By Bitcoin Magasin - 1 år sedan - Lästid: 13 minuter
Nu när myndigheterna har stängt av Tornado Cash, Is Bitcoin Nästa?
Crypto-integritetsförespråkare blev bestörta när amerikanska myndigheter sanktionerade och stängde ner Tornado Cash. Skulle kunna Bitcoin överleva en liknande attack?
Trots att det är en automatiserad, decentraliserad version av en typisk kryptovalutamixer, TornadoCash sanktionerades av den amerikanska regeringen förra veckan när finansdepartementets kontor för kontroll av utländska tillgångar (OFAC) lade till Ethereum-adresser associerade med verktyget till dess särskilt utsedda medborgare och blockerade personer (SDN)-listan.
Mycket har skrivits om juridiska aspekter av finansdepartementets flytt. Istället för att ge sig in på – utan tvekan välbehövlig – – förespråkare för att ifrågasätta de rättsliga grunderna för ett sådant drag, försöker denna artikel objektivt utforska de tekniska krångligheterna med Tornado Cash och dess sanktioner, samt utvärdera potentiella risker som kan blöda in i Bitcoin i framtiden.
Hur Tornado Cash fungerar
I grunden tar en mixer emot användarnas insättningar i kryptovaluta, som den poolar eller tumlar ihop innan den gör det möjligt för varje användare att ta ut samma mängd mynt som den satt in. Genom att göra det får användarna "färska" mynt som inte är relaterade till de de deponerade, vilket kan erbjuda dem en hel del framåtblickande integritet.
De flesta blandare är centraliserade, drivs av en enhet eller ett företag som tar ut avgifter för de ovan nämnda tjänsterna.
Tornado Cash, å andra sidan, är en kryptovalutamixer som används som ett smart kontrakt på Ethereum-blockkedjan. Därför är det mer besläktat med en robot än en enhet – det kan ses som en automatiserad version av en typisk kryptovalutamixer. Men det fungerar fortfarande som en vanlig mixer. Användare sätter in kryptovaluta i Tornado Cash-kontraktet, som slår samman medlen och möjliggör uttag som inte är kopplade till insättningarna.
Tornado Cash säkerställer integritet och möjliggör förtroendelösa användaruttag genom att utnyttja robusta kryptografitekniker, med bevis som kallas noll-kunskaps kortfattade icke-interaktiva kunskapsargument (zk-SNARK) är kärnan.
I huvudsak zk-SNARK –– och nollkunskapsbevis i allmänhet –– tillåta en enhet att bevisa ett uttalande om en hemlighet utan att avslöja hemligheten. I samband med Tornado Cash tillåter det användaren att bevisa att de har rätt att ta ut en viss mängd mynt från det smarta kontraktet utan att dela ut information om sina insättningar.
"SNARKs i Tornado Cash-sammanhang tillåter insättare att flytta pengar till poolen och ha en insättningssedel utanför kedjan som de kan använda för att ta ut dem till vilket annat konto som helst," sa Michael Lewellen, säkerhetslösningsarkitekt på smart kontraktssäkerhetsföretaget OpenZeppelin, till Bitcoin Tidskrift. "Det faktum att inlåningssedeln har noll kopplingar till inlåningskontot är där SNARKs används för att säkerställa integritet."
Utöver integritetsfördelarna tillåter insättningssedeln också en högre nivå av säkerhet och kontroll för användaren eftersom den gör det möjligt för dem att trolöst ta ut sina pengar från mixern när som helst. Denna funktion gör Tornado Cash besläktad med en icke-förvaringstjänst, eftersom dessa "inlösbara sedlar" fungerar som kryptografiska nycklar som låser upp användarens pengar.
"Jag tycker att det fortfarande är rättvist att kalla det icke-frihetsberövande," sa Lewellen. "Du får i princip en ny kryptografisk nyckel "bevis" relaterad till den specifika insättningen som sedan kan användas av uttagskontot för att dra ut pengarna."
Blandare för kryptovaluta har i flera år varit måltavlor av den amerikanska regeringen och dess tillsynsmyndigheter. Man skulle kunna tro att Tornado Cash, som är en kod som självständigt lever på en blockchain istället för en centralt driven verksamhet, skulle vara immun mot sådan inriktning. Ändå kom OFAC efter det.
Varför och hur OFAC sanktionerade Tornado Cash
Tanken att det amerikanska finansdepartementet kan sanktionera en smart kontraktskryptovalutamixer som Tornado Cash verkar långsökt och udda. Den sitter dock i skärningspunkten mellan departementets tidigare sanktioner av kryptovalutamixer (i resonemang) och blockkedjeadresser (i tillvägagångssätt).
