Acum că autoritățile au închis Tornado Cash, este Bitcoin următorul?

În ciuda faptului că este o versiune automată, descentralizată a unui mixer tipic de criptomonede, TornadoCash a fost sancționat de guvernul SUA săptămâna trecută, deoarece Biroul pentru Controlul Activelor Străine (OFAC) al Departamentului Trezoreriei a adăugat adresele Ethereum asociate cu instrumentul pe lista de cetățeni special desemnați și de persoane blocate (SDN).

S-au scris multe despre aspectele juridice ale deplasării Departamentului Trezoreriei. Instead of embarking on –– arguably much needed –– advocacy to dispute the legal grounds of such a move, this article seeks to objectively explore the technical intricacies of Tornado Cash and its sanction, as well as evaluate potential risks that could bleed into Bitcoin in the future.

Cum funcționează Tornado Cash

În esență, un mixer primește depozitele de criptomonede ale utilizatorilor, pe care le adună sau le pune împreună înainte de a permite fiecărui utilizator să retragă aceeași cantitate de monede pe care a depus-o. Procedând astfel, utilizatorii primesc monede „proaspete” care nu au legătură cu cele pe care le-au depus, ceea ce le poate oferi o mare confidențialitate orientată spre viitor.

Majoritatea mixerelor sunt centralizate, conduse de o entitate sau o afacere care percepe taxe pentru serviciile menționate mai sus.

Tornado Cash, pe de altă parte, este un mixer de criptomonede implementat ca un contract inteligent pe blockchain-ul Ethereum. Prin urmare, se aseamănă mai mult cu un robot decât cu o entitate – poate fi considerată ca o versiune automată a unui mixer tipic de criptomonede. Totuși, funcționează ca un mixer obișnuit. Utilizatorii depun criptomonede în contractul Tornado Cash, care pune în comun fondurile și permite retragerile nelegate de depozite.

Tornado Cash asigură confidențialitatea și permite retragerile de încredere ale utilizatorilor prin folosirea unor tehnici de criptare robuste, cu dovezi cunoscute sub numele de argumentul succint non-interactiv al cunoașterii (zk-SNARK) care se află în centrul său.

În esență, zk-SNARK –– și dovezile de zero cunoștințe în general –– permite unei entități să dovedească o declarație despre un secret fără a dezvălui secretul. În contextul Tornado Cash, acesta permite utilizatorului să demonstreze că are dreptul de a retrage o anumită cantitate de monede din contractul inteligent fără a oferi informații despre depozitele lor.

“SNARKs in the context of Tornado Cash allow depositors to move money into the pool and have an off-chain deposit note they can use to withdraw it to any other account,” Michael Lewellen, security solutions architect at smart contract security firm OpenZeppelin, told Bitcoin Magazine. “The fact that the deposit note has zero ties to the deposit account is where the SNARKs are used to ensure privacy.”

Dincolo de beneficiile de confidențialitate, nota de depozit permite, de asemenea, un nivel mai mare de securitate și control pentru utilizator, deoarece îi permite să își retragă fără încredere fondurile din mixer în orice moment. Această caracteristică face ca Tornado Cash să fie asemănător cu un serviciu fără custodie, deoarece aceste „note rambursabile” funcționează ca chei criptografice care deblochează fondurile utilizatorului.

„Cred că este încă corect să-l numim non-custodie”, a spus Lewellen. „În esență, vi se oferă o nouă cheie criptografică „dovadă” legată de acel depozit specific, care poate fi apoi folosită de contul care retrage pentru a scoate banii.”

Mixerele de criptomonede au fost de ani de zile vizate de guvernul SUA și de agențiile sale de aplicare. S-ar putea crede că Tornado Cash, fiind o bucată de cod care trăiește în mod autonom pe un blockchain în loc de o afacere administrată central, ar fi imun la o astfel de direcționare. Totuși, OFAC a venit după el.

De ce și cum a sancționat OFAC Tornado Cash

Ideea că Departamentul Trezoreriei SUA poate sancționa un mixer de criptomonede cu contract inteligent, cum ar fi Tornado Cash, pare deznădăjduită și ciudată. Cu toate acestea, se află la intersecția sancțiunilor anterioare ale departamentului privind mixerele de criptomonede (în raționament) și adresele blockchain (în abordare).

