Sıfır Bilgi Kanıtlarını Kullanan Gizliliği Koruyan Düzenleyici Çözümler: Tam Metin

Editörün notu: Aşağıda “Sıfır Bilgi Kanıtlarını Kullanan Gizlilik Korumalı Düzenleyici Çözümler” makalesinin tam metni bulunmaktadır. İndir PDFveya daha kısa özet blog gönderisini okuyun okuyun.

Giriş

Programlanabilir blok zincirlerinin sunduğu tüm faydalar arasında - diğerleri arasında güvenlik, öngörülebilirlik, birlikte çalışabilirlik ve otonom ekonomiler - bugün itibariyle en yaygın kullanılan blok zincirleri gizlilik sunmuyor. Bu, yaygın olarak benimsenmesinin önündeki önemli bir engel olmaya devam ediyor. Tüm kripto belirteçleri yalnızca - veya hatta temelde - finansal araçlar olmasa ve büyüyen web3 ekosisteminde çeşitli amaçlar için kullanılabilse de, blok zinciri kullanıcıları dijital varlıkları kullanarak blok zincirlerinde birbirleriyle işlem yaparlar. Mevcut blok zincirlerinin çoğunun mevcut mimarileri, güveni artırmak için işlem şeffaflığına dayanır, ancak bu varsayılan şeffaflık ve mahremiyet eksikliği, diğer blok zinciri kullanıcılarının herhangi bir cüzdan sahibinin işlem geçmişini ve varlıklarını görüntülemesine izin vererek tüketicinin zarar görme riskini artırır. Blok zincirlerinin takma ad özelliği, kötü oyunculara karşı temel korumadır, ancak kolayca üstesinden gelinir. Modern blockchain analitiği uygulamaları, kullanıcı etkileşimlerinin buluşsal analizinin bu gizliliği delmek için kullanılabileceğini ve bir cüzdan sahibiyle işlem yapan herkesin tüm finansal profilini etkili bir şekilde görebileceğini göstermiştir. Sonuç olarak, yasa dışı finansal faaliyetlerin izlenmesinde net bir fayda sağlasa da, işlem şeffaflığı, blockchain teknolojilerinin kullanıcılarını dolandırıcılık, sosyal mühendislik ve varlıkların kötü kişiler tarafından çalınmasına ve ayrıca hassas finansal verileri ifşa etmenin neden olduğu başlangıç ​​aşamasındaki zarara karşı özellikle savunmasız hale getirir. üçüncü kişiler.  

Blok zincirlerindeki kamu defterlerinin şeffaf doğası, mali aracılar tarafından tutulan, mali mahremiyete ilişkin yasal haklar ve erişim üzerindeki insan denetimleri ile desteklenen özel defterlerdeki işlemlerin kaydedilmesinden kaynaklanan geleneksel mali sistemin varsayılan mahremiyetiyle taban tabana zıttır. hassas finansal bilgiler. Gerçekten de, ABD mali yaptırım rejiminden sorumlu Hazine Bakanlığı (Hazine) Yabancı Varlıkları Kontrol Ofisi (OFAC) ve ABD kara para aklamayla mücadele düzenlemelerinden sorumlu Mali Suçları Uygulama Ağı (FinCEN) tarafından yayımlanan yönetmelikler ve kılavuzlar ve denetim, yetki veren kanunlarıyla birlikte, geleneksel finansal sistemin doğasında var olan opaklığın ve sağladığı mahremiyetin üstesinden gelmek için şeffaflığı zorlamak üzere tasarlanmıştır. Bu tüzüklerden kaynaklanan kayıt tutma ve raporlama gereklilikleri, mali aracıların kolluk soruşturmalarını desteklemek, terörün finansmanını durdurmak ve ulusal güvenliği ilerletmek için bilgileri tutmasını ve hükümete ifşa etmesini (ayrıca varlıklara erişimi engellemek gibi başka önlemler almasını) gerektirir. politikalar, diğer şeylerin yanı sıra. Daha da önemlisi, bu önlemler istisnalar gizlilik haklarını korumak ve gizlilik hakları ile uygunluk gereklilikleri arasında - kusurlu da olsa - bir dengeyi temsil eder.  

Bu korumaların hiçbiri - ne özel defterlerin doğal opaklığının sağladığı pratik gizlilik korumaları ne de finansal gizlilik haklarının açıkça yasal olarak tanınması - halka açık blok zincirlerindeki kullanıcılarla ilgili değildir. Ayrıca, önlemleri ithal etmeye yönelik girişimler (halk dilinde "müşterinizi tanıyın" veya "KYC" gereklilikleri olarak bilinen müşteri tanımlama ve durum tespiti gibi), ilgi çekici bilgi "bal küpleri" yaratarak takma ad kullanmanın sağladığı minimum gizlilik düzeylerini bile baltalama riski taşır. kötü niyetli saldırılar ve içeriden gelen tehditler. Bu tür bilgilerin tehlikeye atılması, geleneksel finansal sistemde tüketicinin zarar görmesine neden olurken, tam finansal şeffaflığın bir sonucu olarak var olan zaten yüksek olan hırsızlık, dolandırıcılık ve hatta fiziksel zarar riskini tehlikeli bir şekilde şiddetlendirir.   

Esas olarak mahremiyete odaklanan daha yeni, daha dar bir şekilde benimsenen katman-1 blok zincirleri olsa da, doğası gereği özel olmayan blok zincirleri için kullanıcılar, işlem verilerini anonimleştiren bir dizi akıllı sözleşme protokolüne ve katman-2 blok zincirine güvenmek zorundadır. anonimlik elde etmek için sıfır bilgi kanıtları, gizliliği koruyan kriptografik teknikler kullanan. Bu protokoller ve blok zincirleri genellikle ("karıştırıcılar" olarak etiketlenmek de dahil olmak üzere) tamamen hain amaçlara sahip olmakla alay edilirken, hacimlerinin bir kısmının şunlarla bağlantılı olduğu reddedilemez. kesmek ve diğeri yasadışı amaçlar,¹ yasal amaçlar için gizliliği koruyan teknolojiyi geliştirmenin yadsınamaz bir değeri vardır. Aslında, bu tür teknolojiler, yasal tüketicilerin, geleneksel finansal hizmet tüketicilerinin sahip olduklarının ötesinde bir düzeyde finansal mahremiyet ve tüketici korumasından faydalanmalarına izin verebilir. Bununla birlikte, mahremiyeti en üst düzeye çıkaran aynı çözümler, hükümetin soruşturma yürütme, yasa dışı mali faaliyetlerle mücadele etme veya çalınan varlıkları yasa uygulama ve ulusal güvenlik hedefleri doğrultusunda kurtarma becerisini engelleyebilir. Bu, blockchain teknolojisinin bir yandan yasa dışı finansal faaliyetleri tespit etmek, önlemek ve bozmak için uygunluk ile diğer yandan mahremiyet ve tüketicinin korunması arasında zorunlu olarak bir seçim yapmaya zorladığı anlamına mı geliyor?  

Bu makale kesin olarak cevabın hayır olduğunu savunuyor. İnsan kontrollerine dayanan mevcut çerçevelerin aksine, bu gerilimin modern kriptografik teknikler kullanılarak çözülmesi, mutlaka sıfır toplamlı bir oyun değildir. Kullanıcıların mahremiyet ihtiyaçları ile düzenleyicilerin ve kolluk kuvvetlerinin bilgi ve ulusal güvenlik ihtiyaçlarını uzlaştırmak hem mümkün hem de gereklidir. Bu makale, her iki hedef grubuna da ulaşabilen blok zinciri protokollerinde sıfır bilgi kanıtları için potansiyel kullanım durumları önermektedir. İlk olarak, sıfır bilgi kanıtı teknolojisinin temellerini açıklıyoruz, ardından geçerli olabilecek ilgili yasal ve düzenleyici rejimlere genel bir bakış sunuyoruz. Ardından, Tornado Cash'i örnek olarak kullanarak, geliştiricilerin ve politika yapıcıların göz önünde bulundurabilecekleri bir dizi üst düzey çözümü ortaya koyuyoruz.

IBunu yazarken, yazarlar önemli önermeyi onaylıyorlar: “protokolleri değil uygulamaları düzenler".²  Amerika Birleşik Devletleri'nde, uygulama katmanının coğrafi eskrim teknikleri kullanarak yaptırım taraması yapması ve çeşitli önlemlerle kullanıcı erişimini kısıtlaması yaygın bir uygulamadır. Bu kısıtlamalar yararlı olmakla birlikte, arızalara karşı güvenli değildir ve kötü aktörler yine de bu tür kontrolleri atlatabilir. Sonuç olarak, yaptırım uygulanan taraflarca kullanılmaya yatkın olabilecek bazı mahremiyeti koruyan teknolojiler, ulusal güvenlik kaygılarını ele almak için protokol düzeyinde kısıtlamalar eklemeyi seçmiştir. Yazarlar, gizliliği koruyan tüm teknolojilerin aynı kararı vermesi gerektiği görüşünü benimsememektedir; geliştiriciler, yasa dışı aktörler tarafından kullanıma ve potansiyel düzenleyici sorumluluğa karşı koruma sağlamak için protokol düzeyinde kısıtlamalar benimsemek isteyip istemediklerini seçme özgürlüğüne sahip olmalıdır. Korumaları benimsemeyi seçenler için, bu çözümleri daha etkili hale getirebilecek ve aynı zamanda sansür için kullanılma potansiyellerini sınırlayabilecek potansiyel alternatifleri sunuyoruz. 