Resonemanget
Sanktioneringen av Tornado Cash representerar OFAC:s andra sanktion någonsin mot en kryptovalutamixer. Den första, på Blender, hände i maj 2022.
OFAC sa i en meddelandet att Tornado Cash "har använts för att tvätta mer än 7 miljarder dollar i virtuell valuta sedan den skapades 2019", vilket lyfter fram den påstådda överföringen av över 455 miljoner dollar som stulits av den Demokratiska folkrepubliken Korea (DPRK)-sponsrade Lazarus-hackinggruppen, som var sanktionerades av USA 2019.
Mer specifikt, uttalandet detaljer:
"Tornado utses i enlighet med EO 13694, med ändringar, för att ha materiellt assisterat, sponsrat eller tillhandahållit ekonomiskt, materiellt eller tekniskt stöd för, eller varor eller tjänster till eller till stöd för, en cyberaktiverad aktivitet som härrör från, eller styrs av personer som är belägna, helt eller till väsentlig del, utanför USA och som rimligen sannolikt kommer att resultera i, eller väsentligt har bidragit till, ett betydande hot mot den nationella säkerheten, utrikespolitiken eller den ekonomiska hälsan eller den finansiella stabiliteten i Förenta staterna stater och som har syftet eller effekten att orsaka ett betydande förskingring av medel eller ekonomiska resurser, affärshemligheter, personliga identifierare eller finansiell information för kommersiella eller konkurrensmässiga fördelar eller privat ekonomisk vinning."
Enligt det amerikanska finansdepartementets webbplats, Executive Order (EO) 13694 fokuserar på skador orsakade av "skadlig cyberaktiverad verksamhet", som den bedömer som "varje handling som primärt utförs genom eller underlättas av datorer eller andra elektroniska enheter." Den ger finansministern i uppdrag att införa sanktioner mot de personer som han eller hon bestämmer sig för att vara ansvariga för eller medskyldiga till de aktiviteter som leder till dessa skador.
Blenders sanktion var också i enlighet med EO 13694. Tornado Cashs situation höjde dock en del på ögonbrynen på grund av de många nyanserna i sanktionen.
Tornado Cash är en mixer och Financial Crimes Enforcement Network (FinCEN) anser att blandare är pengarsändare –– därför vara mottaglig för regleringar och efterlevnad. Men samtidigt är Tornado Cash öppen källkod, och USA beslutade i "Bernstein v. Justitiedepartementet" på 1990-talet att kod är tal. Därav paradoxen.
Om man lägger paradoxen och juridiska nyanser åt sidan, saker som kan ta år att bestridaOFAC kan i praktiken helt enkelt ha tittat på en kryptovalutamixer som används för att tvätta illegala medel och beslutat att slå ner på den –– oavsett verktygets distribuerade karaktär.
Tillvägagångssättet
Även om OFAC:s SDN-lista oftare än inte utnyttjas för personer eller enheter, har finansdepartementet sedan 2018 förklarat att det kan och kommer att lägga till kryptovalutaadresser till listan som det anser vara nödvändigt för att skydda amerikanska nationella säkerhetsintressen.
"För att stärka våra ansträngningar för att bekämpa den olagliga användningen av digitala valutatransaktioner under våra befintliga myndigheter, kan OFAC inkludera som identifierare på SDN-listan specifika digitala valutaadresser associerade med blockerade personer," enligt Finansdepartementets hemsida. "OFAC kan lägga till digitala valutaadresser till SDN-listan för att varna allmänheten om specifika digitala valutaidentifierare som är associerade med en blockerad person."
Kontraintuitivt, och här är den svåra sanningen, underlättade blockkedjornas genomskinliga karaktär tillsammans med specifika egenskaper hos Ethereum-blockkedjan finansdepartementet att överutvidga sin auktoritet och blanda resonemang och tillvägagångssätt för att lägga till Tornado Cash till SDN-listan.
Ethereum utnyttjar en modell baserad på konton. Enligt Ethereum Foundation, ett konto "är en enhet med ett eter (ETH) saldo som kan skicka transaktioner på Ethereum" och det kan antingen vara användarkontrollerat eller ett smart kontrakt. Konton kan ta emot, hålla och skicka ETH och tokens på Ethereum blockchain samt interagera med smarta kontrakt.
Som standard har utrullade smarta kontrakt på Ethereum en fast adress som andra konton, som ägs av användare eller andra kontrakt, kan interagera med. Därför, eftersom OFAC kan sanktionera blockkedjeadresser genom sin SDN-lista, var det trivialt för tillsynsorganet att sanktionera Tornado Cash.
