Crypto-Mixing Service Tornado Cash na Blacklisted ng US Treasury

Ipinagbawal ng Treasury Department ang lahat ng mga Amerikano sa paggamit ng desentralisadong serbisyo ng crypto-mixing na Tornado Cash.

Ang Office of Foreign Assets Control (OFAC), isang ahensiya ng tagapagbantay na inatasang pigilan ang mga paglabag sa mga parusa, noong Lunes ay idinagdag Buhawi Cash sa listahan ng Specially Designated Nationals nito, isang tumatakbong tally ng mga naka-blacklist na tao, entity at Cryptocurrency address. Bilang resulta, lahat ng tao at entity ng US ay ipinagbabawal mula sa pakikipag-ugnayan sa Tornado Cash o alinman sa mga address ng Ethereum wallet na nakatali sa protocol. Ang mga gumawa ay maaaring maharap sa mga parusang kriminal.

Ang Tornado Cash ay naging pangunahing tool para sa Lazarus Group, isang North Korean hacking group na nakatali sa $625 milyon Marso hack ng Ronin Network ng Axie Infinity, ayon sa Kagawaran ng Treasury. Ipinakita ng pagsusuri sa Blockchain na ang sampu-sampung milyong dolyar na halaga ng Crypto na ninakaw mula kay Ronin ay dumaloy sa Tornado Cash, na idinisenyo upang i-obfuscate ang pinagmumulan ng mga pondo. OFAC dating pinahintulutan ang Blender.io, isa pang serbisyo ng paghahalo na pinaghihinalaang ginamit ng Treasury Department upang maglaba ng mga nalikom mula sa mga pag-atake ng ransomware, pati na rin ang humigit-kumulang $20.5 milyon sa Crypto na ninakaw mula kay Ronin.

"Ang Tornado Cash ang naging go-to mixer para sa mga cybercriminal na naghahanap upang i-launder ang mga nalikom ng krimen, gayundin ang pagtulong upang paganahin ang mga hacker, kabilang ang mga kasalukuyang nasa ilalim ng mga sanction ng U.S., na i-launder ang mga nalikom ng kanilang mga cybercrimes sa pamamagitan ng pagtakpan sa pinagmulan at paglipat ng ipinagbabawal na virtual na pera na ito," sabi ng isang mataas na opisyal ng departamento. "Mula nang likhain ito noong 2019, ang Tornado Cash ay naiulat na naglaba ng higit sa $7 bilyon na halaga ng virtual na pera."

Si Ari Redbord, pinuno ng legal at government affairs sa analytics firm na TRM Labs, ay nagsabi sa CoinDesk na ang paglipat ay ang "pinakamalaking, pinaka-epektibong aksyon" ng Treasury Department sa Crypto hanggang sa kasalukuyan.

Ang mga hacker ng Ronin ay mayroon paulit-ulit na nilalabahan Nagpatuloy si Ronin sa pamamagitan ng Tornado Cash, ayon sa on-chain na mga pagsusuri sa data, kahit na pagkatapos Pinahintulutan ng OFAC isang Ethereum address na nakatali sa Lazarus Group na sinasabing nauugnay sa hack.

Ayon sa data mula sa blockchain analytics firm Nansen, ang mga deposito ng ether (ETH) sa Tornado Cash ay tumaas pagkatapos na ma-hack si Ronin noong unang bahagi ng taong ito.

Ang average na halaga ng ETH na idineposito sa Tornado Cash ay lumampas sa 220,000 noong Mayo at Hunyo 2022, ayon kay Nansen. Ang kabuuang ito ay nagkakahalaga ng $220 bilyon hanggang $660 bilyon sa hanay na iyon, data mula sa CoinGecko mga palabas.

Sa pangkalahatan, humigit-kumulang 18% ng kabuuang halaga ng ETH na dumadaloy sa Tornado Cash nitong mga nakaraang buwan – 167,400 ETH – ay nagmula sa Ronin hack, ayon kay Nansen.

Ang mga kita mula sa iba pang mga hack ay mayroon naglakbay din sa pamamagitan ng Tornado Cash, ayon sa pagsusuri ng blockchain mula sa mga grupo tulad ng Elliptic: Humigit-kumulang 4,600 ETH (nagkakahalaga ng humigit-kumulang $15 milyon noong panahong iyon) ninakaw mula sa crypto-exchange Crypto.com ay nilabhan sa pamamagitan ng serbisyo ng paghahalo sa unang bahagi ng taong ito. Mga nalikom mula sa $100 milyon na hack ng Harmony tulay ay na-launder sa pamamagitan ng Tornado Cash, at kahit na nalikom mula sa $200 milyon na hack ngayong buwan ng Nomad na tulay inilipat sa pamamagitan ng serbisyo.

Pambansang seguridad

Sinabi ni Redbord ang pagpapatibay ng Blender.io, na mas maliit kaysa sa Tornado Cash, ay maaaring makita bilang isang "preview" ng aksyon noong Lunes, kung saan ang OFAC ay maaaring nagpahiwatig na ang mga entity na sinasabing naglalaba para sa mga kriminal o tulad ng mga bansa tulad ng North Korea ay maaaring nasa panganib na lumabag sa mga parusa.

