Tornado Cash: Narzędzie prywatności czy infrastruktura przestępcza?
Rząd USA nałożył sankcje na smart kontrakt. Deweloperzy zostali aresztowani. Oto pełna historia miksera, który zepsuł wszystko.
Pogłęb temat z AI
Kliknij → prompt skopiowany → wklej w czacie AI
8 sierpnia 2022.
Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu USA (OFAC) zrobiło coś bezprecedensowego.
Nałożyli sankcje na smart kontrakt.
Nie na osobę. Nie na firmę. Na kawałek kodu na Ethereum.
Tornado Cash — największy mikser krypto — stało się teraz nielegalne do użycia przez Amerykanów.
To zmieniło wszystko w krypto, prywatności i tym, co naprawdę oznacza „kod jest prawem".
Czym było Tornado Cash?
Protokół prywatności na Ethereum.
Wpłacasz ETH (lub inne tokeny). Czekasz. Wypłacasz na inny adres.
Połączenie między wpłatą a wypłatą jest kryptograficznie przerwane.
Jak działało:
- Wpłać ustaloną kwotę (0.1, 1, 10 lub 100 ETH)
- Otrzymaj kryptograficzną „notatkę" (dowód wpłaty)
- Poczekaj (dłużej = lepsza prywatność)
- Użyj notatki do wypłaty na nowy adres
- Dowody zero-knowledge weryfikują, że wpłaciłeś bez ujawniania, która wpłata była twoja
Twój świeży adres nie ma połączenia z oryginalnym adresem. Idealna prywatność.
Liczby
Przed sankcjami:
- 7,6 miliarda dolarów całkowitego wolumenu
- Szczytowe TVL ponad 700 milionów dolarów
- Tysiące codziennych użytkowników
- Najpopularniejsze narzędzie prywatności na Ethereum
Po sankcjach:
- 0 nowych legalnych użytkowników z USA
- Kontrakty wciąż istnieją (są niezmienne)
- Wciąż ~200M+ zablokowane (ludzie boją się wypłacać)
- Ciągłe nielegalne użycie przez tych, którym to obojętne
Dlaczego ludzie tego używali
Legalne zastosowania:
- Prywatność płac (nie chcesz, żeby pracodawca znał twoją wartość netto)
- Prywatność donacji (przekazuj na kontrowersyjne cele anonimowo)
- Bezpieczeństwo (nie ujawniaj wszystkich swoich zasobów potencjalnym atakującym)
- Osobista prywatność (po prostu nie chcesz publicznych zapisów finansowych)
Nielegalne zastosowania:
- Pranie dochodów z ransomware
- Zaciemnianie skradzionych funduszy
- Omijanie sankcji
- Unikanie podatków
- Pranie pieniędzy z narkotyków
Oba używały tego samego narzędzia. To jest problem.
Połączenie z Lazarus
Lazarus Group z Korei Północnej.
Najbardziej płodni hakerzy państwowi w krypto. Miliardy skradzione.
Kochali Tornado Cash.
Hack Ronin (625 mln dolarów)? Przez Tornado. Hack Horizon bridge (100 mln dolarów)? Przez Tornado. Niezliczone inne? Przez Tornado.
OFAC oszacowało, że sam Lazarus wyprał 455 milionów dolarów przez Tornado Cash.
Kiedy finansujesz program broni jądrowej, regulatorzy to zauważają.
Sankcja
OFAC dodało adresy smart kontraktów Tornado Cash do listy SDN (Specially Designated Nationals).
To oznacza:
- Osoby z USA nie mogą wchodzić w interakcje z tymi kontraktami
- Firmy z USA muszą blokować transakcje z nimi związane
- Każdy, kto prowadzi biznes z USA, nie może ich dotykać
- Naruszenie = przestępstwo federalne, do 20 lat więzienia
Same kontrakty nie zostały zmienione. NIE MOGĄ być zmienione — są niezmienne.
Ale używanie ich stało się nielegalne dla większości światowego systemu finansowego.
Aresztowania deweloperów
Stało się gorzej.
Alexey Pertsev (deweloper) - Aresztowany w Holandii, sierpień 2022. Oskarżony o pranie pieniędzy. Skazany maj 2024. 5+ lat więzienia.
Roman Storm (deweloper) - Aresztowany w USA, sierpień 2023. Oskarżony o pranie pieniędzy, naruszenie sankcji. Proces w toku.
Roman Semenov (deweloper) - Oskarżony. Na wolności.
Argument: Stworzyli i utrzymywali narzędzie wiedząc, że jest używane do przestępstw.
Kontrargument: Napisali kod. Kod to wolność słowa. Czy producenci broni powinni być aresztowani za morderstwa?
Debata prawna trwa. Efekt mrożący jest natychmiastowy.
Pytania prawne
Czy kod to wolność słowa? Pierwsza Poprawka chroni publikowanie kodu (ustalone w sprawach o szyfrowanie). Ale prowadzenie usługi ułatwiającej przestępstwa?
