnie zarządzanym biznesem, byłby odporny na takie targetowanie. Mimo to OFAC przyszedł po nim.
Dlaczego i jak OFAC sankcjonował Tornado Cash
Pomysł, że Departament Skarbu USA może sankcjonować inteligentny mikser kryptowalut, taki jak Tornado Cash, wydaje się bardzo naciągany i dziwny. Jednak znajduje się na przecięciu poprzednich sankcji departamentu dotyczących mikserów kryptowalut (w rozumowaniu) i adresów blockchain (w podejściu).
Rozumowanie
Sankcja Tornado Cash jest drugą w historii sankcją OFAC dotyczącą miksera kryptowalut. Pierwszy zdarzył się na Blenderze w maju 2022.
OFAC powiedział w oświadczenie Tornado Cash „został użyty do prania wirtualnej waluty o wartości ponad 7 miliardów dolarów od czasu jej powstania w 2019 roku”, podkreślając rzekome wykradzenie ponad 455 milionów dolarów przez sponsorowaną przez Koreańską Republikę Ludowo-Demokratyczną (KRLD) grupę hakerską Lazarus, która był usankcjonowane przez USA w 2019 r..
Dokładniej, szczegóły oświadczenia:
„Tornado jest wyznaczane zgodnie z EO 13694, z późniejszymi zmianami, za materialną pomoc, sponsorowanie lub zapewnienie wsparcia finansowego, materialnego lub technologicznego dla lub towarów lub usług na rzecz lub w celu wsparcia działalności wykorzystującej cybernetykę pochodzącej z lub kierowane przez osoby znajdujące się, w całości lub w znacznej części, poza Stanami Zjednoczonymi, co może skutkować poważnym zagrożeniem dla bezpieczeństwa narodowego, polityki zagranicznej, zdrowia gospodarczego lub stabilności finansowej Stanów Zjednoczonych lub istotnie się do tego przyczyniło państw i których celem lub skutkiem jest spowodowanie znacznego sprzeniewierzenia funduszy lub zasobów gospodarczych, tajemnic handlowych, identyfikatorów osobistych lub informacji finansowych w celu uzyskania przewagi handlowej lub konkurencyjnej albo prywatnego zysku finansowego”.
Według Departamentu Skarbu USA , Zamówienie wykonawcze (EO) 13694 koncentruje się na szkodach spowodowanych przez „złośliwe działania wykorzystujące cyberprzestrzeń”, które ocenia jako „każde działanie, które jest dokonywane głównie za pośrednictwem komputerów lub innych urządzeń elektronicznych lub ułatwiane przez nie”. Nakazuje Sekretarzowi Skarbu nałożenie sankcji na osoby, które uzna za odpowiedzialne lub współwinne działań prowadzących do tych szkód.
Sankcja Blendera była również zgodna z EO 13694. Sytuacja Tornado Casha jednak wzbudziła pewne wątpliwości ze względu na wiele niuansów związanych z jego sankcją.
Tornado Cash to mikser, a Sieć Egzekwowania Przestępstw Finansowych (FinCEN) uważa miksery za przekaźniki pieniędzy –– stąd podatność na regulacje i egzekwowanie. Jednocześnie jednak Tornado Cash jest kodem o otwartym kodzie źródłowym, a Stany Zjednoczone orzekły w sprawie „Bernstein przeciwko Departamentowi Sprawiedliwości” w latach 1990., że kod to mowa. Stąd paradoks.
Odkładając na bok paradoks i niuanse prawne, rzeczy, które mogą zająć lata, aby zakwestionować?, w praktyce OFAC mógł po prostu spojrzeć na mikser kryptowalut wykorzystywany do prania nielegalnych środków i zdecydować się na jego rozprawę – niezależnie od rozproszonego charakteru narzędzia.
Podejście
Mimo że lista SDN OFAC jest najczęściej wykorzystywana w przypadku osób lub podmiotów, Departament Skarbu od 2018 r. stwierdza, że może i doda do listy adresy kryptowalut, ponieważ uzna to za konieczne w celu ochrony interesów bezpieczeństwa narodowego USA.
„Aby wzmocnić nasze wysiłki na rzecz zwalczania nielegalnego wykorzystywania transakcji w walutach cyfrowych pod naszymi obecnymi władzami, OFAC może uwzględniać jako identyfikatory na liście SDN określone adresy walut cyfrowych powiązane z zablokowanymi osobami”, zgodnie z Strona Departamentu Skarbu. „OFAC może dodać adresy walut cyfrowych do listy SDN, aby ostrzec opinię publiczną o określonych identyfikatorach walut cyfrowych powiązanych z zablokowaną osobą”.