Raționamentul

Sancționarea Tornado Cash reprezintă a doua sancțiune a OFAC asupra unui mixer de criptomonede. Prima, pe Blender, s-a întâmplat în mai 2022.

OFAC a spus într-un declaraţie că Tornado Cash „a fost folosit pentru a spăla monede virtuale în valoare de peste 7 miliarde de dolari de la crearea sa în 2019”, subliniind presupusa canalizare a peste 455 de milioane de dolari furate de grupul de hacking Lazarus, sponsorizat de Republica Populară Democrată Coreea (RPDC), care a fost sancționat de SUA în 2019.

Mai precis, declarația detaliază:

„Tornado este desemnată în conformitate cu EO 13694, cu modificările ulterioare, pentru că a asistat material, a sponsorizat sau a furnizat sprijin financiar, material sau tehnologic pentru, sau bunuri sau servicii pentru sau în sprijinul unei activități cyber-activate care provin din sau dirijate de persoane situate, în întregime sau în parte, în afara Statelor Unite, care este în mod rezonabil probabil să aibă ca rezultat sau a contribuit în mod semnificativ la o amenințare semnificativă la adresa securității naționale, a politicii externe sau a sănătății economice sau a stabilității financiare a Statelor Unite. State și care are scopul sau efectul de a provoca o deturnare semnificativă de fonduri sau resurse economice, secrete comerciale, elemente de identificare personale sau informații financiare în scopul avantajului comercial sau competitiv sau al câștigului financiar privat.”

Potrivit Departamentului de Trezorerie al SUA , Ordin executiv (OE) 13694 se concentrează asupra daunelor cauzate de „activități cibernetice rău intenționate”, pe care le consideră „orice act care este realizat în primul rând prin sau facilitat de computere sau alte dispozitive electronice”. Îl ordonează pe Secretarul Trezoreriei să impună sancțiuni persoanelor pe care le determină a fi responsabile sau complice la activitățile care au dus la aceste prejudicii.

Sancțiunea lui Blender a fost, de asemenea, conform OUG 13694. Situația lui Tornado Cash, totuși, a stârnit unele sprâncene din cauza numeroaselor nuanțe implicate în sancțiunea sa.

Tornado Cash este un mixer, iar Rețeaua de aplicare a infracțiunilor financiare (FinCEN) consideră mixerele ca fiind transmițători de bani –– fiind astfel susceptibil la reglementări și aplicare. În același timp, totuși, Tornado Cash este un cod open-source, iar SUA au decis în „Bernstein împotriva Departamentului de Justiție” în anii 1990 că codul este vorbirea. De aici paradoxul.

Lăsând deoparte paradoxul și nuanțele legale, lucruri care ar putea dura ani de zile să fie contestate, în practică, OFAC ar fi putut pur și simplu să se uite la un mixer de criptomonede care este folosit pentru a spăla fonduri ilegale și a decis să-l pună în aplicare –– indiferent de natura distribuită a instrumentului.

Apropierea

Chiar dacă lista SDN a OFAC este de cele mai multe ori folosită pentru persoane sau entități, Departamentul de Trezorerie a precizat, din 2018, că poate și va adăuga adresele de criptomonede pe listă, așa cum consideră necesar pentru a proteja interesele de securitate națională a SUA.

„Pentru a ne consolida eforturile de combatere a utilizării ilicite a tranzacțiilor în monedă digitală în cadrul autorităților noastre existente, OFAC poate include ca identificatori pe lista SDN adrese specifice de monedă digitală asociate persoanelor blocate”, conform documentului. Site-ul Departamentului Trezoreriei. „OFAC poate adăuga adrese de monedă digitală la Lista SDN pentru a alerta publicul cu privire la identificatorii specifici de monedă digitală asociați cu o persoană blocată.”

În mod contraintuitiv, și iată adevărul greu, natura transparentă a blockchain-urilor în general, împreună cu caracteristicile specifice ale blockchain-ului Ethereum, au facilitat Departamentul de Trezorerie să-și extindă autoritatea și să amestece raționamentul și abordarea pentru a adăuga Tornado Cash pe lista SDN.