"Kapag pinag-uusapan mo ang tungkol sa Hilagang Korea sa partikular, ang Tornado Cash ang naging serbisyo ng paghahalo," sabi ni Redbord. "Ang sinasabi ng OFAC ay, 'Ang mga hack na ito ay higit pa sa mga hack; ang mga ito ay malubhang panganib sa pambansang seguridad.' Ito ay hindi lamang money laundering - ito ay money laundering na gagamitin para sa paglaganap ng mga armas."

Ang dahilan kung bakit kawili-wili ang bagong parusa ay ang Tornado Cash ay mayroon ding malaking halaga na dumadaloy dito ngunit hindi nauugnay sa anumang mga ipinagbabawal na aktibidad.

Ang pagdaragdag ng mixer sa listahan ng mga parusa ay nangangahulugan na ang lahat ng mga tao sa US ay may pananagutan sa pagtiyak na hindi sila nakikipag-ugnayan sa Crypto na natransaksyon sa pamamagitan ng serbisyo.

"Sa tingin ko kung ano ang nakikita namin dito mula sa Treasury ay, 'Kung papayagan mo ang maraming ipinagbabawal na aktibidad, susundan ka namin kahit na mayroong maraming lehitimong aktibidad,'" sabi ni Redbord.

Sa katunayan, mayroon ang gobyerno ng U.S gumugol ng mga taon babala na ang mga Crypto mixer ay maaaring ilegal o tumulong sa ilegal na aktibidad. Sa unang bahagi ng taong ito, si Alessio Evangelista, dating Financial Crimes Enforcement Network (FinCEN) associate director para sa pagpapatupad, sinabi sa industriya na ang mga crypto-service provider ay dapat maging maagap sa pagharang sa mga transaksyon mula sa mga "problemadong" wallet, sa halip na maghintay para sa isang pagtatalaga ng OFAC.

'Hindi mapigilan'

Maaaring hindi ihinto ng mga parusa ang mismong Tornado Cash mula sa pagpapatakbo. Ang co-founder na si Roman Semenov dati nang sinabi sa CoinDesk ang serbisyo sa Privacy ay idinisenyo upang gumana nang walang sentralisadong kontrol. Habang siya at ang kanyang koponan ay nagsusulat at nag-publish ng code, ang isang desentralisadong autonomous na organisasyon (DAO) ay kailangang aprubahan ang anumang mga pagbabago bago gawin ang mga ito.

"Ang protocol ay partikular na idinisenyo sa ganitong paraan upang maging hindi mapigilan, dahil T ito magkakaroon ng malaking kahulugan kung ang ilang mga third party [gaya ng isang developer] ay magkakaroon ng kontrol dito. Ito ay magiging katulad ng kung ang isang tao ay may kontrol sa Bitcoin o Ethereum," sinabi niya sa CoinDesk noong panahong iyon.

Ang mga nag-develop ay nagpunta hanggang sa gumawa open source ang buong user interface nito, na nagpapahintulot sa sinuman na timbangin ang code o ang disenyo ng mixer.

Ang pagdedeposito ng mga pondo sa Tornado Cash ay naglalagay sa kanila sa isang "pool" ng mga token ng ibang mga user. Mula dito, maaaring i-withdraw ng mga user ang kanilang mga pondo sa ibang address habang itinatago kung saan sila nanggaling.

Sinasabi ng Tornado Cash na ito ay hindi custodial, ibig sabihin, ang mga user ay nagpapanatili ng kumpletong kontrol sa kanilang mga pondo sa lahat ng oras – kahit na ang mga pondong iyon ay teknikal na nasa ONE sa mga pool ng Tornado.

Nauna nang sinabi ni Semenov sa Bloomberg News na ito ay "teknikal na imposible” para sa mga parusang ilalapat sa mga protocol tulad ng Tornado.

Sinabi ng matataas na opisyal ng Treasury Department sa isang press call na magpapatuloy ang ahensya sa pagsubaybay sa mga mixer, at maaaring gumawa ng karagdagang aksyon kung magpapatuloy ang Tornado Cash.

“Simula noong pinahintulutan namin ang virtual currency mixer Blender.io, wala kaming nakitang ebidensiya na magmumungkahi na nanatili itong aktibo pagkatapos ng pagtatalagang iyon," sabi ng opisyal. "Naniniwala kami na ang pagkilos na ito ay magpapadala ng talagang kritikal na mensahe sa pribadong sektor tungkol sa mga panganib na nauugnay sa mga mixer na nakasulat nang malaki, na malinaw na idinisenyo upang pigilan ang Tornado Cash o anumang uri ng mga muling nabuong bersyon nito upang patuloy na gumana."

Sa pagkilos noong Lunes, pinahintulutan ng OFAC ang address ng donasyon ng Tornado Cash, proxy address, isang Gitcoin grants address at marami pang iba, kabilang ang ilang USDC address. Mahigit sa 40 address sa kabuuan ang inilagay sa listahan ng mga parusa.

Bilog naka-blacklist ang sanctioned na mga address ng Tornado, nagyeyelo ng mahigit $75,000 na halaga ng USDC, mamaya sa Lunes.

Tornado Cash's GitHub at website nag-offline din. Nasuspinde ang GitHub ng developer ng Tornado Cash na si Roman Semenov.

I-UPDATE (Ago. 8, 2022, 15:00 UTC): Na-update na may karagdagang konteksto.

I-UPDATE (Ago. 8, 2022, 19:05 UTC): Nagdaragdag ng USDC blacklisting.