Η υπόθεση του Tornado Cash
Η είδηση
Στις 8 Αυγούστου, το US Treasury επέβαλε κυρώσεις σε μία υπηρεσία που ονομάζεται Tornado Cash: U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash.
WASHINGTON – Today, the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) sanctioned virtual currency mixer Tornado Cash, which has been used to launder more than $7 billion worth of virtual currency since its creation in 2019. This includes over $455 million stolen by the Lazarus Group, a Democratic People’s Republic of Korea (DPRK) state-sponsored hacking group that was sanctioned by the U.S. in 2019, in the largest known virtual currency heist to date. Tornado Cash was subsequently used to launder more than $96 million of malicious cyber actors’ funds derived from the June 24, 2022 Harmony Bridge Heist, and at least $7.8 million from the August 2, 2022 Nomad Heist.
Πως λειτουργεί το Tornado Cash
Το Tornado Cash είναι μία υπηρεσία που λειτουργεί ως εξής:
Ο χρήστης καταθέτει ένα προκαθορισμένο ποσό στο smart contract του tornato (τα επιτρεπόμενα ποσά είναι 0.1, 1.0, 10 ή 100 ETH) και λαμβάνει μία κρυπτογραφημένη απόδειξη που περιλαμβάνει μόνο το ποσό (όχι ποιος το κατέθεσε).
Την απόδειξη αυτή μπορεί να την χρησιμοποιήσει (ο ίδιος ή και κάποιος άλλος στον οποίο την έχει δώσει) για να κάνει ανάληψη του ποσού σε οποιοδήποτε Ethereum wallet θέλει.
Για όποιον παρατηρεί την υπηρεσία, αυτό που βλέπει είναι ποιες διευθύνσεις Ethereum κατέθεσαν ποια ποσά και ποιες έκαναν ανάληψη ποιων ποσών. Δεν υπάρχει τρόπος να συνδέσει κανείς την διεύθυνση που κάνει ανάληψη με την διεύθυνση που κάνει κατάθεση. Για παράδειγμα, σε έναν τρίτο παρατηρητή, μία διεύθυνση στο Ethereum που δεν είχε ποτέ καμία κίνηση, εμφανίζεται να λαμβάνει από το Tornado Cash 1 ETH και δεν υπάρχει κανένας τρόπος να γνωρίζει κανείς ποιος το έστειλε.
(Αυτός είναι και ο λόγος που τα ποσά είναι προκαθορισμένα, γιατί αλλιώς θα μπορούσα να παρατηρήσω ότι ο Α κατέθεσε 0.956789 ETH και ο B έλαβε 0.956789 ETH και να κάνω τον συσχετισμό.)
Γιατί να υπάρχει μία τέτοια υπηρεσία;
Όχι, υπηρεσίες σαν το Tornado Cash (mixers) δεν εξυπηρετούν μόνο εγκληματίες που θέλουν να ξεπλύνουν χρήματα από παράνομες δραστηριότητες. Και τα στοιχεία δείχνουν ότι τα ποσά που προέρχονται από εγκληματικές δραστηριότητες είναι η μειοψηφία.
Για να καταλάβει κανείς τον λόγο ύπαρξης τέτοιων υπηρεσιών, πρέπει να έχει κατά νου ότι οποιαδήποτε συναλλαγή στο blockchain είναι δημόσια. Για παράδειγμα, μπορώ να πάω στο https://etherscan.io/address/0xd8da6bf26964af9d7eed9e03e53415d37aa96045 που δείχνει τα transactions του wallet του Vitalik Buterin (co-founder του Ethereum). Να δω τι κεφάλαια έχει, τι NFTs, τι αγόρασε, που έστειλε χρήματα. Και το ίδιο ισχύει για τον καθένα, αρκεί να ξέρω την διεύθυνσή του. Το ισοδύναμο στον κόσμο του fiat θα ήταν να μπορεί ο οποιοσδήποτε να δει σε πραγματικό χρόνο όλες τις τραπεζικές συναλλαγές που γίνονται στον κόσμο.