Ethereum folosește un model bazat pe conturi. Potrivit fundației Ethereum, un cont „este o entitate cu un sold ether (ETH) care poate trimite tranzacții pe Ethereum” și poate fi fie controlat de utilizator, fie un contract inteligent. Conturile pot primi, deține și trimite ETH și token-uri pe blockchain-ul Ethereum, precum și interacționa cu contractele inteligente.

În mod implicit, contractele inteligente implementate pe Ethereum au o adresă fixă ​​cu care pot interacționa alte conturi, deținute de utilizatori sau alte contracte. Prin urmare, deoarece OFAC poate sancționa adresele blockchain prin lista sa SDN, a fost banal ca organismul de aplicare să sancționeze Tornado Cash.

So, is it then just a matter of time until OFAC or similar organizations begin coming after tools in Bitcoin land?

Există, fără îndoială, o mică limită a ceea ce agențiile de aplicare, cum ar fi OFAC, pot face pentru a-și atinge obiectivele, așa cum demonstrează cazul Tornado Cash. Dar multe instrumente descentralizate au fost construite ca răspuns la controlul general al statului în primul rând și sunt concepute pentru a preveni astfel de acțiuni.

Does that mean Bitcoin is immune to the threats that the Ethereum ecosystem is currently facing? Not necessarily.

As explained above, and judging by the Treasury Department’s statements and guidelines, OFAC’s sanction on Tornado Cash appears to have been a coupling of two of the agency’s practices: the goal of cracking down on virtual currency mixers facilitating money laundering and its ability to add blockchain addresses to its SDN list. Bitcoin is well positioned to mitigate against the former, and while the latter poses a real threat, this is where Nakamoto’s design proves more resilient. Here’s why.

CoinJoins nu sunt mixere

Bitcoin privacy tools, namely CoinJoins, are also leveraged by criminals to launder money –– which also puts them on the radar of regulators.

Earlier this year, the U.K.’s National Crime Agency (NCA) called for the regulation of Bitcoin CoinJoins, erroneously calling them “decentralized mixers” and citing Samourai and Wasabi wallets as two well-known mixers, per a report by the Financial Times. The agency claimed that such tools allow users to disguise transactions that are otherwise traceable on blockchains.

„ANC a spus că reglementarea va forța mixerii să respecte legile privind spălarea banilor, cu obligația de a efectua verificări ale clienților și urmăriri de audit ale monedelor care trec prin platforme”, conform raportului.

După cum s-a subliniat în continuarea Samourai Wallet blog, ar trebui să existe o distincție clară între un mixer și un CoinJoin, deoarece acestea sunt instrumente diferite.

While a mixer functions in the typical deposit–pool–withdraw format, a CoinJoin is nothing more than a Bitcoin transaction. It differs from typical Bitcoin transactions because CoinJoins are really large ones with a specific format, but software like Samourai and Wasabi enable only the coordination of users to form that same transaction. In other words, there is no deposit, pooling or withdrawal of funds.

De fapt, cea mai importantă agenție de aplicare a legii din UE, Europol, face o distincție clară între mixere și CoinJoins. În cele mai recente două rapoarte de Evaluare a Amenințărilor Crimei Organizate pe Internet (IOCTA), produsul strategic emblematic al Europol, care oferă o evaluare centrată pe aplicarea legii a amenințărilor și evoluțiilor în evoluție în domeniul criminalității cibernetice, agenția nu a grupat mixerele și CoinJoins în același coș.

“Criminals are increasingly converting their illicit earnings made in Bitcoin using cryptocurrency obfuscation methods like swapping services, mixers and coinjoins,” it said in its Raport IOCTA 2021. “…In the last few years, many different obfuscation methods have gained popularity, such as mixers, CoinJoin, swapping, crypto debit cards, Bitcoin ATMs, local trade and more.”

Mai mult, într-un Raport 2020 despre Wasabi, Europol stated that “users who download the wallet store all bitcoins locally,” which “means that the AML legislation including Europe’s latest AMLD5 (the 5th anti-money laundering directive) does not apply to this service.”

Therefore, at the present time, it seems rather unlikely that the Treasury Department or other enforcement agencies would crack down on Bitcoin CoinJoins as cryptocurrency mixers and add them to the OFAC SDN list. But let’s entertain the possibility that said agencies choose to do so.