Olayın Arka Planı

Sıfır Bilgi Kanıtlarını Kullanarak Gizliliğe Ulaşma

Blockchain teknolojisinin, mahremiyet sağlamadan genel kabul görmesi pek olası değildir. Örneğin, finansal altyapı söz konusu olduğunda, blockchain tabanlı ödeme sistemlerinin potansiyel kullanıcıları, maaşları veya tıbbi tedaviler gibi hizmetler için yapılan ödemeler dahil olmak üzere diğer hassas finansal bilgileri herkes tarafından görülebiliyorsa bu sistemleri kullanmak konusunda oldukça isteksiz olabilir. Aynı şey, sosyal ağ hizmetleri, merkezi olmayan borç verme protokolleri, hayırsever platformlar ve kullanıcıların bilgilerinin gizliliğine değer verdiği diğer tüm kullanım durumları için söylenebilir. 

Veriler bu pozisyonu doğruluyor. Zincir üstü gizliliği koruyan hizmetler veya protokoller tarafından alınan 30 günlük hareketli ortalama kripto para piyasası değeri, önceki 52 aya göre yaklaşık %29 artışla 2022 Nisan 200 itibarıyla 12 milyon dolara ulaştı.³  Bağlam açısından, gizliliği koruyan birçok protokol, bir blok zinciri adresinin dijital varlıkları benzer misli varlıklar havuzuna yatırmasını kolaylaştırmak için algoritmik kriptografi kullanır, ardından aynı kullanıcı tarafından kontrol edilen başka bir blok zinciri adresinin bu havuzdan aynı sayıda ve türde varlığı etkili bir şekilde çekmesini sağlar. gözetim zincirini kırmak ve işlemlerin izlenebilirliğini engellemek. Bu protokollerden bazıları ve bazı katman-2 blok zincirleri, hassas kullanıcı bilgilerini zincire ifşa etmeden işlemleri anonimleştirmek için sıfır bilgi kanıtları olarak bilinen algoritmaları kullanır.

Sıfır bilgi kanıtları, halka açık bir blok zincirinde özel işlemlere olanak tanır. Özünde, sıfır bilgi kanıtı, "kanıtlayıcı" olarak adlandırılan bir tarafın, diğer tarafı, "doğrulayıcı" olarak adlandırılan belirli bir ifadenin doğru olduğuna ikna etmesinin ve bu ifadeyi oluşturan temel veriler hakkında hiçbir şey açıklamamasının bir yoludur. doğru. Örneğin, kanıtlayıcı, çözüm hakkında hiçbir şey açıklamadan bir Sudoku bulmacasının çözümünün bilgisini kanıtlayabilir. Daha da ilginci, bir kişi ehliyetinde yazan isim ve doğum tarihini açıklamadan alkol alacak ya da oy kullanacak yaşta olduğunu kanıtlayabilir. (Teknik olarak, devlet imzalı belgelere sahip olduklarını ve bu belgelerdeki doğum tarihlerinin kişinin gerekli yaşını belirlediğini sıfır bilgiyle kanıtlayacaklardı.) Kanıt, doğrulayıcıyı, başka hiçbir şeyi ifşa etmeden, bu gerçeğin doğru olduğuna ikna eder. bilgi.⁴

Sıfır bilgi araçları kullanılarak çeşitli gizlilik mekanizmaları oluşturulabilir. Örneğin, Alice, işlem ayrıntılarını gizli tutan bir hizmete para gönderebilir ve hizmet, Alice'e depozitosu için bir makbuz verir. Hizmet ve halk, Alice'in para gönderdiğini öğrenir. Daha sonra, Alice hizmetten parayı çekmek istediğinde, geçerli bir makbuzu olduğuna ve bu makbuzla ilişkili fonları henüz çekmediğine dair sıfır bilgili bir kanıt oluşturur. Kanıt, Alice'in kimliği hakkında hiçbir şey açıklamaz, ancak hizmeti, bu fonları çekmeye uygun biriyle etkileşim kurduğuna ikna eder. Burada sıfır bilgi kanıtı, hizmeti çekenin kimliğini gizli tutarken para çekme talebinin geçerli olduğuna ikna etmek için kullanılır.  

Kritik olarak, sıfır bilgi kanıtları, tüm temel bilgileri ifşa etmeden politika uyumluluğunu değerlendirmek için gerekli bilgilerin seçici olarak ifşa edilmesine izin vererek mahremiyeti korur. Sıfır bilgi kanıtları, hiç kimsenin bir işlemi izleyemediği tam gizlilik veya birkaç belirli taraf dışında herkesin gizliliği dahil olmak üzere çeşitli derecelerde gizlilik sağlayabilir. İnsanların güçlü bir mahremiyet korumasına ihtiyaç duymasının bir dizi yasal nedeni olsa da, bu teknolojiler aynı zamanda kötü aktörler için bir mıknatıs olabilir. Gizliliği koruyan protokollerin genel kullanımının 2022'de zirveye ulaşması gibi, yasa dışı kaynaklardan alınan değerin göreli oranı da zirve yaptı ve bu yılın 23. çeyreğine kadar bu tür protokollere gönderilen tüm fonların yaklaşık %2'ünü yasa dışı blockchain adresleri oluşturdu. Bu yasa dışı faaliyetlerin neredeyse tamamı, yaptırım uygulanan kuruluşlardan veya çalınan fonlardan kaynaklanıyordu.⁵  Bu protokoller tarafından kullanılan gizliliği koruyan teknolojiye rağmen, Chainalysis ve TRM Labs gibi blockchain analitik firmaları bazen yasadışı fonları takip etmek etkinliği maskelemek için yeterli hacme sahip olmadıkları veya sahip oldukları hacimlerin yeterince çeşitli olmadığı durumlarda bu protokollerden akar.⁶  Ayrıca, yasa dışı aktörler mahremiyeti koruyan teknolojiden yararlandığında bile, itibari para giriş çıkışları ve çıkış çıkışları çoğu durumda dünya çapındaki büyük finans merkezlerinde ve diğer yargı bölgelerinde finansal kurumlar olarak kabul edildiğinden, varlıklarını zincirden çıkarma konusunda hala zorluklarla karşılaşıyorlar. ve böylece AML/CFT gerekliliklerine tabidir.⁷  Bununla birlikte, bu gerekliliklerin dünya çapında uygulanması ve uygulanması en iyi ihtimalle düzensizdir ve bazı yargı bölgelerinde mevcut değildir, bu da yasa dışı aktörlerin dijital varlıkları fiat para birimi ile takas etmesi için elverişli bir ortam sunar. Sonuç olarak, gizliliği koruyan protokoller meşru kullanıcı bilgilerini gizli tutmak için kritik öneme sahip olsalar da, yasa dışı aktörlerin istismar etmesi için blockchain ekosistemlerinde güvenlik açıkları oluştururlar. Uluslararası yasal ve düzenleyici rejimlere uyum, elbette karmaşıktır, ancak merkezi olmayan blok zinciri protokollerinde sıfır bilgi kanıtlarının standartlaştırılmış ve mevzuata uygun bir şekilde uygulanması, bazı önemli güvenlik açıklarını giderirken aynı zamanda web3 katılımcılarına fayda sağlayabilir. 

Geçerli Düzenleyici Rejimler 

Sıfır bilgi kanıtlarının uyumluluk ve mahremiyet arasındaki bariz ikili tercihin üstesinden nasıl gelebileceğini anlamak, yasa dışı finansal faaliyetlerle mücadele ile ilgili belirli yargı yetkisi düzenleme gerekliliklerinin takdir edilmesini gerektirir. ABD'de mahremiyeti koruyan protokolleri etkileme olasılığı en yüksek olan düzenlemeler iki temel yasal rejime ayrılabilir: (A) yaygın olarak Banka Gizliliği Yasası (BSA) olarak bilinen bir dizi federal yasa ve yönetmelik kapsamında - (i) Müşteri tanımlama programı ve müşteri durum tespiti gereklilikleri (genellikle "Müşterinizi Tanıyın" veya "KYC" standartları olarak anılır) ve (ii) işlem izleme ve diğer kayıt tutma ve raporlama gereksinimleri;⁸ ve (B) Başkanlık savaş zamanı ve ulusal acil durum yetkileri kapsamında - ABD yaptırım programları.⁹  Web3 piyasa katılımcıları, uyumsuzluk nedeniyle herhangi bir uygulama riskini en aza indirmek ve protokollerin ve platformların yasa dışı kullanımına karşı hafifletmek için her iki rejimin yasal gerekliliklerini ele almalıdır. Ayrıca, herhangi bir uyumsuzluk, aşağıdakiler de dahil olmak üzere ciddi sonuçlara yol açabilir: sivil cezalar ve cezai kovuşturma.¹⁰

BSA, belirli finansal kuruluşların ve diğer ilgili kuruluşların bir dizi izleme, kayıt tutma ve raporlama yükümlülüğüne uymasını şart koşar. Bu yükümlülüklerin amacı, kara para aklama, terörün finansmanı ve dolandırıcılık faaliyetlerinin yanı sıra ABD mali sistemine ait ulusal güvenlik ve dış politika amaçları doğrultusunda yaptırım uygulanan taraflara. BSA ve yaptırım rejimleri kapsamındaki tam uyum, düzenleyiciler ve kolluk kuvvetleri için yasa dışı faaliyetin açık ve denetlenebilir bir kağıt izini oluşturur ve bunların başarılı bir şekilde uygulanması için kritik öneme sahiptir.¹¹