Wbrew intuicji, i oto twarda prawda, przejrzysta natura blockchainów szerzej wraz ze specyficznymi cechami blockchain Ethereum ułatwiła Departamentowi Skarbu nadmierne rozszerzenie jego autorytetu i połączenie rozumowania i podejścia w celu dodania Tornado Cash do listy SDN.
Ethereum wykorzystuje model oparty na kontach. Według fundacji Ethereum, konto „jest podmiotem z saldem ether (ETH), który może wysyłać transakcje w Ethereum” i może być kontrolowane przez użytkownika lub inteligentną umową. Konta mogą odbierać, przechowywać i wysyłać ETH i tokeny w łańcuchu blokowym Ethereum, a także wchodzić w interakcje z inteligentnymi kontraktami.
Domyślnie wdrożone inteligentne kontrakty w Ethereum mają stały adres, z którym mogą wchodzić w interakcje inne konta należące do użytkowników lub innych umów. W związku z tym, ponieważ OFAC może sankcjonować adresy blockchain za pośrednictwem swojej listy SDN, dla organu egzekwującego sankcjonowanie Tornado Cash było trywialne.
So, is it then just a matter of time until OFAC or similar organizations begin coming after tools in Bitcoin grunt?
Can OFAC Sanction Bitcoin And Its Tools?
Prawdopodobnie istnieje niewielka granica tego, co organy ścigania, takie jak OFAC, mogą zrobić, aby osiągnąć swoje cele, o czym świadczy sprawa Tornado Cash. Jednak wiele zdecentralizowanych narzędzi zostało zbudowanych przede wszystkim w odpowiedzi na nadrzędną kontrolę państwa i ma na celu zapobieganie takim działaniom.
Czy to oznacza Bitcoin is immune to the threats that the Ethereum ecosystem is currently facing? Not necessarily.
As explained above, and judging by the Treasury Department’s statements and guidelines, OFAC’s sanction on Tornado Cash appears to have been a coupling of two of the agency’s practices: the goal of cracking down on virtual currency mixers facilitating money laundering and its ability to add blockchain addresses to its SDN list. Bitcoin is well positioned to mitigate against the former, and while the latter poses a real threat, this is where Nakamoto’s design proves more resilient. Here’s why.
CoinJoins nie są mikserami
Bitcoin privacy tools, namely CoinJoins, are also leveraged by criminals to launder money –– which also puts them on the radar of regulators.
Earlier this year, the U.K.’s National Crime Agency (NCA) called for the regulation of Bitcoin CoinJoins, erroneously calling them “decentralized mixers” and citing Samourai and Wasabi wallets as two well-known mixers, per a report by the Financial Times. The agency claimed that such tools allow users to disguise transactions that are otherwise traceable on blockchains.
„NCA powiedział, że rozporządzenie zmusi miksery do przestrzegania przepisów dotyczących prania pieniędzy, z obowiązkiem przeprowadzania kontroli klientów i ścieżek audytu walut przechodzących przez platformy” – zgodnie z raportem.
Jak podkreślono w kontynuacji Portfela Samourai blogu, powinno istnieć wyraźne rozróżnienie między mikserem a CoinJoin, ponieważ są to różne narzędzia.
While a mixer functions in the typical deposit–pool–withdraw format, a CoinJoin is nothing more than a Bitcoin transaction. It differs from typical Bitcoin transactions because CoinJoins are really large ones with a specific format, but software like Samourai and Wasabi enable only the coordination of users to form that same transaction. In other words, there is no deposit, pooling or withdrawal of funds.
W rzeczywistości najważniejszy organ ścigania UE, Europol, wyraźnie rozróżnia między mikserami a CoinJoins. W swoich ostatnich dwóch raportach dotyczących oceny zagrożenia przestępczością zorganizowaną w Internecie (IOCTA), sztandarowego produktu strategicznego Europolu, który zapewnia skoncentrowaną na organach ścigania ocenę zmieniających się zagrożeń i rozwoju sytuacji w obszarze cyberprzestępczości, agencja nie umieściła mikserów i CoinJoins w tym samym koszyku.
“Criminals are increasingly converting their illicit earnings made in Bitcoin using cryptocurrency obfuscation methods like swapping services, mixers and coinjoins,” it said in its Raport IOCTA 2021. “...In the last few years, many different obfuscation methods have gained popularity, such as mixers, CoinJoin, swapping, crypto debit cards, Bitcoin ATMs, local trade and more.”
Ponadto w Raport na temat Wasabi . 2020, Europol stated that “users who download the wallet store all bitcoins locally,” which “means that the AML legislation including Europe’s latest AMLD5 (the 5th anti-money laundering directive) does not apply to this service.”
