By Bitcoin Tạp chí - 1 năm trước - Thời gian đọc: 13 phút
Bây giờ các nhà chức trách đã đóng cửa Tornado Cash, là Bitcoin Kế tiếp?
Crypto privacy advocates were appalled when U.S. authorities sanctioned and shut down Tornado Cash. Could Bitcoin survive a similar attack?
Mặc dù là phiên bản tự động, phi tập trung của một công cụ trộn tiền điện tử điển hình, Tiền mặt lốc xoáy đã bị chính phủ Hoa Kỳ xử phạt vào tuần trước khi Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính đã thêm các địa chỉ Ethereum được liên kết với công cụ này vào danh sách các công dân được chỉ định đặc biệt và những người bị chặn (SDN).
Phần lớn đã được viết về khía cạnh pháp lý của động thái của Bộ Tài chính. Instead of embarking on –– arguably much needed –– advocacy to dispute the legal grounds of such a move, this article seeks to objectively explore the technical intricacies of Tornado Cash and its sanction, as well as evaluate potential risks that could bleed into Bitcoin trong tương lai.
Cách hoạt động của Tornado Cash
Về cốt lõi, một bộ trộn nhận tiền gửi tiền điện tử của người dùng, nó gộp lại hoặc gộp lại với nhau trước khi cho phép mỗi người dùng rút cùng số tiền mà họ đã gửi. Bằng cách đó, người dùng sẽ nhận được những đồng tiền “mới” không liên quan đến số tiền họ đã gửi, điều này có thể mang lại cho họ rất nhiều quyền riêng tư trong tương lai.
Hầu hết các máy trộn đều được tập trung, điều hành bởi một tổ chức hoặc doanh nghiệp thu phí cho các dịch vụ nói trên.
Mặt khác, Tornado Cash là một công cụ trộn tiền điện tử được triển khai dưới dạng hợp đồng thông minh trên chuỗi khối Ethereum. Do đó, nó giống với một robot hơn là một thực thể –– nó có thể được coi là phiên bản tự động của một máy trộn tiền điện tử điển hình. Tuy nhiên, nó vẫn hoạt động giống như một máy trộn thông thường. Người dùng gửi tiền điện tử vào hợp đồng Tornado Cash, hợp đồng này sẽ gộp tiền và cho phép rút tiền mà không liên kết với tiền gửi.
Tornado Cash đảm bảo quyền riêng tư và cho phép người dùng rút tiền không cần tin cậy bằng cách tận dụng các kỹ thuật mã hóa mạnh mẽ, với bằng chứng được gọi là đối số kiến thức không tương tác ngắn gọn không có kiến thức (zk-SNARK) là cốt lõi của nó.
Về bản chất, zk-SNARK –– và bằng chứng không có kiến thức nói chung –– cho phép một thực thể chứng minh một tuyên bố về một bí mật mà không tiết lộ bí mật. Trong bối cảnh Tornado Cash, nó cho phép người dùng chứng minh rằng họ có quyền rút một lượng tiền nhất định từ hợp đồng thông minh mà không cần cung cấp thông tin về khoản tiền gửi của họ.
“SNARKs in the context of Tornado Cash allow depositors to move money into the pool and have an off-chain deposit note they can use to withdraw it to any other account,” Michael Lewellen, security solutions architect at smart contract security firm OpenZeppelin, told Bitcoin Magazine. “The fact that the deposit note has zero ties to the deposit account is where the SNARKs are used to ensure privacy.”
Ngoài lợi ích về quyền riêng tư, giấy báo gửi tiền còn mang lại mức độ bảo mật và kiểm soát cao hơn cho người dùng vì nó cho phép họ rút tiền từ máy trộn một cách đáng tin cậy bất kỳ lúc nào. Tính năng này làm cho Tornado Cash giống như một dịch vụ không giám sát, vì những “ghi chú có thể đổi được” này hoạt động như các khóa mật mã mở khóa tiền của người dùng.