BSA kapsamındaki veya yükümlü kuruluşlar, bankalar gibi geleneksel finansal kurumları ve ayrıca para hizmetleri işletmeleri (MSB'ler), diğerleri arasında döviz tüccarları, döviz bozdurucuları ve para göndericileri gibi.¹²  FinCEN ayrıca açıklık Dönüştürülebilir Sanal Para Birimi (CVC) veya para birimi yerine geçen bir değer ihraç eden, yöneten veya takas eden kişi ve kuruluşlar da MSB olarak kabul edilir ve bu nedenle BSA kapsamındaki tüm geçerli uyumluluk yükümlülüklerine tabidir.¹³ Bir karıştırma hizmetinin işleyişine veya iş modeline ilişkin gerçeklere ve koşullara bağlı olarak, bir karıştırıcı bir MSB olarak kabul edilebilir ve BSA'nın kayıt ve uyumluluk gerekliliklerine tabi olabilir. Bunun nedeni, belirli karıştırma hizmetlerinin etkinleştirebilmesidir. para yerine geçen değer platform içindeki cüzdanlardan platformun dışındaki cüzdanlara geçmek için.¹⁴  Buna karşılık, mahremiyeti koruyan merkezi olmayan blok zincirleri muhtemelen para aktarımını içermez. FinCEN'in 2019'da yayınlanan en son kılavuzunda açıkça belirttiği gibi, gözetim dışı, kendi kendini çalıştıran kod veya yazılım tek başına, karıştırma işlevleri gerçekleştiriyor olsa bile, şu anda BSA yükümlülüklerini tetiklemeyecektir:

Anonimleştirici bir yazılım sağlayıcısı, bir para aktarıcısı değildir. FinCEN düzenlemeleri, "bir para gönderici tarafından para aktarım hizmetlerini desteklemek için kullanılan teslimat, iletişim veya ağ erişim hizmetleri" sağlayan kişileri para aktarıcı tanımından muaf tutar. [31 CFR § 1010.100(ff)(5)(ii)]. Bunun nedeni, anonimleştirme yazılımı gibi para aktarımında kullanılabilecek araçların (iletişim, donanım veya yazılım) tedarikçilerinin para aktarımıyla değil ticaretle uğraşmasıdır.¹⁵

Yaptırımlara uygunluk gerekliliklerinin uygulanması biraz daha az açıktır. OFAC tarafından uygulanan yaptırım rejimleri, nerede ikamet ederlerse etsinler, hem bireyler hem de kuruluşlar tüm ABD'li kişiler için geçerlidir ve yaptırım uygulanan tarafların mülklerini içeren işlemleri belirlemelerini, bloke etmelerini ve ayırmalarını gerektirir. OFAC'ın sahip olmasına rağmen belirtilen yaptırım rejimlerinin yazılımların ve gizliliği koruyan teknolojilerin yayınlanması için geçerli olmadığı başına se,¹⁶ Yaptırım uygulanan tarafların bu teknolojileri kötüye kullanmasını önleyecek önlemlerin uygulanmaması – aşağıda daha ayrıntılı olarak tartışıldığı gibi – OFAC'ın bu tür teknolojilerin uygulanabilirliğini baltalayabilecek tepkileri riske atıyor; Tornado Cash davası.¹⁷

KYC Standartları ve İşlem İzleme

İş modelleri şu şekilde olan kişi veya kuruluşlar: MSB olarak sınıflandırılan şirketler, BSA kapsamındaki yükümlülüklerini yerine getirmek için belirli bilgi toplama ve işlem izleme gerekliliklerini yerine getirmelidir. MSB'lerin, hizmetlerini işlem yapmak için kullanan kişilerden, bu tür kişilerin kimliklerini doğrulamak için KYC bilgilerini almaları gerekir.¹⁸  MSB'ler, KYC sürecinin bir parçası olarak en azından bir kullanıcının adını, adresini ve vergi kimlik numarasını almalıdır.¹⁹

Katılım sonrasında, MSB'ler ayrıca platformları aracılığıyla gerçekleştirilen işlemleri izlemeli ve Şüpheli Etkinlik Raporları (SAR'lar) göndererek yasa dışı davranışa işaret edebilecek herhangi bir şüpheli etkinliği bildirmelidir. BSA, MSB'lerin, platformlarındaki bir işlemin yasa dışı faaliyet içerebileceğini bilmeleri veya bundan şüphelenmeleri halinde, söz konusu işlemin toplamda en az 30 ABD Doları transferini içermesi koşuluyla, 2,000 gün içinde bir SAR dosyası oluşturmasını zorunlu kılar. Zamanında bildirimde bulunmayı teşvik etmek için, bir işlemle ilgili olarak bir SAR'ın uygun şekilde doldurulması, MSB'yi söz konusu işlemle ilgili tüm hukuki yükümlülüklerden koruyacaktır.²⁰

BSA, MSB'lere Döviz İşlem Raporlarının (CTR) dosyalanması gibi başka kayıt tutma ve raporlama gereklilikleri de uygularken, bu gereklilik şu anda dijital varlıklar için geçerli değildir ve mevcut amaçlarla doğrudan ilgili değildir.²¹

Yaptırımlar

FinCEN, BSA'yı yönetme, buna bağlı olarak kuralları ilan etme ve BSA'yı ihlal edenlere karşı yaptırım eylemleri başlatma konusunda tam yetkiye sahiptir, ancak OFAC'ın çok daha geniş bir yargı yetkisi vardır. En ekonomik yaptırımlar Uluslararası Olağanüstü Ekonomik Güçler Yasası (IEEPA) ve Ulusal Acil Durumlar Yasası (NEA) ile Başkan'a verilen yetkiden gelir.²² Bu nedenle yaptırımlar, Başkanlık Kararnamesi aracılığıyla çıkarılan savaş zamanı ve ulusal güvenlikle ilgili bir yetkidir. OFAC, ABD'deki tüm mali işlemleri denetler ve ulusal güvenliğe tehdit oluşturan herhangi bir kişi, kuruluş veya ülkeye yaptırım uygulayabilir. Sonuç olarak, MSB'ler ve bankalar gibi BSA ile yükümlü kuruluşlar dahil ancak bunlarla sınırlı olmamak üzere, OFAC tarafından tayin edilen bir kişi veya kuruluşun herhangi bir ABD kişi veya kuruluşu aracılığıyla gerçekleştirilen herhangi bir işlemde veya mülkiyetinde menfaati varsa, ABD'li kişi veya kuruluş (i) yasaklanan işlemi ve belirtilen kişiyle ilgili herhangi bir hesabı veya mülkü bloke etmesi (dondurması) ve/veya (ii) bu tür işlemle bağlantılı olarak alınan herhangi bir parayı ayrılmış, bloke edilmiş bir hesaba yatırması ve ( iii) belirli raporları OFAC'a dosyalayın. Her iki durumda da, hiçbir ABD'li kişi veya kuruluş bu tür bir işlemi işleyebilir ve/veya bu tür fonları serbest bırakabilir OFAC söz konusu kişi veya kuruluşu yaptırımlar listesinden çıkarana, geçerli yaptırım programı iptal edilene veya OFAC bir lisans vererek alıkonulan fonların serbest bırakılmasına açıkça izin verene kadar.²³

Kripto para işlemleriyle ilgili yaptırımlar için, otorite genellikle “e odaklanan EO 13694'ten gelir.önemli kötü amaçlı siber etkin faaliyetler".²⁴  Ekonomik yaptırımları ihlal eden kişiler, hukuki veya cezai yaptırımlarla karşı karşıya kalabilir.²⁵  Yaptırım ihlalleri için idari veya medeni sorumluluk standardının katı sorumluluk olduğu unutulmamalıdır; bu, kişinin bir işlemi göndermekten veya almaktan ya da yaptırım uygulanan bir kişi, kuruluş veya ülke ile ilişkili mülkü bloke etmemekten sorumlu tutulabileceği anlamına gelir. öyle bir niyetin yoksa.²⁶  Bu, finansal veya ticari faaliyetlerde bulunurken fonların kaynağını sorgulamak için etkili bir durum tespiti gerekliliği getirir. Öte yandan, cezai sorumluluk, kasıtlılık göstermeyi gerektirir - yaptırımları ihlal eden kişinin bunu kastettiğini. Yaptırım ihlallerine yönelik cezai kovuşturmalar, Adalet Bakanlığı tarafından IEEPA veya ABD Yasasının 18. Başlığında kodlanan kara para aklama kanunları uyarınca açılır.²⁷  Bununla birlikte, yaptırım yükümlülüğü ve OFAC uyum gereklilikleri ile ilgili önemli çıkarım, bu yükümlülüklerin aşağıdakiler için geçerli olmasıdır: herşey ABD'de bulunan veya ABD'de iş yapan kişi ve kuruluşlar ve kişi veya kuruluşun BSA kapsamında olup olmadığına bağlı değildir.