Δεν είναι λοιπόν καθόλου παράλογο, οι χρήστες να αναζητούν τρόπους να αποσυνδέσουν την φυσική τους ταυτότητα από το wallet τους. Ορισμένες περιπτώσεις που άκουσα πρόσφατα:
Κάποιος που θέλει να κάνει donation για έναν σκοπό, ο οποίος θα τον έβαζε σε κίνδυνο, όπως να υποστηρίξει την Ουκρανία ενώ ζει σε μία χώρα που έχει ισχυρούς δεσμούς με την Ρωσία (ή επισκέπτεται συχνά μία τέτοια χώρα), ή κάποια οργάνωση που ασχολείται με τις δολοφονίες των μουσουλμάνων στην Κίνα.
Κάποιος που είναι πολύ γνωστός στον χώρο του crypto και δεν θέλει οι πειραματισμοί ή οι χαζομάρες του να εκλαμβάνονται ως “σήμα” από την αγορά: ο Χ αγόρασε το τάδε NFT, ο Ψ πούλησε όλα τα UNI tokens που είχε κ.λ.
Κάποιος που πληρώνεται μέσω blockchain αλλά δεν θέλει ο εργοδότης του (που γνωρίζει το wallet στο οποίο στέλνει τον μισθό), να ξέρει πως ξοδεύει τα χρήματά του ή πόσα χρήματα έχει ή αν έχει δάνεια.
Μπορεί να διαφωνεί κανείς, αλλά για ένας χρήστης που πιστεύει πως στο μέλλον τα πάντα θα γίνονται μέσω blockchain είναι φυσικό να θέλει οι συναλλαγές του (σε ποιο εστιατόριο πλήρωσε χθες και τι ώρα, το αν έχει πληρώσει ένα ξενοδοχείο στις Μπαχάμες) και η περιουσιακή του κατάσταση να μην είναι δημόσια.
Η λίστα κυρώσεων OFAC
Το Office of Foreign Assets Control (OFAC) διατηρεί λίστες με πρόσωπα, επιχειρήσεις που ελέγχονται ή ενεργούν για λογαριασμό χωρών στις οποίες έχουν επιβληθεί κυρώσεις, αλλά περιλαμβάνει και άλλες οντότητες όπως “τρομοκράτες, έμνπορους ναρκωτικών”.
Χωρίς να είμαι νομικός, αυτό που έχω καταλάβει είναι πως από την στιγμή που κάποιος μπει σε αυτή την λίστα, τράπεζες, υπηρεσίες και εταιρείες είναι υποχρεωμένες να τον αποκλείσουν -για παράδειγμα να παγώσουν τα κεφαλαία του, και να σταματήσουν να συναλλάσσονται ή να κάνουν δουλειές μαζί του. Και την λίστα αυτή σέβονται ή είναι υποχρεωμένα να σεβαστούν μέσα από διακρατικές συνθήκες και πολλά άλλα κράτη.
Επίσης, αυτόματα ή λιγότερο αυτόματα, όποιος συναλλάσσεται με κάποιον που είναι στην λίστα αυτή, μπαίνει στο στόχαστρο του OFAC.
Οι επιπτώσεις της απόφασης
Η απόφαση για το Tornado Cash είχε μία σειρά από αναμενόμενες κι όχι τόσο αναμενόμενες παρενέργειες.
Το website του tornado στάματησε να λειτουργεί αφού ο registrar απενεργοποίησε το domain tornado.cash.
Το GitHub έκλεισε τα accounts των developers που είχαν κάνει contributions στο Tornado Cash.
Οι χρήστες που είχαν καταθέσει ETH στο tornado πριν την απόφαση, μπορούσαν μεν να τα βγάλουν από αυτό (τεχνικά το smart contract συνεχίζει να δουλεύει) αλλά η διεύθυνση στην οποία θα καταλήξουν αυτόματα θα είναι “μολυσμένη” αφού έχει λάβει funds από μία υπηρεσία που είναι στην λίστα του OFAC.
Το αποκαλούμενο “Dust Attack”: Κάποιος χρήστης, για να αναδείξει το πρόβλημα, φρόντισε να στείλει από το tornado 0.01E στα wallets πολλών γνωστών προσώπων στον χώρο του crypto, “μολύνοντάς” τα.