Lewellen nói: “Tôi nghĩ vẫn công bằng khi gọi đó là không giam giữ. “Về cơ bản, bạn được cấp một 'bằng chứng' khóa mật mã mới liên quan đến khoản tiền gửi cụ thể mà sau đó tài khoản rút tiền có thể sử dụng để rút tiền.”
Các máy trộn tiền điện tử trong nhiều năm đã là mục tiêu của chính phủ Hoa Kỳ và các cơ quan thực thi. Người ta sẽ nghĩ rằng Tornado Cash, là một đoạn mã sống tự động trên blockchain thay vì một doanh nghiệp do tập trung điều hành, sẽ miễn nhiễm với việc nhắm mục tiêu như vậy. Tuy nhiên, OFAC đã theo sau nó.
Tại sao và làm thế nào OFAC xử phạt Tornado Cash
Ý tưởng rằng Bộ Tài chính Hoa Kỳ có thể xử phạt một công cụ trộn tiền điện tử hợp đồng thông minh như Tornado Cash có vẻ xa vời và kỳ quặc. Tuy nhiên, nó nằm ở điểm giao nhau giữa các lệnh trừng phạt trước đây của bộ đối với các công cụ trộn tiền điện tử (theo lý luận) và địa chỉ blockchain (trong cách tiếp cận).
Lý luận
Việc xử phạt Tornado Cash thể hiện lệnh trừng phạt thứ hai của OFAC đối với máy trộn tiền điện tử. Lần đầu tiên, trên Blender, đã xảy ra vào tháng 5 2022.
OFAC cho biết trong một tuyên bố rằng Tornado Cash “đã được sử dụng để rửa số tiền ảo trị giá hơn 7 tỷ đô la kể từ khi được thành lập vào năm 2019”, nêu bật cáo buộc chuyển hơn 455 triệu đô la bị đánh cắp bởi nhóm hack Lazarus do Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) tài trợ, nhóm này đã đánh cắp hơn XNUMX triệu đô la. đã từng là bị Mỹ trừng phạt năm 2019.
Cụ thể hơn, chi tiết tuyên bố:
“Tornado đang được chỉ định theo EO 13694, đã được sửa đổi, vì đã hỗ trợ, tài trợ hoặc cung cấp hỗ trợ tài chính, vật chất hoặc công nghệ cho hoặc hàng hóa hoặc dịch vụ cho hoặc hỗ trợ cho một hoạt động hỗ trợ mạng bắt nguồn từ hoặc được chỉ đạo bởi những người ở bên ngoài Hoa Kỳ, toàn bộ hoặc một phần đáng kể, có khả năng hợp lý dẫn đến hoặc góp phần vật chất vào mối đe dọa đáng kể đối với an ninh quốc gia, chính sách đối ngoại hoặc sức khỏe kinh tế hoặc ổn định tài chính của Hoa Kỳ các quốc gia và có mục đích hoặc tác động gây ra hành vi chiếm dụng đáng kể các quỹ hoặc nguồn lực kinh tế, bí mật thương mại, thông tin nhận dạng cá nhân hoặc thông tin tài chính vì lợi thế thương mại hoặc cạnh tranh hoặc lợi ích tài chính cá nhân.”
Theo Bộ Tài chính Mỹ trang mạng, Sắc lệnh hành pháp (EO) 13694 tập trung vào những tác hại do “các hoạt động độc hại trên mạng gây ra”, mà nó đánh giá là “bất kỳ hành động nào chủ yếu được thực hiện thông qua hoặc được hỗ trợ bởi máy tính hoặc các thiết bị điện tử khác”. Nó chỉ đạo Bộ trưởng Tài chính áp dụng các biện pháp trừng phạt đối với những người mà họ xác định là phải chịu trách nhiệm hoặc đồng lõa trong các hoạt động dẫn đến những tổn hại đó.
Lệnh trừng phạt của Blender cũng tuân theo EO 13694. Tuy nhiên, tình huống của Tornado Cash đã khiến một số người phải nhướng mày vì có nhiều sắc thái liên quan đến lệnh trừng phạt của nó.