Yasadışı Finans Riskini Azaltmak için Gizlilik Protokollerini Optimize Etme

Sıfır bilgi kanıtlarının sağladığı gizlilik iyileştirme potansiyeli, yukarıda belirtilen düzenleyici çerçeveyle gergin durumda. Teknolojinin işlem ayrıntılarını koruma yeteneği, BSA gereklilikleri gibi düzenlemelere tam uyum sağlayamayacağı anlamına gelir - ancak akıllı sözleşmelerin ve kodun açıklanan düzenlemeler kapsamındaki gereksinimlere tabi olup olmadığı ve ne ölçüde tabi olduğu açık bir soru olmaya devam etmektedir. Yukarıda bahsedildiği gibi, 2019 kılavuzunda FinCEN, yazılım kodunu BSA'nın kapsamından açıkça muaf tutmaktadır ve bu nedenle, operasyonunun arkasında hiçbir birey veya grup olmayan gerçekten merkezi olmayan bir protokolün toplaması ve saklaması gerekmemektedir - hatta bunu nasıl yapabileceği bile net değildir. Kullanıcılara ilişkin KYC bilgileri veya dosya SAR'ları. Benzer şekilde, herhangi bir yaptırımın uygulanmasını yönetecek olan yetki veren yasalar ve siber güvenlik yürütme emri, “mülkiyet ve mülkiyetteki çıkarlar"Of hedeflenen kişi ve kuruluşlar, bu da yazılım ve bilgisayar kodunun kendisinin yaptırım kapsamı dışında olduğunu öne sürüyor.²⁸  Ve son OFAC'tan rehberlik yazılımın yayınlanmasının kendi başına yaptırıma tabi bir faaliyet olmadığını gösteriyor gibi görünüyor.²⁹  Ancak, OFAC'ın Tornado Cash ile ilişkili belirli akıllı sözleşme adreslerini belirlemesi ışığında, bu sonuç net olmaktan uzaktır.

Bununla birlikte, sıfır bilgi kanıtları, OFAC yaptırımlarının ele almaya çalıştığı ulusal güvenlik risklerinin hafifletilmesi de dahil olmak üzere, mahremiyeti artıran protokoller yoluyla yasa dışı mali faaliyete maruz kalma risklerini ve ekonomik yaptırım yükümlülüğünü azaltmak için tasarlanabilir. Özellikle, mahremiyet odaklı protokollerin bu riskleri etkililiklerini baltalamadan daha iyi yönetmek için uygulayabilecekleri birkaç önlem vardır. Aşağıda, her biri gizliliği koruyan protokol Tornado Cash bağlamında değerlendirilen üç uygulanabilir önlem özetlenmiştir.

Tornado Nakit Örneği

Gizliliği artıran teknolojiler tarafından gündeme getirilen mevcut yaptırım rejimleri kapsamındaki potansiyel sorumluluk arasındaki mevcut ikili seçimi aşmak için sıfır bilgi kanıtlarının potansiyelini göstermenin bir yolu, Kasırga Nakit – yakın zamanda OFAC tarafından onaylanan gizliliği artıran protokol. Tornado Cash, gizliliklerini korumak için kullanıcı varlıklarını anonimleştirmeyi amaçlayan Ethereum blok zincirinde dağıtılan bir protokoldür. Herkes kendi Ethereum adresinden Tornado Cash akıllı sözleşmelerine para gönderebilir ve bu fonlar, sahibi onları çekmeyi seçene kadar sözleşmelerde yatırılmış olarak kalır. Aradan geçen süre (diğer kullanıcıların para yatırdığı ve çektiği süre) Tornado Cash'in gizliliği koruyan özelliklerinin etkinliğini artırabileceğinden veya azaltabileceğinden, tipik olarak kullanıcılar para çekmeden önce birkaç hafta, aylar ve hatta yıllarca beklerler. Geri çekildikten sonra protokol, fonları yeni bir Ethereum adresine aktarmak için sıfır bilgi kanıtı teknolojisini kullandı ve fonların başlangıçta Tornado'ya yatırıldığı adres ile fonların daha sonra Tornado'dan çekildiği yeni adres arasındaki bağlantıyı kopardı.³⁰ Tornado Cash protokolü değişmez, güvenilir ve tam otomatiktir.³¹  Tornado Cash tarafından sağlanan anonimlik, para yatırma ve çekme işlemleri için kullanılan cüzdan adresleri arasındaki bağlantıyı kesmek için hizmeti aynı anda kullanan birden fazla kullanıcıya bağlıydı. Ek olarak, kullanıcılar, yatırılan belirteçlerin sahipliğini kanıtlayan yalnızca kendilerinin gösterebileceği bir sertifika tuttu. Yasadışı karıştırıcı kullanımındaki son artışla tutarlı olarak, Tornado Cash platformu da benzer şekilde ve sıklıkla çalıntı fonları aklamak için kullanıldı. Örneğin Nisan 2022'de Ronin köprüsünün hacklenmesinde köprüden yaklaşık 600 milyon dolar çalındı ​​ve saldırganın sahip olduğu bir Ethereum adresine aktarıldı. Birkaç gün sonra bilgisayar korsanları, çalıntı fonlar Tornado Cash'e.³²  Ağustos ayında 8, 2022, OFAC belirlenmiş, diğer şeylerin yanı sıra, tornado.cash web sitesi ve hizmetle ilişkili birkaç Ethereum adresi; bunların çoğu, tanımlanabilir bir anahtar sahibi olmayan akıllı sözleşme adresleriydi.³³  Atamaya eşlik eden kamu duyurusunda, Hazine, Lazarus Group olarak bilinen Kuzey Kore devlet destekli bilgisayar korsanlığı sendikası tarafından aklanan 7 milyon $ dahil olmak üzere Tornado Cash yoluyla aklanan 455 milyar $'ın üzerinde yasa dışı gelire işaret etti. Uyum Köprüsü³⁴ ve Göçebe Soygunları.³⁵  Kullanıcılar Tornado Cash aracılığıyla önemli miktarda meşru işlem faaliyetinde bulunsa da, yaptırım uygulanmamış kişilerin yatırılan tamamen meşru fonları geri çekmesinin önlenmesi de dahil olmak üzere masum üçüncü taraflar üzerindeki önemli ikincil etkilere rağmen, Hazine protokole ve onun akıllı sözleşmelerine karşı işlem yapma seçimini yaptı. protokolü kullanarak. Bu sorun, Tornado Cash'in adem-i merkeziyetçi ve gözetim dışı doğasından kaynaklanır, bu da faaliyetlerinden sorumlu bir kuruluş veya bireyin tespit edilmesini zorlaştırır. Sonuç olarak, geleneksel yaptırım uygulama tekniklerinin uygulanması ve bu bağlamda mülkiyet haklarının bloke edilmesi teknik yasal güçlükler doğurabilir. Bu tür protokoller bazen yalnızca düzenleyici gereklilikleri atlatmaya yönelik girişimler olarak kullanılsa da, siber güvenlik açısından Tornado Cash'in teknik mimarisi, yetkisiz üçüncü tarafları ve kötü niyetli aktörleri bireylerin hassas bilgilerini elde etmekten caydırmak için gerekli olan güçlü gizliliği koruyan teknolojiyi de temsil edebilir. zincir üzerinde faaliyet gösteren işletmeler. Bu yaklaşım tercih edilir ve daha merkezi gözetim sistemlerinin dayattığı ve kötü niyetli saldırılara ve içeriden gelen tehditlere karşı giderek daha savunmasız olduğu kanıtlanmış olan bilgilere erişimi kısıtlayan geleneksel operasyonel kontrollerden teknolojik olarak çok daha üstün olabilir.

Hazine, OFAC atamasına eşlik eden basın açıklamasında, "[d]kamu güvencelerine rağmen, Tornado Cash, kötü niyetli siber aktörler için para aklamasını durdurmak için tasarlanmış etkili kontrolleri uygulamakta defalarca başarısız oldu. . . ”³⁶  Aslında ve aşağıda daha ayrıntılı olarak açıklandığı gibi, Tornado Cash, platformun yasa dışı finansal faaliyetler için kullanılmasına karşı koruma sağlamak için bazı teknik kontrollere sahipti. Soru şu: Tornado Cash'in uygulayabileceği ve Hazine'yi yaptığı işlemleri yapmamaya ikna edecek sıfır bilgi kanıtlarından yararlananlar gibi daha etkili teknik kontroller var mıydı? Bazıları Tornado Cash'in uyguladığı ve etkinliği artırabilecek diğerleri de dahil olmak üzere bu sıfır bilgi kanıtı çözümlerini ele alalım. Bu yaklaşımların hiçbiri tek başına sihirli değnek olmasa da, birlikte ele alındıklarında yasa dışı finansal faaliyetleri ve yaptırım uygulanan devlet aktörleri tarafından mahremiyet protokollerinin kullanımını tespit etme, caydırma ve kesintiye uğratma yeteneğini geliştirebilirler. Bunlar: (i) para yatırma taraması – engelleme listelerine ve izin verilenler listelerine karşı gelen işlemler yapan cüzdanları kontrol etme; (ii) para çekme taraması – bloke listeleri ve izin verilenler listelerine göre iade edilen fonları talep eden cüzdanları kontrol etme; ve (iii) seçici anonimleştirme - federal düzenleyicilere ve yasa uygulayıcılara işlem bilgilerine erişim sağlayacak bir özellik. 