Therefore, at the present time, it seems rather unlikely that the Treasury Department or other enforcement agencies would crack down on Bitcoin CoinJoins as cryptocurrency mixers and add them to the OFAC SDN list. But let’s entertain the possibility that said agencies choose to do so.
The Theoretical Sanctioning Of Bitcoin CoinJoins And Its Possible Ramifications
Zakładając, że organy ścigania mogą rozszerzyć swoje uprawnienia, aby dopasować je do swoich potrzeb, CoinJoins może podlegać groźbom sankcjonowania. Ale jak można to zrobić? Chociaż nie ma jasnych odpowiedzi na to pytanie, pojawiają się pewne możliwe scenariusze.
The first natural scenario is an enforcement agency banning CoinJoins altogether. However unlikely, and while it would actually mean banning multiple-party Bitcoin transactions, such an action can in theory still be done. This threat, however, is sentient and the same threat that existed –– and arguably still exists –– for Bitcoin na wolności.
Być może bardziej przyziemnym scenariuszem byłoby usankcjonowanie CoinJoins koordynatorzy zamiast. Chociaż nie dotyczy to JoinMarket w prosty sposób, biorąc pod uwagę strukturę producenta i przyjmującego, w przypadku Samourai i Wasabi istnieją centralni koordynatorzy, którzy ułatwiają transakcję CoinJoin, która jest przeprowadzana między stronami transakcji. (Ten rodzaj sankcji jest nadal mało prawdopodobny, biorąc pod uwagę strukturę CoinJoins i o czym świadczy oświadczenie Europolu, że zasady AML nie mają zastosowania do tych narzędzi. Ale ponownie załóżmy, że jest inaczej.)
Działanie koordynatorów sankcjonowania może być podobne do sankcjonowania Tornado Cash w teorii, ale w praktyce jest zupełnie inne.
While OFAC, for instance, could simply add a CoinJoin’s coordinator to its SDN list, there is no single blockchain address it could use to represent that coordinator. As a gift from Bitcoin’s unspent transaction output (UTXO) model, coordinators change their address each round. This means that with Bitcoin CoinJoins there is no single point of contact to the Bitcoin blockchain and therefore this poses a key difference to Tornado Cash’s smart contract structure based on Ethereum’s account based system.
In practice, OFAC would need to continuously analyze the blockchain to spot Bitcoin CoinJoins and retroactively add addresses to the SDN list. (There is one aspect that washes OFAC’s hands in this case –– it makes it clear that the SDN list is not exhaustive, meaning that if an address that’s not listed is found to belong to an entity that is on the list, the sanction would still apply.)
Beyond the retroactive enforcement of such rules, the enforcement body would also need to know the identities of the Bitcoin users leveraging the services. While it is true that Bitcoin transactions and addresses aren’t anonymous, Bitcoin’s UTXO model increases robustness and resilience against this as well and most of the chain analysis work relies on (sometimes educated) guesses. This would be truly effective only if the addresses going in are either publicly known (for example from known hacks or hackers) or KYC’d (known to exchanges and therefore law enforcement).
Jednak fakt, że nie ma bezpośredniego ani wiarygodnego sposobu, aby stwierdzić, który koordynator został użyty w danej rundzie CoinJoin, stwarza kolejne wyzwania. Chociaż często można założyć, że domyślny koordynator został użyty w rundzie, takie stwierdzenie nie może być wiarygodnie użyte przeciwko użytkownikom, ponieważ nic nie stoi na przeszkodzie, aby użytkownicy tworzyli i używali różnych koordynatorów, a jedyną przeszkodą jest płynność – którą można rozwiązać z czasem.
Jeśli prawo zmieni się i zdecyduje, że CoinJoins powinny podlegać tym samym zasadom, co miksery, pomimo uderzających różnic, a powyższe działania organów ścigania okażą się skuteczne – lub przynajmniej wystarczająco skuteczne – nadal istnieje kilka możliwych niewyłącznych dróg które mają potencjał, aby przynieść rezultat inny niż ten, przed którym stoi Tornado Cash.
Po pierwsze, podmioty gospodarcze prowadzące koordynatorów mogą próbować zapobiegać coinJoiningowi nielegalnych funduszy. Wasabi Wallet szuka takiej rzeczywistości ze swoim koordynatorem zkSNACKs, według zapowiedzi z początku tego roku. Nie jest jasne, czy Wasabi wdrożyło jeszcze tę funkcję. (Jest to jednak skomplikowana i mało pozytywna ścieżka dla ekosystemu jako całości, ponieważ pozwala na zbytnie podejście regulacyjne do narzędzi, które nie są przekaźnikami pieniędzy i które obecnie sami organa regulacyjne i organy ścigania zdają sobie sprawę, nie powinny podlegać zasadom przeciwdziałania praniu pieniędzy.)