Tornado Cash là một công cụ trộn và Mạng lưới thực thi tội phạm tài chính (FinCEN) coi máy trộn là máy chuyển tiền –– do đó dễ bị ảnh hưởng bởi các quy định và thực thi. Tuy nhiên, đồng thời, Tornado Cash là mã nguồn mở và Hoa Kỳ đã ra phán quyết trong vụ “Bernstein kiện Bộ Tư pháp” vào những năm 1990 rằng mật mã là lời nói. Do đó có nghịch lý.
Đặt nghịch lý và sắc thái pháp lý sang một bên, những điều có thể phải mất nhiều năm để tranh cãi, trên thực tế, OFAC có thể chỉ đơn giản xem xét một công cụ trộn tiền điện tử đang được sử dụng để rửa tiền bất hợp pháp và quyết định trấn áp nó –– bất kể tính chất phân tán của công cụ này.
Cách tiếp cận
Mặc dù danh sách SDN của OFAC thường không được sử dụng cho các cá nhân hoặc tổ chức, Bộ Tài chính, kể từ năm 2018, đã tuyên bố rằng họ có thể và sẽ thêm địa chỉ tiền điện tử vào danh sách vì thấy cần thiết để bảo vệ lợi ích an ninh quốc gia của Hoa Kỳ.
“Để tăng cường nỗ lực của chúng tôi nhằm chống lại việc sử dụng bất hợp pháp các giao dịch tiền kỹ thuật số theo cơ quan có thẩm quyền hiện tại của chúng tôi, OFAC có thể bao gồm các số nhận dạng trên Danh sách SDN, các địa chỉ tiền kỹ thuật số cụ thể được liên kết với những người bị chặn,” theo Trang web của Bộ Tài chính. “OFAC có thể thêm địa chỉ tiền kỹ thuật số vào Danh sách SDN để cảnh báo công chúng về số nhận dạng tiền kỹ thuật số cụ thể được liên kết với một người bị chặn.”
Ngược lại, và đây là sự thật phũ phàng, bản chất minh bạch của chuỗi khối rộng hơn cùng với các đặc điểm cụ thể của chuỗi khối Ethereum đã tạo điều kiện cho Bộ Tài chính mở rộng quá mức quyền hạn của mình và trộn lẫn lý luận và cách tiếp cận để thêm Tornado Cash vào danh sách SDN.
Ethereum tận dụng mô hình dựa trên tài khoản. Theo nền tảng Ethereum, một tài khoản “là một thực thể có số dư ether (ETH) có thể gửi giao dịch trên Ethereum” và nó có thể do người dùng kiểm soát hoặc hợp đồng thông minh. Tài khoản có thể nhận, giữ và gửi ETH và mã thông báo trên chuỗi khối Ethereum cũng như tương tác với các hợp đồng thông minh.
Theo mặc định, các hợp đồng thông minh được triển khai trên Ethereum có một địa chỉ cố định mà các tài khoản khác thuộc sở hữu của người dùng hoặc các hợp đồng khác có thể tương tác. Do đó, vì OFAC có thể xử phạt các địa chỉ blockchain thông qua danh sách SDN của mình nên việc cơ quan thực thi xử phạt Tornado Cash là chuyện nhỏ.
So, is it then just a matter of time until OFAC or similar organizations begin coming after tools in Bitcoin đất?
Can OFAC Sanction Bitcoin And Its Tools?
Được cho là có rất ít giới hạn đối với những gì các cơ quan thực thi như OFAC có thể làm để đạt được mục tiêu của họ, bằng chứng là vụ Tornado Cash. Nhưng nhiều công cụ phi tập trung ngay từ đầu đã được xây dựng để đáp ứng sự kiểm soát bao quát của nhà nước và được thiết kế để ngăn chặn những hành động như vậy.
Có nghĩa là Bitcoin is immune to the threats that the Ethereum ecosystem is currently facing? Not necessarily.
As explained above, and judging by the Treasury Department’s statements and guidelines, OFAC’s sanction on Tornado Cash appears to have been a coupling of two of the agency’s practices: the goal of cracking down on virtual currency mixers facilitating money laundering and its ability to add blockchain addresses to its SDN list. Bitcoin is well positioned to mitigate against the former, and while the latter poses a real threat, this is where Nakamoto’s design proves more resilient. Here’s why.