Mevduat Taraması

Ethereum blok zincirine özgü veya başka bir zincirden ona köprülenen dijital varlıklar, kullanıcı işlemlerinin gizliliğini korumak amacıyla ETH ile takas edilebilir ve Tornado Cash'e yatırılabilir. Tornado Cash, yaptırım uygulanmış kişilerden veya açıklardan yararlanma veya bilgisayar korsanlığıyla bağlantılı cüzdanlardan gelen varlıkların yatırılmasını önlemek için, belirlenmiş adreslerden oluşan bir "engelleme listesine" dayanan para yatırma taramasını kullandı.  Bununla birlikte, bir "izin verilenler listesi"nin ek kullanımı, aşağıda daha ayrıntılı olarak belirtildiği gibi, ulusal güvenlik endişelerini gidermek ve aynı zamanda protokolün yasal kullanıcılarına yönelik riskleri en aza indirmek için kullanılabilir.  

Engellenenler Listesi

Tornado Cash'in para yatırma taraması, ABD hükümeti tarafından yaptırım uygulanan veya başka bir şekilde engellenen adreslerden önerilen para yatırma işlemlerini engelleyerek protokolü kimlerin kullanabileceğini otomatik olarak kısıtlamasını sağladı.. Tornado Cash, bunu bir blockchain analiz firmasının zincir üstü kehanet hizmeti bir adresin şu anda ABD, AB veya BM dahil olmak üzere çeşitli kuruluşların ekonomik veya ticari ambargo listelerinde (veya "engelleme listelerinde") yer alıp almadığını test etmek için³⁷  Tornado Cash'in akıllı sözleşmeleri, Analitik firmasının sözleşmesini “çağırın” havuzlarından birine para kabul etmeden önce.³⁸  Para, analiz firmasının Özel Belirlenmiş Vatandaşlar (SDN) listesinde yer alan bloke edilmiş adreslerden birinden geliyorsa para yatırma talebi başarısız olur. 

Engelleme listelerini kullanarak para yatırma taraması iyi bir ilk adım olsa da, bu mekanizmayla ilgili birkaç pratik sorun vardır. İlk olarak, siber suçlular bir kurbandan fon çaldığında, kurban fonların gittiğini fark etmeden ve kesinlikle bir analiz firması fonları çalıntı olarak veya yazılımlarında SDN listesinde işaretlemeden önce fonları Tornado Cash'e aktarabilirler. . İkincisi, siber suçlunun adresinin Tornado Cash'e para yatırmadan önce SDN listesine eklenmesi durumunda, hırsız parayı basitçe yeni bir adrese aktarabilir ve yeni adresten önce bu yeni adresten hemen Tornado Cash'e para yatırabilir. adresi yaptırımlar listesine eklenir. DPRK'nın Lazarus Grubu gibi sofistike bilgisayar korsanlığı sendikaları, tespit edilmekten kaçınmak için bu teknikleri oldukça etkili bir şekilde kullanıyor. Ancak, blockchain analitik firmaları, yine belirlenmiş gruplar tarafından kontrol edilen, belirlenmemiş cüzdanları belirlemek için değişiklik adresi analizi ve buluşsal yöntemler kullanarak bu sınırlamanın üstesinden gelmeye çalışır.³⁹ Son olarak, bir yaptırımlar listesinde kimin veya neyin olduğu konusunda gerçeğin hakemi olarak bir sivil toplum kuruluşuna güvenmek, tespit edilmesi ve düzeltilmesi zor olan doğruluk sorunlarına yol açabilir. Örneğin, bir analitik firması yanlışlıkla blok listesine bir adres ekleyebilir ve böyle bir adresin sahibinin hatayı düzeltmek için herhangi bir başvurusunun olup olmayacağı açık değildir (kendilerinden şikayette bulunabilen geleneksel finans kurumlarının durumundan farklı olarak). müşteriler). Ayrıca, hangi yaptırımlar listesine ekleneceği sorunu da var, çünkü tüm yaptırımlar, yayınlayan hükümetin politika kararlarını temsil ediyor. 

izin verilenler listesi

Bir analitik firmasının veya devlet kuruluşunun, yasalara uyan kullanıcıları haksız bir şekilde sansürlemek için blok listelemeyi kullanma riskini azaltmak için, gizliliği koruyan protokoller, aynı zamanda cüzdan adreslerinin bir "izin verilenler listesine" dayanan daha sağlam bir para yatırma tarama biçimini dikkate alabilir. mevduat tarama kısıtlamaları geçerli olmayacaktır. Bu izin verilenler listesi, katılım süreçlerinin bir parçası olarak kapsamlı KYC taraması yapan ve böylece bu adresleri taramak için gizliliği koruyan protokolün gerekliliğini ortadan kaldıran Coinbase gibi yasal para rampaları gibi düzenlenmiş finansal aracılarla ilişkili cüzdan adreslerinden oluşacaktır. aşağıda tasvir edilmiştir.

Bu yaklaşım, bir kullanıcının gizliliği koruyan bir protokolde para yatırmasına, yalnızca yatırma adresi (i) ilgili analiz firmasının SDN listesinde (yani, adres değil bir engelleme listesinde) veya (ii) söz konusu fonları düzenlemeye tabi bir finansal aracıdan aldı (yani, adres is izin verilenler listesinde). Bu izin verilenler listesi, protokolü kontrol eden merkezi olmayan otonom kuruluş (DAO) tarafından yönetilebilir ve zaman içinde güncellenebilir veya düzenlemeye tabi finansal aracılarla ilişkili zincir üzerindeki bir adresler kahininden (Chainalysis tarafından işletilen engelleme listesi kehanetine benzer) kaynaklanabilir. Bazı gizliliği koruyan teknolojiler, protokollerini doğrudan denetime tabi finansal aracılarla birleştirerek bu konsepti bir adım daha ileri götürebilir ve kullanıcıların önce fonları ayrı bir cüzdan adresine aktarmaya gerek kalmadan doğrudan bu aracılardan protokole para yatırmasına olanak tanır. 

Mevduat tarama sürecinin bir parçası olarak hem engellenenler listesinin hem de izin verilenler listesinin kullanılmasının, yalnızca engellenenler listesine dayalı bir yaklaşıma göre birkaç belirgin avantajı vardır. İlk olarak, bir blok listesine yanlışlıkla veya kötü niyetle eklenen yasal bir kullanıcı, fonlarını protokole yatırmak için düzenlenmiş bir finansal aracı kullandığı sürece sansürden kaçınabilecektir. Ve yasa dışı aktörlerin çoğu düzenlemeye tabi bir finansal aracı kurumda hesap açamayacakları için, izin verilenler listesinden yararlanamazlar ve sansüre tabi kalmaya devam ederek ulusal güvenlik kaygılarını giderirler. Ek olarak izin verilenler listesi yaklaşımı, düzenlemeye tabi tüm finansal aracıların müşterileri için mahremiyeti iyileştirecek ve sansür korkusu olmadan mahremiyeti koruyan protokollerin avantajlarından yararlanmalarını garanti edecektir.

Nihayetinde, para yatırma taraması, Tornado Cash'in yasaklanmış işlemleri engelleme yükümlülüklerini, MSB olarak kabul edilebilecek ve BSA'ya tabi olabilecek diğer gizlilik hizmeti sağlayıcıları veya yaptırımlarla ilgili bir risk değerlendirmesi gerçekleştirmesi gerekebilecek kişi veya kuruluşlar için kolaylaştıracaktır. ticari faaliyetlerinde, risk değerlendirme amaçları için bu kuruluşların işlem izleme yeteneklerini geliştirmez.⁴⁰  Mevduat taraması iyi bir ilk adımdır, ancak protokolün yasa dışı finansman kullanımını tamamen azaltması olası değildir.   

Para Çekme Taraması

Yukarıda özetlendiği gibi bir izin verilenler listesine dahil olmayan cüzdan adresleri için, para yatırma taramasına yönelik ek bir yaklaşım, para çekme sırasında kehanetleri kontrol etmek ve yaptırım uygulanmış adresler veya yasa dışı faaliyetle ilişkili olarak tanımlanan adresler tarafından önerilen para çekme işlemlerini engellemek olacaktır. Örneğin, yasa dışı bir aktörün, hacklemenin hemen ardından bir adresten Tornado Cash'e para gönderdiğini varsayalım. Para yatırma sırasında, adres izin verilenler listesinde değildir ve çalınan fonlarla veya yaptırım uygulanan kişi veya kuruluşlarla ilişkili olduğu tespit edilmemiştir ve para yatırma işlemi başarıyla tamamlanmıştır. Bununla birlikte, yasa dışı aktör daha sonra fonları çekmeye çalışırsa ve aradaki süre zarfında adres çalıntı fonlarla ilişkilendirilmiş veya bir yaptırım listesindeymiş gibi işaretlenirse, para çekme talebi başarısız olur. Fonlar donmuş durumda kalacak ve hırsız bunları geri alamayacaktır. Bu yaklaşımın birden çok faydası vardır. Birincisi, Tornado Cash protokolü ile hırsızın fonları aklamasını engeller. İkincisi, Tornado Cash'in bir para çekme kontrol noktası uygulaması caydırıcı bir işlev görür ve hain aktörlere, çalınan fonları Tornado Cash'e göndermeleri halinde, bu fonların akıllı sözleşmeler tarafından süresiz olarak dondurulabileceğini ve onların meyvelerine erişmelerini engelleyebileceğini açıklığa kavuşturmalıdır. yasa dışı faaliyet Böyle bir caydırıcılık yalnızca siber suçluları etkiler ve yasalara uyan Tornado Cash kullanıcılarını etkilemez. Gerçekten de, yukarıda tartışılan para yatırma süresi özelliği ve yasa dışı aktörlerin kaynaklarını en etkin şekilde anonimleştirmek için Tornado Cash'te daha uzun süreler boyunca para biriktirme olasılığı göz önüne alındığında, bu para çekme tarama özelliği, Hazine yaptırım listelerini sürekli güncellemek.      