Co to jest „prowadzenie"? Tornado Cash jest niezmienne. Deweloperzy nie mogą go zatrzymać. Czy można „prowadzić" coś, czego nie można kontrolować?
Doktryna neutralnego narzędzia: Młotki mogą zabijać ludzi. Nie zakazujemy młotków. Kiedy narzędzie staje się infrastrukturą przestępczą?
Uprawnienia OFAC: Czy Departament Skarbu może nakładać sankcje na oprogramowanie? Czy tylko na ludzi i podmioty? Sądy wciąż decydują.
Te pytania nie mają jasnych odpowiedzi. Sprawa Tornado Cash ustanowi precedensy na dekady.
Co się stało potem
Natychmiastowe efekty:
- Circle zablokowało USDC w kontraktach Tornado
- GitHub skasował repozytorium
- Discord zamknął serwer
- dApps zablokowały adresy, które wchodziły w interakcje z Tornado
- Niektórzy użytkownicy otrzymali „dustingowe" transakcje Tornado (trolle brudzące adresy)
Trwające efekty:
- Inne miksery pod lupą
- Badania nad prywatnością zmrożone
- Deweloperzy boją się budować narzędzia prywatności
- Compliance DeFi staje się normą
Ataki dustingowe
To było ponuro zabawne.
Ktoś wysłał małe transakcje Tornado Cash na portfele celebrytów. Vitalik Buterin. Jimmy Fallon. Shaq.
Nagle te adresy „dotknęły" sankcjonowanych kontraktów.
Czy teraz byli przestępcami? Oczywiście, że nie — nie inicjowali transakcji.
Ale to pokazało absurd: możesz być „skażony" bez zgody.
OFAC ostatecznie wyjaśniło, że otrzymanie niezamówionych funduszy nie jest naruszeniem. Ale punkt został zrobiony.
Wciąż działa
O to chodzi: Tornado Cash wciąż działa.
Kontrakty są niezmienne. Są na Ethereum. Będą działać dopóki Ethereum się nie zatrzyma.
Użycie spadło, ale nie ustało. Ludzie, którym nie zależy na sankcjach USA, wciąż tego używają.
Korea Północna nie przestrzega zasad OFAC.
Sankcje ograniczyły legalne użycie prywatności bardziej niż przestępcze. Przestępcy mają wyższą tolerancję na ryzyko.
Alternatywy
Po Tornado, czego używają szukający prywatności?
Railgun: Protokół prywatności, próbujący być bardziej zgodny.
Aztec: ZK rollup z funkcjami prywatności.
Monero: Wciąż działa. Wciąż prywatne. Trudniejszy on/off ramp.
Nowe miksery: Pojawiają się ciągle. Zazwyczaj mniej przetestowane.
Nic: Większość ludzi po prostu zrezygnowała z prywatności.
Przestrzeń narzędzi prywatności jest teraz znacznie ostrożniejsza. Czy to dobrze czy źle, zależy od perspektywy.
Szerszy obraz
Tornado Cash to nie tylko jeden protokół.
Chodzi o:
- Czy kod może być objęty sankcjami? Najwyraźniej tak.
- Czy deweloperzy mogą iść do więzienia za kod? Najwyraźniej tak.
- Czy prywatność on-chain jest legalna? Niejasne, coraz bardziej ryzykowne.
- Czy DeFi pozostanie bezpozwoleniowe? Pod presją.
Etos krypto „nie można zatrzymać, nie można cenzurować" spotkał się z władzą państwową.
Władza państwowa wygrała. Przynajmniej prawnie.
Gdzie to teraz stoi
Protokół: Wciąż działa, wciąż użyteczny, wciąż nielegalny dla osób z USA.
Deweloperzy: Jeden skazany, jeden czeka na proces, jeden się ukrywa.
Fundusze: Setki milionów wciąż zablokowane, ludzie boją się dotykać.
Precedens: Niebezpieczny dla obrońców prywatności, świętowany przez regulatorów.
Debata: Trwa. Rozwiązania nie widać.
Co to znaczy dla ciebie
-
Używanie Tornado Cash jest nielegalne dla osób z USA. Kropka.
-
Otrzymanie niezamówionych funduszy Tornado jest prawdopodobnie OK. Ale udowodnij, że ich nie prosiłeś.
-
Narzędzia prywatności niosą ryzyko. Ryzyko prawne, które wcześniej nie istniało.
-
Ryzyko deweloperskie jest prawdziwe. Budowanie narzędzi prywatności teraz niesie ryzyko ścigania.
-
„Niezmienne" nie znaczy „niedotykalne". Kod nie może być zatrzymany, ale użytkownicy mogą być ścigani.
Tornado Cash pokazało, że decentralizacja ma granice.
Kod działa wiecznie. Ludzie, którzy go używają, wciąż mogą iść do więzienia.
Prywatność vs. zgodność. Wolność vs. bezpieczeństwo. Walka trwa.
Następny: Dlaczego miksery krypto nie działają w pełni - granice prywatności on-chain.