CoinJoins không phải là máy trộn
Bitcoin privacy tools, namely CoinJoins, are also leveraged by criminals to launder money –– which also puts them on the radar of regulators.
Earlier this year, the U.K.’s National Crime Agency (NCA) called for the regulation of Bitcoin CoinJoins, erroneously calling them “decentralized mixers” and citing Samourai and Wasabi wallets as two well-known mixers, per a report by the Thời báo Tài chính. The agency claimed that such tools allow users to disguise transactions that are otherwise traceable on blockchains.
“NCA cho biết quy định sẽ buộc các nhà trộn tiền phải tuân thủ luật rửa tiền, với nghĩa vụ thực hiện kiểm tra khách hàng và kiểm tra các loại tiền tệ đi qua nền tảng,” theo báo cáo.
Như đã nhấn mạnh trong phần tiếp theo của Samourai Wallet blog đăng bài, cần có sự phân biệt rõ ràng giữa máy trộn và CoinJoin vì chúng là những công cụ khác nhau.
While a mixer functions in the typical deposit–pool–withdraw format, a CoinJoin is nothing more than a Bitcoin transaction. It differs from typical Bitcoin transactions because CoinJoins are really large ones with a specific format, but software like Samourai and Wasabi enable only the coordination of users to form that same transaction. In other words, there is no deposit, pooling or withdrawal of funds.
Trên thực tế, cơ quan thực thi pháp luật nổi tiếng nhất của EU, Europol, đã phân biệt rõ ràng giữa máy trộn và CoinJoins. Trong hai báo cáo Đánh giá mối đe dọa tội phạm có tổ chức trên Internet (IOCTA) mới nhất, sản phẩm chiến lược hàng đầu của Europol cung cấp đánh giá tập trung vào thực thi pháp luật về các mối đe dọa và sự phát triển đang gia tăng trong lĩnh vực tội phạm mạng, cơ quan này đã không gộp các máy trộn và CoinJoins vào cùng một giỏ.
“Criminals are increasingly converting their illicit earnings made in Bitcoin using cryptocurrency obfuscation methods like swapping services, mixers and coinjoins,” it said in its Báo cáo IOCTA 2021. “...In the last few years, many different obfuscation methods have gained popularity, such as mixers, CoinJoin, swapping, crypto debit cards, Bitcoin ATMs, local trade and more.”
Hơn nữa, trong một Báo cáo năm 2020 về Wasabi, Europol stated that “users who download the wallet store all bitcoins locally,” which “means that the AML legislation including Europe’s latest AMLD5 (the 5th anti-money laundering directive) does not apply to this service.”
Therefore, at the present time, it seems rather unlikely that the Treasury Department or other enforcement agencies would crack down on Bitcoin CoinJoins as cryptocurrency mixers and add them to the OFAC SDN list. But let’s entertain the possibility that said agencies choose to do so.
The Theoretical Sanctioning Of Bitcoin CoinJoins And Its Possible Ramifications
Giả sử rằng các cơ quan thực thi có thể mở rộng quyền hạn để phù hợp với nhu cầu của họ, CoinJoins có thể gặp phải các mối đe dọa xử phạt. Nhưng làm thế nào điều đó có thể được thực hiện? Mặc dù không có câu trả lời rõ ràng cho câu hỏi đó, nhưng một số tình huống có thể xảy ra đã xuất hiện.
The first natural scenario is an enforcement agency banning CoinJoins altogether. However unlikely, and while it would actually mean banning multiple-party Bitcoin transactions, such an action can in theory still be done. This threat, however, is sentient and the same threat that existed –– and arguably still exists –– for Bitcoin ở mức lớn.
Có lẽ một kịch bản thực tế hơn sẽ là việc xử phạt CoinJoins điều phối viên thay vì. Mặc dù điều này không thể áp dụng cho JoinMarket một cách đơn giản, dựa trên cấu trúc của người tạo và người nhận, trong trường hợp của Samourai và Wasabi, có những điều phối viên trung tâm tạo điều kiện thuận lợi cho giao dịch CoinJoin được thực hiện giữa các bên giao dịch. (Loại xử phạt này vẫn khó có khả năng xảy ra dựa trên cấu trúc của CoinJoins và bằng chứng là tuyên bố của Europol nói rằng các quy tắc AML không áp dụng cho các công cụ này. Tuy nhiên, một lần nữa, hãy giả sử điều ngược lại.)