Para çekme taraması, mevduat taraması gibi, mevduat taramasının birçok eksikliğini giderebilse de, gerekli risk değerlendirmelerini ele almak için çok az şey yapar.⁴¹  Buna ek olarak, Tornado Cash'in blockchain analitik firmalarının yaptırım kehanetlerine sadık çalışmasına olan güvenini sürdürecektir. Ayrıca, para yatırma taramasında olduğu gibi, devlet sansürü sorunu da vardır - yalnızca para çekme taraması durumunda, bir hükümetin yaptırımlar listesini kötüye kullanması, kullanıcının fonlarını kaybetmesine neden olabilir. 

Seçici Anonimleştirme

Seçici anonimleştirme, potansiyel düzenleme gerekliliklerini karşılamaya yönelik üçüncü bir yaklaşımdır ve iki şekilde gelir: gönüllü ve gönülsüz. 

Gönüllü Seçici Anonimleştirme

Para yatırma makbuzu işlevi sayesinde Tornado Cash uygulanan yanlışlıkla bir yaptırım listesine eklendiğine inanan bir kişiye, işlemin ayrıntılarını seçilen veya atanmış taraflara anonimleştirme seçeneği sağlayan bir gönüllü seçici anonimleştirme biçimi.⁴²  Bunun yerine benzer bir gönüllü anonimleştirme işlevi, izin verilenler listesinde olmayan cüzdan adreslerinin para çekme taramasıyla birleştirilirse, bir kullanıcı işleminin anonimliğini kaldırmayı seçebilir ve para çekme işlemlerinden sorumlu Tornado sözleşmesi, sonuç olarak mevcut tüm blokajları kaldırabilir. yukarıda açıklanan para çekme tarama süreci. Sonuç olarak, bir kullanıcı parasını alacaktı, ancak para çekme adresi açıkça zincir üzerinde para yatırma adresine bağlı olacağından, kullanıcı Tornado'nun gizliliği koruyan teknolojisinin avantajlarından yararlanamayacaktı. Gönüllü anonimleştirme, Tornado Cash gibi protokollerin para çekme taramasının belirli eksikliklerini gidermesini sağlar (örneğin, masum kullanıcılar fonlarının dondurulma riskiyle karşı karşıya kalmaz), ancak kötü aktörler nedeniyle caydırıcı olarak para çekme taramasının etkinliğini de azaltır. daha sonra işlemlerinin anonimliğini kaldırarak fonlarını Tornado'dan çekebilecekler. Bu senaryoda, yasa dışı kullanıcılar, gizliliği artıran hizmeti kullanmış olmaktan hiçbir şekilde fayda görmeyecektir.

İstemsiz Seçici Anonimleştirme

İstemsiz seçici anonimleştirme, hükümete yasadışı gelirleri izleme ve takip etme yeteneği sağlamak için Tornado Cash'in akıllı sözleşmelerine entegre edilebilecek ek bir önlemdir. BSA gerekliliklerinin gözetim dışı web3 hizmetlerine uygulanabilirliği pek olası olmasa da, blok zinciri protokolleriyle ilişkili izlenebilirlik, yaptırım uygulanan taraflar da dahil olmak üzere daha geniş çapta yasa dışı finansal faaliyetlerin önlenmesine yönelik kilit bir kontrolü temsil eder. İstemsiz seçici anonimleştirme, gizliliği kötü niyetli aktörlere ve yetkisiz üçüncü taraflara karşı korurken yetkili amaçlar için izlenebilirliği sürdürmek için güçlü bir aracı temsil eder. Kilit soru, izlenebilirliğin kilidini açmak için özel anahtarı kimin elinde tuttuğudur.

Çözümlerden biri, tarafsız bir kapı bekçisi tipi kuruluşa veya benzer bir güvenilir varlığa özel bir anahtar ve devlet yetkililerine başka bir özel anahtar sağlamayı içerebilir. İzin verilenler listesindeki bir cüzdan adresinden kaynaklanmayan bir para yatırma ve çekme işleminin anonimliğini kaldırmak için her iki anahtarın da kullanılması gerekir ve bu tür bir işlemin ayrıntıları yalnızca bu tür bilgileri talep eden kolluk kuvvetlerine açıklanır. -anonimleştirme. Kapı bekçisi organizasyonun rolü, kolluk kuvvetleri önce anonimleştirme için geçerli bir emir veya mahkeme emri alıp sunmadan anonimleştirmeye direnmek olacaktır. Bu, kolluk kuvvetlerinin herhangi bir Tornado Nakit çekme işlemi için kullanılan fonları sağlayan kaynak adresi belirlemesini sağlamakla kalmaz, böylece hükümetin uygulama ve ulusal güvenlik görevini yerine getirmesine izin verir, aynı zamanda hükümeti tutma yükünden de kurtarır. hem hükümet hem de Tornado Cash kullanıcıları için optimal olmayan anahtarlar.

Bu yaklaşımla ilgili çeşitli zorluklar vardır. İlk olarak, hangi varlıkların özel anahtarlara erişebileceği açık değildir. Bugün faaliyette olan bilinen hiçbir bekçi organizasyonu böyle bir süreci yönetmek için kurulmamıştır. Ayrıca, çok sayıda yargı sorunu var. Her ülke - baskıcı rejimler bile - işlem verilerine erişmelerini sağlayan kendi özel anahtarlarına sahip olacak mı? Eğer öyleyse, bu tür rejimlerin ABD vatandaşlarının işlemlerini anonimleştirmemesi nasıl sağlanır? Ayrıca, bekçi teşkilatı ve devlet yetkilileri, anahtarlarının çalınmamasını sağlamak için nasıl yönetecekler? Bu sorular yeni değil. Anahtar emanetiyle ilgili her tartışmada gündeme gelirler, bu istemsiz seçici anonimleştirmenin ne olduğudur. Bu çözüm her zaman popüler değildir ve "arka kapı" fikri gibi operasyonel zorluklarla doludur. Bununla birlikte, düzenleyici gereksinimleri karşılamak veya platformların yasa dışı amaçlarla kullanımını azaltmak için geliştiricilerin değerlendirebileceği bir seçenektir. 

Yukarıdaki zorluklara yönelik olası bir çözüm, bir kullanıcının para çekme sırasında adresi şifrelemek için hangi genel anahtarı kullanmak istediğini seçmesine izin vermek olacaktır.⁴³  Tornado Cash sözleşmesinde, örneğin her ülke için bir açık anahtar olmak üzere birden çok yasa uygulama açık anahtarı olabilir. Para çekme sırasında kullanıcı, yerel yetki alanına göre hangi genel anahtarın şifreleneceğini seçebilir. Kullanıcının yargı yetkisine ilişkin kanıt sağlaması gerekebilir ve bu, şifreleme için hangi genel anahtarı kullandığını belirler. Bu kanıt, ilgili devlet kurumu dışında hiç kimsenin geri çekme yetkisini öğrenmemesi için sıfır bilgi kanıtı altında gizlenebilir.⁴⁴  Teorik olarak bu, bir işlemin gizli anahtarına erişimi olan baskıcı rejimler sorununu ele alacaktır, ancak kötü niyetli bir hükümetin, iyi niyetli - ancak kötü niyet kisvesi altında anahtar sahiplerinden özel anahtarlarını vermelerini isteyebileceği olasılığını ele almamaktadır. - yasal süreç.

BSA ile yükümlü kuruluşlar için, seçici anonimleştirme, OFAC tarafından zorunlu kılınan yaptırım taraması yapma yeteneğinin yanı sıra KYC bilgilerini ve işlem verilerini toplama yeteneği dahil olmak üzere para çekme taramasının yasal fizibilitesini koruma avantajına sahip olacaktır ve potansiyel olarak dosya SAR'ları. Ayrıca, yukarıda özetlenen istem dışı seçici anonimleştirme yöntemi, iki anahtar sahibinin yalnızca BSA kapsamında toplanması, saklanması ve raporlanması gereken bilgiler (örneğin, KYC bilgileri ve SAR'lar) için özel anahtarlara sahip olacağı şekilde değiştirilebilir ve bu anahtarları yalnızca FinCEN ve OFAC'a veya geçerli yasal sürecin tebliğ edilmesi üzerine kolluk kuvvetlerine sunun. Bu yaklaşım, devlet kurumlarının düzenleyici görevlerini yerine getirmesine izin verirken, kullanıcıların verilerinin gizliliğini sağlamaya yardımcı olacaktır.

Sonuç

Amerika Birleşik Devletleri'nde web3 teknolojilerinin gelişmesi için gizliliği koruyan düzenleyici çözümlerin geliştirilmesi çok önemlidir. Bu yaklaşımları formüle ederken, sıfır bilgi kanıtları, siber suçluları ve düşman devlet aktörlerini yasa dışı amaçlarla blockchain teknolojisini kullanmaktan alıkoymak ve aynı zamanda kullanıcıların kişisel bilgilerinin, verilerinin ve finansal faaliyetlerinin gizliliğini korumak için güçlü bir araç sağlayabilir. Belirli bir protokol veya platform için operasyonel ve ekonomik modele ve mevzuata uygunluk yükümlülüklerine bağlı olarak, sıfır bilgi kanıtlarının kullanılması, bu yükümlülükleri karşılamak ve ekosistemi yasadışı kullanımdan daha iyi korumak için mevduat taramasına, para çekme taramasına ve seçici anonimleştirmeye olanak sağlayabilir. ABD ve diğer ulusların güvenliğine zarar gelmesini önlemek. Blok zinciri alanındaki faaliyet çeşitliliği, geliştiricilerin ve kurucuların, yasa dışı finans riskini ele alırken bu belgede belirtilenler de dahil olmak üzere birden fazla yaklaşımı dikkate almalarını gerektirebilir.  