Η Circle που εκδίδει/ελέγχει το stable coin USDC και είναι αμερικανική εταιρεία, “πάγωσε” τα USDC που είναι στο tornado. (Αν αυτό ακούγεται περίεργο, δες την ενότητα “Ένα token είναι πάντα μέσα σε ένα smart contract” στο άρθρο Tokens, tokens, όλα είναι tokens). Αντίθετα το USDT, ανακοίνωσε ότι δεν θα λάβει μέτρα
Πολλά “θύματα” του Dust Attack είδαν πως τα websites (όχι τα smart contracts) διαφόρων DeFi υπηρεσιών, τους είχαν μπλοκάρει (“DeFi Web Apps Block Users Hit by Tornado Cash ‘Dust Attack’”)
Το DEX dYdX μπλόκαρε χρήστες που τα wallets τους είχαν συναλλαγές με το Tornado Cash.
Κάποιοι άρχισαν να κάνουν σενάρια για το πως θα μπορούσε κάποιος να χρησιμοποιήσει ένα Dust Attack π.χ. για να εποφεληθεί σε ένα auction (μπλοκάροντας πρακτικά τα funds των ανταγωνιστών του) ή να προκαλέσει ρευστοποίηση κάποιας ανοικτής θέσης (long/short).
Το λεγόμενο Chilling Effect, με την δημιουργία της αίσθησης στους developers, ότι “καλύτερα να ασχοληθούμε με κάτι άλλο, γιατί εδώ μπορεί να μπλέξουμε”, μία έμμεση μορφή λογοκρισίας δηλαδή.
Καμπανάκι / Wake up call
Το γεγονός των κυρώσεων και όλα όσα ακολούθησαν μπορεί ήταν ένα καμπανάκι για την κοινότητα του Ethereum (κι όχι μόνο).
Με δεδομένο ότι τεχνικά είναι δυνατόν να έχουμε ιδιωτικότητα και ανωνυμία στο blockchain, η κοινότητα άρχισε να επανεξετάζει τα αδύνατα σημεία, που είναι τα σημεία “συγκέντρωσης” στα οποία θα μπορούσε ένα κράτος ή κάποιος άλλος ισχυρός οργανισμός να “επιτεθεί”, τα λεγόμενα “centralisation vectors”.
Για παράδειγμα:
Πως μπορούμε να έχουμε sites που δεν μπορούν να “κοπούν” από το Internet (π.χ. με την χρήση ENS domains και IPFS);
Αν ένα πρωτόκολλο ελέγχεται από ένα DAO, θα μπορούσε κάποια κυβέρνηση να κινηθεί εναντίον του και να το υποχρεώσει να κάνει κάτι; Τι μπορεί να γίνει για να αντιμετωπιστεί κάτι τέτοιο;
Μπορούν να ενσωματωθούν χαρακτηριστικά ιδιωτικότητας και ανωνυμίας στο ίδιο το Ethereum protocol; (Ο Vitalik έχει πει πως κάτι τέτοιο είναι στα σχέδια των developers.)
Επίσης, ανανεώθηκε το ενδιαφέρον για τεχνολογίες layer2 (χονδρικά, ένα Layer2 ή L2, είναι ένα blockchain που τρέχει “πάνω” στο Ethereum) όπως το aztec.network και την φημολογούμενη μεταφορά ή υποστήριξη του ZCASH στο Ethereum, που έχουν αυτά τα χαρακτηριστικά.
Ενδιαφέρον έχει επίσης η στάση της Coinbase. που χρηματοδοτεί ομαδική αγωγή εναντίον του Department of Treasury, αλλά και η απάντηση του CEO της ότι θα ήταν διατεθημένος να κλέισει την υπηρεσία Ethereum staking που προσφέρουν αν κάποιος regulator τους ανάγκαζε να λογοκρίνουν τα transactions.
Κλείνοντας
Ε, όχι, το θέμα αυτό δεν κλείνει. Είναι ίσως το σημαντικότερο και κρισιμότερο θέμα στον χώρο του crypto και του web3 και θα μας απασχολεί για πολλά χρόνια.