Về mặt lý thuyết, hành động xử phạt của các điều phối viên có thể tương tự như việc xử phạt Tornado Cash, nhưng trên thực tế nó rất khác.
While OFAC, for instance, could simply add a CoinJoin’s coordinator to its SDN list, there is no single blockchain address it could use to represent that coordinator. As a gift from Bitcoin’s unspent transaction output (UTXO) model, coordinators change their address each round. This means that with Bitcoin CoinJoins there is no single point of contact to the Bitcoin blockchain and therefore this poses a key difference to Tornado Cash’s smart contract structure based on Ethereum’s account based system.
In practice, OFAC would need to continuously analyze the blockchain to spot Bitcoin CoinJoins and retroactively add addresses to the SDN list. (There is one aspect that washes OFAC’s hands in this case –– it makes it clear that the SDN list is not exhaustive, meaning that if an address that’s not listed is found to belong to an entity that is on the list, the sanction would still apply.)
Beyond the retroactive enforcement of such rules, the enforcement body would also need to know the identities of the Bitcoin users leveraging the services. While it is true that Bitcoin transactions and addresses aren’t anonymous, Bitcoin’s UTXO model increases robustness and resilience against this as well and most of the chain analysis work relies on (sometimes educated) guesses. This would be truly effective only if the addresses going in are either publicly known (for example from known hacks or hackers) or KYC’d (known to exchanges and therefore law enforcement).
Tuy nhiên, thực tế là không có cách trực tiếp hoặc đáng tin cậy nào để biết điều phối viên nào đã được sử dụng trong một vòng CoinJoin nhất định đặt ra nhiều thách thức hơn nữa. Mặc dù thường có thể hợp lý khi cho rằng điều phối viên mặc định đã được sử dụng trong một vòng, nhưng tuyên bố như vậy không thể được sử dụng một cách đáng tin cậy đối với người dùng vì không có gì ngăn cản người dùng tạo và sử dụng các điều phối viên khác nhau, với trở ngại duy nhất là tính thanh khoản –– điều này có thể giải quyết được theo thời gian.
Nếu luật pháp thay đổi và quyết định CoinJoins phải tuân theo các quy tắc tương tự như máy trộn bất chấp sự khác biệt nổi bật của chúng và các hành động trên của các cơ quan thực thi hóa ra lại thành công –– hoặc ít nhất là đủ hiệu quả –– vẫn còn một số con đường không độc quyền có thể xảy ra có khả năng mang lại một kết quả khác với những gì Tornado Cash đang phải đối mặt.
Đầu tiên, các thực thể kinh doanh điều hành các điều phối viên có thể cố gắng ngăn chặn các khoản tiền bất hợp pháp được đưa vào CoinJoined. Ví Wasabi đang tìm kiếm hiện thực như vậy với điều phối viên zkSNACKs của mình, theo một thông báo từ đầu năm nay. Không rõ liệu Wasabi đã triển khai tính năng này hay chưa. (Tuy nhiên, đây là một con đường phức tạp và hầu như không tích cực đối với toàn bộ hệ sinh thái vì nó cho phép vi phạm quy định đối với các công cụ không phải là công cụ chuyển tiền và những công cụ mà cơ quan quản lý và thực thi hiện tại nhận ra là không phải tuân theo các quy tắc AML.)
Tùy chọn thứ hai –– và được cho là tốt hơn –– sẽ tận dụng các công cụ CoinJoin phi tập trung hơn nữa như JoinMarket. Mặc dù đây không phải là một cách triển khai hoàn hảo, như Shinobi đã nhấn mạnh trong bài viết này, JoinMarket presents a great option for Bitcoin users to embark on CoinJoins in a catastrophic scenario such as the above. It is even more resilient than centrally-coordinated CoinJoins, meaning it would amplify all the enforcement challenges posed by the likes of Samourai and Wasabi, and spotting JoinMarket CoinJoin transactions on-chain is in and of itself already more challenging and can lead to false positives.