The Theoretical Sanctioning Of Bitcoin CoinJoins And Its Possible Ramifications

Presupunând că agențiile de aplicare a legii își pot extinde autoritatea pentru a se potrivi nevoilor lor, CoinJoins poate fi supus amenințărilor de sancționare. Dar cum s-ar putea face asta? Deși nu există răspunsuri clare la această întrebare, apar unele scenarii posibile.

The first natural scenario is an enforcement agency banning CoinJoins altogether. However unlikely, and while it would actually mean banning multiple-party Bitcoin transactions, such an action can in theory still be done. This threat, however, is sentient and the same threat that existed –– and arguably still exists –– for Bitcoin at large.

Poate că un scenariu mai practic ar fi sancționarea CoinJoins coordonatori in schimb. Deși acest lucru nu este aplicabil pentru JoinMarket într-un mod simplu, având în vedere structura producătorului și primitorului, în cazurile Samourai și Wasabi există coordonatori centrali care facilitează tranzacția CoinJoin care este efectuată între părțile care fac tranzacție. (Acest tip de sancțiune este încă puțin probabil având în vedere structura CoinJoins și așa cum demonstrează declarația Europol care spune că regulile AML nu se aplică acestor instrumente. Dar, din nou, să presupunem contrariul.)

Acțiunea de a sancționa coordonatorii ar putea fi similară cu sancționarea Tornado Cash în teorie, dar este foarte diferită în practică.

While OFAC, for instance, could simply add a CoinJoin’s coordinator to its SDN list, there is no single blockchain address it could use to represent that coordinator. As a gift from Bitcoin’s unspent transaction output (UTXO) model, coordinators change their address each round. This means that with Bitcoin CoinJoins there is no single point of contact to the Bitcoin blockchain and therefore this poses a key difference to Tornado Cash’s smart contract structure based on Ethereum’s account based system.

In practice, OFAC would need to continuously analyze the blockchain to spot Bitcoin CoinJoins and retroactively add addresses to the SDN list. (There is one aspect that washes OFAC’s hands in this case –– it makes it clear that the SDN list is not exhaustive, meaning that if an address that’s not listed is found to belong to an entity that is on the list, the sanction would still apply.)

Beyond the retroactive enforcement of such rules, the enforcement body would also need to know the identities of the Bitcoin users leveraging the services. While it is true that Bitcoin transactions and addresses aren’t anonymous, Bitcoin’s UTXO model increases robustness and resilience against this as well and most of the chain analysis work relies on (sometimes educated) guesses. This would be truly effective only if the addresses going in are either publicly known (for example from known hacks or hackers) or KYC’d (known to exchanges and therefore law enforcement).

Cu toate acestea, faptul că nu există o modalitate directă sau fiabilă de a spune care coordonator a fost utilizat într-o anumită rundă CoinJoin ridică provocări suplimentare. Deși poate fi adesea plauzibil să presupunem că coordonatorul implicit a fost utilizat într-o rundă, o astfel de declarație nu poate fi folosită în mod fiabil împotriva utilizatorilor, deoarece nimic nu îi împiedică pe utilizatori să creeze și să utilizeze diferiți coordonatori, singurul obstacol fiind lichiditatea – care poate fi rezolvată. cu timpul.

Dacă legislația se întoarce și decide că CoinJoins ar trebui să cadă sub aceleași reguli ca și mixerele, în ciuda diferențelor lor izbitoare, iar acțiunile de mai sus ale agențiilor de aplicare se dovedesc a fi de succes – sau cel puțin suficient de eficiente – există încă câteva căi posibile neexclusive. care au potențialul de a produce un rezultat diferit de cel cu care se confruntă Tornado Cash.

În primul rând, entitățile comerciale care conduc coordonatorii ar putea încerca să prevină ca fondurile ilegale să fie CoinJoined. Wasabi Wallet caută o astfel de realitate cu coordonatorul său zkSNACKs, conform unui anunț de la începutul acestui an. Nu este clar dacă Wasabi a implementat încă această caracteristică. (Totuși, aceasta este o cale complicată și cu greu pozitivă pentru ecosistem în ansamblu, deoarece permite o suprareglementare a reglementărilor asupra instrumentelor care nu sunt transmițătoare de bani și despre care autoritățile de reglementare și agențiile de aplicare însele realizează în prezent că nu ar trebui să fie supuse regulilor AML.)