Så, är det då bara en tidsfråga innan OFAC eller liknande organisationer börjar komma efter verktyg Bitcoin landa?
Kan OFAC sanktionera Bitcoin Och dess verktyg?
Det finns utan tvekan liten gräns för vad tillsynsmyndigheter som OFAC kan göra för att nå sina mål, vilket framgår av Tornado Cash-fallet. Men många decentraliserade verktyg byggdes som svar på statens övergripande kontroll i första hand och är utformade för att förhindra sådana handlingar.
Betyder det Bitcoin är immun mot de hot som Ethereums ekosystem för närvarande står inför? Inte nödvändigtvis.
Som förklarats ovan, och att döma av finansdepartementets uttalanden och riktlinjer, verkar OFAC:s sanktion mot Tornado Cash ha varit en koppling av två av byråns praxis: målet att slå ner på virtuella valutamixer som underlättar penningtvätt och dess förmåga att lägga till blockchain adresser till sin SDN-lista. Bitcoin är väl positionerat för att mildra det förra, och även om det senare utgör ett verkligt hot, är det här som Nakamotos design visar sig vara mer motståndskraftig. Här är varför.
CoinJoins är inte blandare
Bitcoin integritetsverktyg, nämligen CoinJoins, utnyttjas också av kriminella för att tvätta pengar – vilket också sätter dem på tillsynsmyndigheternas radar.
Tidigare i år efterlyste Storbritanniens National Crime Agency (NCA) reglering av Bitcoin CoinJoins, som felaktigt kallade dem "decentraliserade blandare" och citerade Samourai- och Wasabi-plånböcker som två välkända blandare, enligt en rapport från Financial Times. Byrån hävdade att sådana verktyg tillåter användare att dölja transaktioner som är andrawise spårbar på blockkedjor.
"NCA sa att reglering skulle tvinga blandare att följa lagar om penningtvätt, med en skyldighet att utföra kundkontroller och revisionsspår av valutor som passerar genom plattformarna", enligt rapporten.
Som framhållits på Samourai Wallets uppföljning blogginlägg, bör det finnas en tydlig skillnad mellan en mixer och en CoinJoin eftersom de är olika verktyg.
Medan en mixer fungerar i det typiska formatet för insättningspool-uttag, är en CoinJoin inget annat än en Bitcoin transaktion. Det skiljer sig från typiskt Bitcoin transaktioner eftersom CoinJoins är riktigt stora med ett specifikt format, men programvara som Samourai och Wasabi möjliggör endast koordinering av användare för att bilda samma transaktion. Det finns med andra ord ingen insättning, pooling eller uttag av medel.
Faktum är att EU:s mest framstående brottsbekämpande organ, Europol, gör en tydlig skillnad mellan mixers och CoinJoins. I sina senaste två Internet Organized Crime Threat Assessment (IOCTA)-rapporter, Europols strategiska flaggskeppsprodukt som ger en brottsbekämpande-fokuserad bedömning av föränderliga hot och utvecklingar inom området cyberbrottslighet, paketerade byrån inte mixers och CoinJoins i samma korg.
"Brottslingar konverterar i allt högre grad sina olagliga inkomster Bitcoin använder kryptovaluta fördunklingsmetoder som bytestjänster, mixers och coinjoins”, står det i sin IOCTA-rapport 2021. "...Under de senaste åren har många olika fördunklingsmetoder vunnit popularitet, som blandare, CoinJoin, swapping, kryptodebetkort, Bitcoin Uttagsautomater, lokal handel med mera.”
Dessutom i en 2020 rapport om Wasabi, uppgav Europol att "användare som laddar ner plånboken lagrar alla bitcoins lokalt", vilket "betyder att AML-lagstiftningen inklusive Europas senaste AMLD5 (det 5:e direktivet mot penningtvätt) inte gäller för denna tjänst."
Därför verkar det för närvarande ganska osannolikt att finansdepartementet eller andra tillsynsmyndigheter skulle slå ner på Bitcoin Coin Går med som blandare av kryptovaluta och lägg till dem i OFAC SDN-listan. Men låt oss underhålla möjligheten att nämnda byråer väljer att göra det.
Den teoretiska sanktioneringen av Bitcoin CoinJoins och dess möjliga konsekvenser
Förutsatt att tillsynsmyndigheter kan utöka sin auktoritet för att passa deras behov, kan CoinJoins komma under sanktioneringshot. Men hur kunde det göras? Även om det inte finns några tydliga svar på den frågan, dyker några möjliga scenarier upp.