Ở một lưu ý khác, lệnh trừng phạt của OFAC đối với Tornado Cash cũng tạo ra thêm nhiều vấn đề trong hiệu ứng của xếp chồng lên nhau that are worth considering when it comes to potential sanctions on Bitcoin. One of the contributors to the Tornado Cash open-source code đã bị bắt sau khi xử phạt; Tài khoản GitHub của Tornado Cash và một số nhà phát triển của nó đã ngừng hoạt động; và trang web Tornado Cash đã bị gỡ xuống.
It isn’t yet clear why the developer was arrested, but Bitcoin Magazine contacted GitHub to learn more about the accounts shutdown.
“Trade laws require GitHub to restrict users and customers identified as Specially Designated Nationals (SDNs) or other denied or blocked parties, or that may be using GitHub on behalf of blocked parties,” a GitHub spokesperson told Bitcoin Magazine. “At the same time, GitHub’s vision is to be the global platform for developer collaboration. We examine government sanctions thoroughly to be certain that users and customers are not impacted beyond what is required by law.”
Bitcoin Magazine inquired further but received the same response as above.
Therefore it is clear that Bitcoin, and any open-source project for that matter, may suffer from the same GitHub accounts shutdown in the event of an OFAC sanction. However, as highlighted by the community in forums and Twitter, some options also exist to mitigate this threat such as self-hosted GitLab instances.
Still, another difference between Bitcoin and Ethereum also plays a role here. While in the ecosystem of the latter centralized tools play a bigger role in its decentralized offerings –– for example Infura, which powers most of the Ethereum apps, wallets and services and dễ bị trừng phạt và kiểm duyệt –– quốc gia đầu tiên có vị trí tốt hơn để duy trì các mối đe dọa tương tự.
Tóm lại, Bitcoin is arguably the most well-prepared network to withstand nation-state attacks given the intricacies of its design, some of which were explored in-depth in this article. Moreover, challenges to the enforcement of possible sanctions on Bitcoin privacy tools make such an action not only unlikely but seemingly futile to be undertaken as its efficacy might simply not be amplified compared to what is done today regarding money laundering with Bitcoin and CoinJoins. Finally, the unlikelihood of such an event is further exacerbated by the unique characteristics of CoinJoins and the structural differences their implementation poses to mixing.
Cân nhắc cuối cùng
This article mainly focuses on the probable reasoning behind OFAC’s sanction on Tornado Cash to imagine how such a sanction could be ported onto Bitcoin and its tools. But it wouldn’t be fair to leave out a commentary on what has likely been an overextension of regulatory oversight.
As highlighted by several industry players and businesses, the sanction of open-source code might be an infringement on the Constitutional First Amendment, which protects freedom of speech, and, as mentioned previously, code has been established as speech under U.S. law. Moreover, any attack on open-source code is an attack on Bitcoin.
Ngoài ra, việc xử phạt Tornado Cash hoàn toàn có tác động tiêu cực đối với những công dân tuân thủ pháp luật đã tận dụng công cụ này để bảo vệ lợi ích riêng tư hợp pháp của họ, chẳng hạn như giải thích bởi Seth Hertlein, người đứng đầu chính sách toàn cầu tại nhà sản xuất ví phần cứng Ledger.
Nhìn chung, như đã đề cập, mặc dù các cơ quan quản lý không nên mở rộng quá mức thẩm quyền theo luật định của mình nhưng việc kiện tụng có thể mất nhiều năm. Hơn nữa, do pháp luật phụ thuộc vào quyền tài phán nên việc hợp pháp hay bất hợp pháp là chủ quan về mặt địa lý. Do đó, các hệ thống phi tập trung nên được thiết kế ngay từ đầu để chống lại sự truy bắt hoặc tiếp cận quá mức với các mạng không thể ngăn chặn, không thể kiểm duyệt.
Nguồn chính thức: Bitcoin Tạp chí