O a doua opțiune – și probabil mai bună – ar fi folosirea unor instrumente CoinJoin și mai descentralizate, cum ar fi JoinMarket. Chiar dacă nu este o implementare perfectă, așa cum a subliniat Shinobi în acest articol, JoinMarket presents a great option for Bitcoin users to embark on CoinJoins in a catastrophic scenario such as the above. It is even more resilient than centrally-coordinated CoinJoins, meaning it would amplify all the enforcement challenges posed by the likes of Samourai and Wasabi, and spotting JoinMarket CoinJoin transactions on-chain is in and of itself already more challenging and can lead to false positives.

Într-o altă notă, sancțiunea OFAC a Tornado Cash a creat și probleme suplimentare în a efect de cascadă that are worth considering when it comes to potential sanctions on Bitcoin. One of the contributors to the Tornado Cash open-source code a fost arestat in urma sanctiunii; Contul GitHub al lui Tornado Cash și al unora dintre dezvoltatorii săi au fost închise; iar site-ul web pentru Tornado Cash a fost eliminat.

It isn’t yet clear why the developer was arrested, but Bitcoin Magazine contacted GitHub to learn more about the accounts shutdown.

“Trade laws require GitHub to restrict users and customers identified as Specially Designated Nationals (SDNs) or other denied or blocked parties, or that may be using GitHub on behalf of blocked parties,” a GitHub spokesperson told Bitcoin Magazine. “At the same time, GitHub’s vision is to be the global platform for developer collaboration. We examine government sanctions thoroughly to be certain that users and customers are not impacted beyond what is required by law.”

Bitcoin Magazine inquired further but received the same response as above.

Therefore it is clear that Bitcoin, and any open-source project for that matter, may suffer from the same GitHub accounts shutdown in the event of an OFAC sanction. However, as highlighted by the community in forums and Twitter, some options also exist to mitigate this threat such as self-hosted GitLab instances.

Still, another difference between Bitcoin and Ethereum also plays a role here. While in the ecosystem of the latter centralized tools play a bigger role in its decentralized offerings –– for example Infura, which powers most of the Ethereum apps, wallets and services and este susceptibil de sancțiuni și cenzură –– prima este mai bine poziționată pentru a susține amenințări similare.

In sum, Bitcoin is arguably the most well-prepared network to withstand nation-state attacks given the intricacies of its design, some of which were explored in-depth in this article. Moreover, challenges to the enforcement of possible sanctions on Bitcoin privacy tools make such an action not only unlikely but seemingly futile to be undertaken as its efficacy might simply not be amplified compared to what is done today regarding money laundering with Bitcoin and CoinJoins. Finally, the unlikelihood of such an event is further exacerbated by the unique characteristics of CoinJoins and the structural differences their implementation poses to mixing.

Considerații finale

This article mainly focuses on the probable reasoning behind OFAC’s sanction on Tornado Cash to imagine how such a sanction could be ported onto Bitcoin and its tools. But it wouldn’t be fair to leave out a commentary on what has likely been an overextension of regulatory oversight.

As highlighted by several industry players and businesses, the sanction of open-source code might be an infringement on the Constitutional First Amendment, which protects freedom of speech, and, as mentioned previously, code has been established as speech under U.S. law. Moreover, any attack on open-source code is an attack on Bitcoin.

În plus, sancționarea Tornado Cash are implicații negative pentru cetățenii care respectă legea care au folosit instrumentul pentru a-și proteja interesele legitime de confidențialitate, deoarece explicat de Seth Hertlein, director global de politici la producătorul de portofele hardware Ledger.

Una peste alta, așa cum sa menționat deja, deși autoritățile de reglementare nu ar trebui să-și extindă prea mult autoritatea statutară, litigiile pot dura ani. În plus, având în vedere că legislația depinde de jurisdicție, ceea ce este legal sau ilegal este subiectiv din punct de vedere geografic. În consecință, sistemele descentralizate ar trebui să fie proiectate de la sol pentru a rezista la captarea sau atingerea excesivă cu rețele de neoprit, necenzurabile.