Det första naturliga scenariot är en tillsynsmyndighet som helt och hållet förbjuder CoinJoins. Men osannolikt, och även om det faktiskt skulle innebära att förbjuda flera parter Bitcoin transaktioner, kan en sådan åtgärd i teorin fortfarande göras. Detta hot är dock kännande och samma hot som fanns –– och förmodligen fortfarande existerar –– för Bitcoin i stora drag.
Ett mer jordnära scenario skulle kanske vara sanktioneringen av CoinJoins' koordinatorer istället. Även om detta inte är tillämpligt på JoinMarket på ett enkelt sätt, med tanke på dess skapar- och mottagarestruktur, finns det i fallen Samourai och Wasabi centrala koordinatorer som underlättar CoinJoin-transaktionen som utförs mellan transaktionsparterna. (Den här typen av sanktioner är fortfarande osannolik med tanke på strukturen hos CoinJoins och vilket framgår av Europols uttalande som säger att AML-reglerna inte gäller för dessa verktyg. Men återigen, låt oss anta motsatsen.)
Sanktioneringssamordnarnas åtgärder skulle kunna likna sanktioneringen av Tornado Cash i teorin, men det är väldigt annorlunda i praktiken.
Medan OFAC, till exempel, helt enkelt kunde lägga till en CoinJoins koordinator till sin SDN-lista, finns det ingen enskild blockchain-adress som den kan använda för att representera den koordinatorn. Som en gåva från Bitcoins outnyttjade transaktionsutmatningsmodell (UTXO) ändrar koordinatorer sin adress varje omgång. Det betyder att med Bitcoin CoinJoins det finns ingen enda kontaktpunkt till Bitcoin blockchain och därför utgör detta en nyckelskillnad till Tornado Cashs smarta kontraktsstruktur baserad på Ethereums kontobaserade system.
I praktiken skulle OFAC behöva analysera blockkedjan kontinuerligt för att upptäcka Bitcoin CoinJoins och retroaktivt lägga till adresser till SDN-listan. (Det finns en aspekt som tvättar OFAC:s händer i det här fallet –– den gör det klart att SDN-listan inte är uttömmande, vilket innebär att om en adress som inte är listad befinns tillhöra en enhet som finns på listan, skulle sanktionen gäller fortfarande.)
Utöver det retroaktiva verkställandet av sådana regler skulle det verkställande organet också behöva känna till identiteten på Bitcoin användare som utnyttjar tjänsterna. Även om det är sant att Bitcoin transaktioner och adresser är inte anonyma, Bitcoins UTXO-modell ökar robustheten och motståndskraften även mot detta och det mesta av kedjeanalysarbetet bygger på (ibland utbildade) gissningar. Detta skulle vara verkligt effektivt endast om adresserna som kommer in antingen är allmänt kända (till exempel från kända hackare eller hackare) eller KYC'd (kända för börser och därför brottsbekämpande).
Det faktum att det inte finns något direkt eller tillförlitligt sätt att berätta vilken koordinator som användes i en given CoinJoin-runda utgör ytterligare utmaningar. Även om det ofta kan vara rimligt att anta att standardkoordinatorn användes i en runda, kan ett sådant uttalande inte tillförlitligt användas mot användare eftersom ingenting hindrar användare från att skapa och använda olika koordinatorer, med det enda hindret som är likviditet –– som kan lösas med tid.
Om lagstiftningen vänder och beslutar att CoinJoins ska falla under samma regler som blandare trots sina slående skillnader, och ovanstående åtgärder från tillsynsmyndigheter visar sig vara framgångsrika –– eller åtminstone tillräckligt effektiva –– finns det fortfarande ett par möjliga icke-exklusiva vägar som har potentialen att åstadkomma ett annat resultat än vad Tornado Cash står inför.
För det första kan affärsenheter som driver samordnarna försöka förhindra att illegala medel CoinJoined. Wasabi Wallet söker en sådan verklighet med sin zkSNACKs-koordinator, enligt ett meddelande från tidigare i år. Det är inte klart om Wasabi har implementerat den här funktionen ännu. (Detta är dock en komplicerad och knappast positiv väg för ekosystemet som helhet, eftersom det möjliggör överskridande av regulatoriska verktyg för verktyg som inte är pengarsändare och som tillsynsmyndigheter och tillsynsmyndigheter själva inser för närvarande inte bör omfattas av AML-regler.)