Daha önce tartışılan protokollerin düzenlenmemesi gerektiği ilkesini yineleyerek ve geliştiriciler, bu önemli riskleri hafifletmek için protokol düzeyindeki kısıtlamaları benimsemek isteyip istemediklerini seçme konusunda tam özgürlüğe sahip olmalıdır, yazarların umudu, bu fikirlerin hem inşaatçılar hem de politika yapıcılar arasında sıfır bilgi kanıtlarının olasılıkları etrafında yaratıcı tartışma, daha fazla araştırma ve geliştirmeyi ateşleyeceğidir.

Atomic Cüzdanı indirin : Tam kağıtveya özet blog gönderisini okuyun okuyun.

***

Son Notlar

¹ Yerimizi Kripto Karıştırıcı Kullanımı, Ulus Devlet Aktörleri ve Siber Suçluların Önemli Bir Hacme Katkıda Bulunmasıyla 2022'de Tüm Zamanların En Yüksek Seviyelerine Ulaştı, Zincirleme Analiz (14 Temmuz 2022), https://blog.chainalysis.com/reports/cryptocurrency-mixers; ayrıca bkz ABD Hazine Yaptırımları Yaygın Olarak Kullanılan Crypto Mixer Tornado Cash, TRM Laboratuvarları (8 Ağustos 2022), https://www.trmlabs.com/post/u-s-treasury-sanctions-widely-used-crypto-mixer-tornado-cash.

² Miles Jennings, Web3 Uygulamalarını Düzenleyin, Protokolleri Değil, a16z Kripto (29 Eylül 2022), https://a16zcrypto.com/web3-regulation-apps-not-protocols/.

³ Yerimizi Zincir analizi, yukarıda not 1.

⁴ Bir ispatlayıcının bunu başarma yolu, ilk olarak ispatlanacak ifadeyi, ancak ve ancak ifade doğruysa özdeş olarak sıfır olan bir dizi polinom (bir dizi cebirsel terimin toplamı) olarak kodlamaktır. Genellikle ifadenin "aritmetleştirilmesi" olarak adlandırılan bu kodlama, sıfır bilgi kanıtlarını mümkün kılan sihirli adımdır. Kanıtlayıcı daha sonra doğrulayıcıyı polinomların gerçekten de aynı şekilde sıfır olduğuna ikna eder.

⁵ Yerimizi Zincir analizi, yukarıda not 1.

⁶ Kuzey Koreli Lazarus Group'un Tornado Cash aracılığıyla fon aktardığını görün, TRM Laboratuvarları (28 Nisan 2022), https://www.trmlabs.com/post/north-koreas-lazarus-group-moves-funds-through-tornado-cash.

⁷ "AML" kara para aklamanın önlenmesidir ve "CFT" terörizmin finansmanına karşıdır.  Yerimizi Fin. Suç Enf't Ağı, Kara Para Aklamayı Önleme Yasalarının Tarihçesi, https://www.fincen.gov/history-anti-money-laundering-laws.

⁸ 31 USC § 5311 ve ark.

⁹ Yerimizi ABD Hazine Bakanlığı, Yabancı Varlık Kontrol Ofisi (OFAC) – Yaptırımlar Programı ve Bilgileri, https://home.treasury.gov/policy-issues/office-of-foreign-assets-control-sanctions-programs-and-information.

¹⁰ Örneğin, 2021'de bir karıştırma hizmeti olan Bitcoin Fog'un işleticisi olduğu iddia edilen kişi tutuklandı ve Columbia Bölgesi'nde kara para aklama, lisanssız para aktarma işi yürütme ve lisanssız para aktarma suçlarından suçlandı.  Yerimizi Basın Bülteni, ABD Adalet Bakanlığı, Bir Kişi Tutuklandı ve Ünlü Darknet Cryptocurrency “Mixer”ı Çalıştırmakla Suçlandı (28 Nisan 2021), https://www.justice.gov/opa/pr/individual-arrested-and-charged-operating-notorious-darknet-cryptocurrency-mixer.

¹¹ 31 USC § 5311.

¹² Para Hizmetleri İşletmelerine İlişkin Tanımlar ve Tescil, 64 Fed. Reg. 45438 (Ağustos 1999), https://www.govinfo.gov/content/pkg/FR-1999-08-20/pdf/FR-1999-08-20.pdf.

¹³ Fin. Suç Enf't Ağı, FinCEN Yönetmeliklerinin Sanal Para Birimlerini Yöneten, Değiştiren veya Kullanan Kişilere Uygulanması, FIN-2013-G001 (18 Mart 2013), https://www.fincen.gov/sites/default/files/shared/FIN-2013-G001.pdf.

¹⁴ Para aktarımı, para biriminin yerine geçen fonların, CVC'nin veya değerin başka bir yere veya kişiye herhangi bir yolla iletilmesini içerir.  Yerimizi Fin. Suç Enf't Ağı, FinCEN Yönetmeliklerinin Dönüştürülebilir Sanal Para Birimlerini İçeren Belirli İş Modellerine Uygulanması, FIN-2019-G001 (9 Mayıs 2019), https://www.fincen.gov/sites/default/files/2019-05/FinCEN%20Guidance%20CVC%20FINAL%20508.pdf.

¹⁵ Id. 20, 23-24'te.

¹⁶ Sıkça Sorulan Sorular, ABD Hazine Bakanlığı Kapalı. Yabancı Varlıkların Kontrolü (“OFAC”), No. 1076, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/1076 (“Tornado Cash veya onun bloke edilmiş mülkü veya mülkteki çıkarları ile herhangi bir işlem yapmak ABD'li kişiler için yasaklanmış olsa da, Tornado Cash ile yasaklanmış bir işlemi içermeyen bir şekilde açık kaynak kodunun kendisi ile etkileşimde bulunmak yasak değildir. Örneğin, ABD yaptırım düzenlemeleri ABD'li kişilerin açık kaynak kodunu kopyalamasını ve başkalarının görüntülemesi için çevrimiçi olarak sunmasını yasaklamaz…”).

¹⁷ Basın Bülteni, ABD Hazine Bakanlığı, ABD Hazine Yaptırımları Ünlü Sanal Para Birimi Karıştırıcı Tornado Nakit (8 Ağustos 2022), https://home.treasury.gov/news/press-releases/jy0916.

¹⁸ Alexandra D. Comolli ve Michele R. Korver, İlk Kripto Para Kara Para Aklama Dalgasında Sörf Yapmak, 69 DOJ J. FED. L. & PRAC. 3 (2021).

¹⁹ 31 CFR § 1010.410.

²⁰ 31 CFR § 1022.320(a)(1); 31 USC § 5318(g)(3).

²¹ CTR'ler, bir kişi tarafından veya onun adına gerçekleştirilen 10,000 ABD Doları'nın üzerindeki nakit veya madeni para işlemlerinin yanı sıra, tek bir günde toplamı 10,000 ABD Doları'nı aşan çoklu para birimi işlemlerinin raporlanmasını gerektirir. TO benzeri gereklilikleri belirli kriterleri karşılayan CVC işlemlerine genişletebilecek bekleyen bir kural olmasına rağmen, şu anda dijital varlıklar için geçerli değiller.  Yerimizi 31 CFR § 1010.311; ayrıca bkz Fin. Crimes Enf't Network, Müşterilere Bildirim: Bir CTR Referans Kılavuzu, https://www.fincen.gov/sites/default/files/shared/CTRPamphlet.pdf.

²² Yerimizi 50 USC § 1702(a); Nina M. Hart, Ekonomik Yaptırımların Uygulanması: Genel Bir Bakış, Kongre Araştırma Hizmeti Raporları (18 Mart 2022), https://crsreports.congress.gov/product/pdf/IF/IF12063.

²³ Besledi. Fin. Kurumlar Sınav Kurulu, Banka Gizliliği Yasası (BSA)/Kara Para Aklamayı Önleme (AML) İnceleme Kılavuzu (2021) https://bsaaml.ffiec.gov/manual/OfficeOfForeignAssetsControl/01.

²⁴ Yerimizi OFAC Siber Bağlantılı Yaptırımlar Sıkça Sorulan Sorular, No. 444, 445 ve 447, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546. Kripto para birimini içeren yaptırımlar, Rusya, İran veya Kuzey Kore'ye yönelik olanlar gibi ülkeye özgü yürütme kararlarından da gelebilir.

²⁵ Yerimizi 31 CFR Yakl. A'dan Pt'ye 501; 50 USC § 1705.

²⁶ Hukuki sorumluluk, kişinin bir yaptırım ihlaline karıştığını bilmek için bilgisi veya nedeni olmadan ortaya çıkar.

²⁷ Bkz., 18 USC §§ 1956, 1957 ve 1960.