Drugą – i prawdopodobnie lepszą – opcją byłoby wykorzystanie jeszcze bardziej zdecentralizowanych narzędzi CoinJoin, takich jak JoinMarket. Mimo że nie jest to idealna implementacja, jak podkreśla Shinobi w ten artykuł, JoinMarket presents a great option for Bitcoin users to embark on CoinJoins in a catastrophic scenario such as the above. It is even more resilient than centrally-coordinated CoinJoins, meaning it would amplify all the enforcement challenges posed by the likes of Samourai and Wasabi, and spotting JoinMarket CoinJoin transactions on-chain is in and of itself already more challenging and can lead to false positives.
Z drugiej strony, sankcja OFAC dotycząca Tornado Cash spowodowała również dodatkowe problemy w efekt kaskadowy that are worth considering when it comes to potential sanctions on Bitcoin. One of the contributors to the Tornado Cash open-source code został aresztowany po nałożeniu sankcji; Konto GitHub Tornado Cash i niektórych jego twórców zostały zamknięte; a strona internetowa Tornado Cash została usunięta.
It isn’t yet clear why the developer was arrested, but Bitcoin Magazine contacted GitHub to learn more about the accounts shutdown.
“Trade laws require GitHub to restrict users and customers identified as Specially Designated Nationals (SDNs) or other denied or blocked parties, or that may be using GitHub on behalf of blocked parties,” a GitHub spokesperson told Bitcoin Magazine. “At the same time, GitHub’s vision is to be the global platform for developer collaboration. We examine government sanctions thoroughly to be certain that users and customers are not impacted beyond what is required by law.”
Bitcoin Magazine inquired further but received the same response as above.
Therefore it is clear that Bitcoin, and any open-source project for that matter, may suffer from the same GitHub accounts shutdown in the event of an OFAC sanction. However, as highlighted by the community in forums and Twitter, some options also exist to mitigate this threat such as self-hosted GitLab instances.
Still, another difference between Bitcoin and Ethereum also plays a role here. While in the ecosystem of the latter centralized tools play a bigger role in its decentralized offerings –– for example Infura, which powers most of the Ethereum apps, wallets and services and jest podatny na sankcje i cenzurę –– ta pierwsza jest lepiej przygotowana do przetrwania podobnych zagrożeń.
W sumie, Bitcoin is arguably the most well-prepared network to withstand nation-state attacks given the intricacies of its design, some of which were explored in-depth in this article. Moreover, challenges to the enforcement of possible sanctions on Bitcoin privacy tools make such an action not only unlikely but seemingly futile to be undertaken as its efficacy might simply not be amplified compared to what is done today regarding money laundering with Bitcoin and CoinJoins. Finally, the unlikelihood of such an event is further exacerbated by the unique characteristics of CoinJoins and the structural differences their implementation poses to mixing.
Uwagi końcowe
This article mainly focuses on the probable reasoning behind OFAC’s sanction on Tornado Cash to imagine how such a sanction could be ported onto Bitcoin and its tools. But it wouldn’t be fair to leave out a commentary on what has likely been an overextension of regulatory oversight.
As highlighted by several industry players and businesses, the sanction of open-source code might be an infringement on the Constitutional First Amendment, which protects freedom of speech, and, as mentioned previously, code has been established as speech under U.S. law. Moreover, any attack on open-source code is an attack on Bitcoin.
Ponadto sankcjonowanie Tornado Cash ma ogólnie negatywne konsekwencje dla przestrzegających prawa obywateli, którzy wykorzystali narzędzie do ochrony swoich uzasadnionych interesów prywatności, ponieważ wyjaśnione przez Setha Hertlein, globalny szef polityki w firmie Ledger, producent portfeli sprzętowych.
Podsumowując, jak już wspomniano, o ile regulatorzy nie powinni nadmiernie rozszerzać swoich uprawnień ustawowych, postępowanie sądowe może trwać latami. Ponadto, biorąc pod uwagę, że ustawodawstwo zależy od jurysdykcji, to, co jest legalne, a co nielegalne, jest subiektywne geograficznie. W związku z tym zdecentralizowane systemy powinny być projektowane od podstaw, aby wytrzymać przechwytywanie lub nadmierny zasięg dzięki sieciom niepowstrzymanym i nieocenzurowanym.
Pierwotnym źródłem: Bitcoin Magazyn