Ett andra –– och utan tvekan bättre –– alternativ skulle vara att utnyttja ännu mer decentraliserade CoinJoin-verktyg som JoinMarket. Även om det inte är en perfekt implementering, som framhållits av Shinobi i den här artikeln, presenterar JoinMarket ett bra alternativ för Bitcoin användare att ge sig ut på CoinJoins i ett katastrofalt scenario som ovan. Det är till och med mer motståndskraftigt än centralt koordinerade CoinJoins, vilket innebär att det skulle förstärka alla tillämpningsutmaningar som Samourai och Wasabi utgör, och att upptäcka JoinMarket CoinJoin-transaktioner på kedjan är i och för sig redan mer utmanande och kan leda till falska positiva resultat .
På ett annat sätt har OFAC:s sanktion mot Tornado Cash också skapat ytterligare problem i en kaskadeffekt som är värda att överväga när det kommer till eventuella sanktioner mot Bitcoin. En av bidragsgivarna till Tornado Cash öppen källkod blev arresterad efter sanktionen; Tornado Cashs GitHub-konto och några av dess utvecklare stängdes av; och webbplatsen för Tornado Cash togs ner.
Det är ännu inte klart varför utvecklaren greps, men Bitcoin Magazine kontaktade GitHub för att lära sig mer om kontoavstängningen.
"Handelslagar kräver att GitHub begränsar användare och kunder som identifieras som Specially Designated Nationals (SDNs) eller andra nekade eller blockerade parter, eller som kan använda GitHub på uppdrag av blockerade parter", sa en GitHub-talesman Bitcoin Tidskrift. "Samtidigt är GitHubs vision att vara den globala plattformen för utvecklarsamarbete. Vi granskar statliga sanktioner noggrant för att vara säkra på att användare och kunder inte påverkas utöver vad som krävs enligt lag."
Bitcoin Magazine frågade ytterligare men fick samma svar som ovan.
Därför är det klart att Bitcoin, och alla projekt med öppen källkod för den delen, kan drabbas av samma avstängning av GitHub-konton i händelse av en OFAC-sanktion. Men, som framhållits av communityn i forum och Twitter, finns det också vissa alternativ för att mildra detta hot, till exempel GitLab-instanser som är självvärd.
Ändå en annan skillnad mellan Bitcoin och Ethereum spelar också en roll här. Medan de centraliserade verktygens ekosystem spelar en större roll i dess decentraliserade erbjudanden –– till exempel Infura, som driver de flesta Ethereums appar, plånböcker och tjänster och är mottaglig för sanktioner och censur –– den förra är bättre positionerad för att upprätthålla liknande hot.
Kortfattat, Bitcoin är utan tvekan det mest väl förberedda nätverket för att motstå nationalstatsattacker med tanke på inveckladheten i dess design, av vilka några utforskades på djupet i den här artikeln. Dessutom utmaningar för att verkställa eventuella sanktioner mot Bitcoin sekretessverktyg gör en sådan åtgärd inte bara osannolik utan till synes meningslös att utföras eftersom dess effektivitet helt enkelt inte kan förstärkas jämfört med vad som görs idag när det gäller penningtvätt med Bitcoin och CoinJoins. Slutligen förvärras osannolikheten för en sådan händelse ytterligare av de unika egenskaperna hos CoinJoins och de strukturella skillnaderna som deras implementering innebär att blandas.
Slutliga överväganden
Den här artikeln fokuserar främst på det troliga resonemanget bakom OFAC:s sanktion mot Tornado Cash för att föreställa sig hur en sådan sanktion skulle kunna överföras till Bitcoin och dess verktyg. Men det skulle inte vara rättvist att utelämna en kommentar om vad som sannolikt har varit en överutvidgning av tillsynen.
Som framhållits av flera branschaktörer och företag kan sanktionen av öppen källkod vara ett intrång i Constitutional First Amendment, som skyddar yttrandefriheten, och, som tidigare nämnts, kod har etablerats som tal enligt amerikansk lag. Dessutom är varje attack på öppen källkod en attack på Bitcoin.
Dessutom har sanktioneringen av Tornado Cash helt och hållet negativa konsekvenser för laglydiga medborgare som utnyttjade verktyget för att skydda sina legitima integritetsintressen, som förklarat av Seth Hertlein, global policychef hos plånbokstillverkaren Ledger.
Sammantaget, som redan nämnts, medan tillsynsmyndigheter inte bör utsträcka sin lagstadgade befogenhet, kan rättstvister ta år. Med tanke på att lagstiftningen är beroende av jurisdiktion, är vad som är lagligt eller olagligt geografiskt subjektivt. Följaktligen bör decentraliserade system designas från grunden för att motstå infångning eller överräckning med ostoppbara, ocensurerbara nätverk.
Ursprunglig källa: Bitcoin magazine