²⁸ Yerimizi OFAC, Sanal Para Birimi Endüstrisi için Yaptırımlara Uyum Rehberi (15 Ekim 2021) (“şirketler” için yaptırım uyum programları ve risk değerlendirmelerinin geçerli olduğunu belirterek), https://home.treasury.gov/system/files/126/virtual_currency_guidance_brochure.pdf [bundan böyle: “OFAC Rehberi” olarak anılacaktır]; ama gör Sıkça Sorulan Sorular, OFAC, Sayı 445, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546, ("[a]genel bir mesele olarak, çevrimiçi ticareti kolaylaştıran veya bu ticaretle uğraşan firmalar da dahil olmak üzere ABD'li şahıslar, OFAC'ın yaptırım listelerinden herhangi birinde adı geçen kişilerle yetkisiz işlemlere veya işlemlere girmemelerini veya yetki alanlarında faaliyet göstermemelerini sağlamaktan sorumludur. Kapsamlı yaptırım programları tarafından hedeflenen teknoloji şirketleri de dahil olmak üzere bu tür kişiler, yaptırım listesi taraması veya diğer uygun önlemleri içerebilecek, özel olarak uyarlanmış, riske dayalı bir uyum programı geliştirmelidir.”).

²⁹ Sıkça Sorulan Sorular, OFAC, Sayı 1076, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/1076.

³⁰ Genel olarak bakın kasırga Nakit, https://tornado.cash (2022).

³¹ Tornado Cash'in Nova adlı yeni bir sürümü, önce Tornado'dan para çekmek zorunda kalmadan doğrudan hesaptan hesaba transferleri destekler.  Genel olarak bakın Kasırga Nakit Nova, https://nova.tornadocash.eth.link (2022).

³² Tim Hakkı, Yaklaşık 7 Milyon Dolarlık Hacked Ronin Fonları Privacy Mixer Tornado Cash'e Gönderildi, Şifre Çöz (4 Nisan 2022), https://decrypt.co/96811/nearly-7m-hacked-ronin-funds-sent-privacy-mixer-tornado-cash.

³³ Yerimizi OFAC Siber Bağlantılı Yaptırımlar Sıkça Sorulan Sorular, No. 1076 ve 1095, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546.

³⁴ Yerimizi Elizabeth Howcroft ve diğerleri, ABD Kripto Firması Harmony, 100 Milyon Dolarlık Soygunla Vurdu, Reuters (24 Haziran 2022), https://www.reuters.com/technology/us-crypto-firm-harmony-hit-by-100-million-heist-2022-06-24.

³⁵ Yerimizi elizabeth howcroft, ABD Kripto Firması Nomad, 190 Milyon Dolarlık Hırsızlığa Maruz Kaldı, Reuters (3 Ağustos 2022), https://www.reuters.com/technology/us-crypto-firm-nomad-hit-by-190-million-theft-2022-08-02.

³⁶ Bkz. supra not 17. 

³⁷ Yaptırım taraması için Chainalysis oracle'a bakınzincirleme analiz, https://go.chainalysis.com/chainalysis-oracle-docs.html.

³⁸ Jeff Benson, Ethereum Gizlilik Aracı Tornado Cash, Yaptırım Uygulanan Cüzdanları Engellemek için Chainalysis Kullandığını Söyledi, Şifre Çöz (15 Nisan 2022), https://decrypt.co/97984/ethereum-privacytool-Tornado-cash-uses-chainalysis-block-sanctioned-wallets.

³⁹ Yerimizi Brian Armstrong ve Vitalik Buterin Ademi Merkeziyet, Gizlilik ve Daha Fazlasını Tartışıyor, Coinbase: Blok Etrafında, 35:00'te (30 Ağustos 2022) (Spotify'da mevcut), https://open.spotify.com/episode/2vzctO7qgvYqGLKbnMnqha?si=X3eu221IRvGIJn3kd4tWFA&nd=1; bkz.Ben Fisch, Yapılandırılabilir Gizlilik Vaka Çalışması: Bölünmüş Gizlilik Havuzları, Espresso Sistemleri (11 Eylül 2022), https://www.espressosys.com/blog/configurable-privacy-case-study-partitioned-privacy-pools.

⁴⁰ Yerimizi OFAC Kılavuzu 12-16'da (risk değerlendirme yükümlülüklerinin ana hatlarını belirtir). 

⁴¹ Id.

⁴² Genel olarak bakın kasırga Nakit, Tornado.cash uyumluluğu, Orta (3 Haziran 2020), https://tornado-cash.medium.com/tornado-cash-compliance-9abbf254a370.

⁴³ Daha yeni Tornado Nova protokolü, fonlar Tornado sistemindeyken özel transferleri destekler. Bu durumda, kolluk kuvvetlerinin genel anahtarı altında şifrelenen "adres", fonların şu anda çekilmesine yol açan tüm işlem zinciri olmalıdır - tek bir adresten daha fazla veri.

⁴⁴ Yerimizi Balık, yukarıda notlar 39 

***

Teşekkür: Jai Ramaswamy ve Miles Jennings'e geri bildirimleri ve Miles'ın "izin verilenler listesi" önerisi de dahil olmak üzere makaledeki kavramlara katkıları için teşekkürler. Bunu bir araya getirmeye yardımcı olan David Sverdlov'a da teşekkürler.

***

Editör: Robert Hackett

***

Joseph Burleson a16z crypto'da hukuk, yönetişim ve ademi merkeziyet konularında firmaya ve portföy şirketlerine danışmanlık yaptığı bir yardımcı genel danışmandır.

michele korver a16z crypto'da düzenleme başkanıdır. Daha önce FinCEN'in Baş Dijital Para Birimi Danışmanı, DOJ'nin Dijital Para Birimi Danışmanı ve Amerika Birleşik Devletleri Savcı Yardımcısı olarak görev yaptı.

Dan Boneh a16z crypto'da kıdemli bir araştırma danışmanıdır. Uygulamalı Kriptografi Grubuna başkanlık ettiği Stanford Üniversitesi'nde bilgisayar bilimi profesörüdür; Stanford Blok Zinciri Araştırma Merkezi'nin ortak yönetmenidir; ve Stanford Bilgisayar Güvenlik Laboratuvarı'nın eş-yöneticisidir.

***

Burada ifade edilen görüşler, alıntı yapılan bireysel AH Capital Management, LLC (“a16z”) personelinin görüşleridir ve a16z veya iştiraklerinin görüşleri değildir. Burada yer alan belirli bilgiler, a16z tarafından yönetilen fonların portföy şirketleri de dahil olmak üzere üçüncü taraf kaynaklardan elde edilmiştir. a16z, güvenilir olduğuna inanılan kaynaklardan alınmış olsa da, bu tür bilgileri bağımsız olarak doğrulamamıştır ve bilgilerin mevcut veya kalıcı doğruluğu veya belirli bir duruma uygunluğu hakkında hiçbir beyanda bulunmaz. Ayrıca, bu içerik üçüncü taraf reklamlarını içerebilir; a16z, bu tür reklamları incelememiştir ve burada yer alan herhangi bir reklam içeriğini onaylamaz.

Bu içerik yalnızca bilgilendirme amaçlıdır ve yasal, ticari, yatırım veya vergi tavsiyesi olarak kullanılmamalıdır. Bu konularda kendi danışmanlarınıza danışmalısınız. Herhangi bir menkul kıymete veya dijital varlığa yapılan atıflar yalnızca açıklama amaçlıdır ve yatırım tavsiyesi veya yatırım danışmanlığı hizmetleri sağlama teklifi teşkil etmez. Ayrıca, bu içerik herhangi bir yatırımcıya veya muhtemel yatırımcılara yönelik değildir veya bu içerik tarafından kullanılması amaçlanmamıştır ve a16z tarafından yönetilen herhangi bir fona yatırım yapma kararı verilirken hiçbir koşulda bu içeriğe güvenilemez. (Bir a16z fonuna yatırım yapma teklifi, yalnızca tahsisli satış mutabakatı, abonelik sözleşmesi ve bu tür bir fonun diğer ilgili belgeleri ile yapılacaktır ve bunların tamamı okunmalıdır.) Bahsedilen, atıfta bulunulan veya atıfta bulunulan herhangi bir yatırım veya portföy şirketi veya a16z tarafından yönetilen araçlara yapılan tüm yatırımları temsil etmemektedir ve yatırımların karlı olacağına veya gelecekte yapılacak diğer yatırımların benzer özelliklere veya sonuçlara sahip olacağına dair hiçbir garanti verilemez. Andreessen Horowitz tarafından yönetilen fonlar tarafından yapılan yatırımların bir listesi (ihraççının a16z'nin kamuya açıklanmasına izin vermediği yatırımlar ve halka açık dijital varlıklara yapılan habersiz yatırımlar hariç) https://a16z.com/investments adresinde bulunabilir. /.

İçerisinde yer alan çizelgeler ve grafikler yalnızca bilgilendirme amaçlıdır ve herhangi bir yatırım kararı verirken bunlara güvenilmemelidir. Geçmiş performans gelecekteki sonuçların göstergesi değildir. İçerik yalnızca belirtilen tarih itibariyle konuşur. Bu materyallerde ifade edilen tüm tahminler, tahminler, tahminler, hedefler, beklentiler ve/veya görüşler önceden bildirilmeksizin değiştirilebilir ve farklı olabilir veya başkaları tarafından ifade edilen görüşlere aykırı olabilir. Ek önemli bilgiler için lütfen https://a16z.com/disclosures adresine bakın.