Web3 技術去中心化,不代表開發者和公司也去中心化

作者:劉紅林律師曼昆區塊鏈法律服務

封面: Tornado Cash

2024 年 5 月,Tornado Cash 創始人之一、核心開發者、31 歲俄羅斯公民 Alexey Pertsev 在荷蘭因在加密貨幣混合器平台上洗錢 22 億美元被判 5 年零 4 個月有期徒刑。

此前,美國財政部外國資產管制辦公室 (OFAC) 宣布將 Tornado Cash 列入製裁名單,指控其幫助駭客和犯罪分子洗錢,包括與北韓相關的駭客組織 Lazarus Group 的資金洗白活動。 Tornado Cash 的美國用戶被禁止使用該平台,美國的區塊鏈公司和專案不得與 Tornado Cash 進行交易或互動。美國司法部等監管機構(DOJ)對 Tornado Cash 創始人 Roman Storm 和 Roman Semenov 提出了刑事指控,控訴兩人在 Tornado Cash 運營期間涉嫌串謀洗錢、違反制裁規定並經營無牌匯款業務,兩人將面臨起碼 20 年的牢獄之災。 Storm 已在去年被捕,將於今年 9 月接受審判,Semenov 尚未被捕。這次 Pertsev 的判決結果很可能會決定這兩位 Tornado Cash 創辦人未來的審判結果。

對 Tornado Cash 採取不歡迎態度,甚至執法行動的不僅是荷蘭和美國。

德國在 2022 年 8 月 20 日,德國聯邦金融監管局(BaFin)對 Tornado Cash 進行了調查,認為其未能遵守反洗錢法規,並對其進行了警告和罰款。

法國在 2022 年 9 月 5 日,法國國家資訊與自由委員會(CNIL)審查了 Tornado Cash 的隱私權政策,認為其未能有效保護用戶隱私,並對其進行了製裁。

日本在 2022 年 9 月 15 日,日本金融廳(FSA)對 Tornado Cash 進行審查,認為其可能被用於非法活動,並向其發出警告信,要求其改進反洗錢措施。

韓國在 2022 年 10 月 1 日,韓國金融服務委員會(FSC)將 Tornado Cash 列入黑名單,禁止韓國公民使用該服務,並對其可能的洗錢活動進行調查。

加拿大在 2022 年 10 月 20 日,加拿大金融交易和報告分析中心(FINTRAC)對 Tornado Cash 進行了調查,指出其洗錢風險,並建議加強監管。

澳洲在 2022 年 11 月 1 日,澳洲交易報告和分析中心(AUSTRAC)對 Tornado Cash 進行了監控,警告其可能被犯罪分子利用進行洗錢活動。為什麼一個區塊鏈專案會陸續被多個國家禁止,到底是隱私的泯滅還是科技的淪喪,這篇文章曼昆律所劉紅林律師就帶幣圈的朋友們網路上沖個浪。

Tornado Cash 混幣器是什麼?

Tornado Cash 是一種基於以太坊的去中心化混幣服務,透過智慧合約將用戶的存款混合在一起,然後再分發出去,使得資金來源變得不可追蹤。 Tornado Cash 由 Roman Semenov 和 Roman Storm 兩位開發者於 2019 年 8 月 6 日創建,旨在提升以太坊交易的隱私性,使用戶能夠「100% 匿名發送以太坊加密貨幣」。核心團隊成員包括 Alexey Pertsev 等,他們在隱私保護和去中心化技術方面有著豐富的經驗。

自計畫啟動以來,Tornado Cash 不斷迭代和完善,推出了多種版本,支援不同的加密貨幣,並逐漸發展成為加密貨幣社群中知名的隱私工具,在 2021 年 7 月的高峰期,Tornado Cash 池合約中持有超過 7 億美元的 ETH。

簡單來說,Tornado Cash 的運作邏輯是:把大量用戶的存取款行為混雜在一起,存款者在 Tornado 存入 Token 後,出示 ZK Proof 證明自己存過款,再用一個新地址提款,從而切斷存取款地址之間的關聯性。

Tornado Cash 為了讓存取款動作看起來有同質性,Tornado Cash 池子的存款地址每次存入的資金、取款地址每次取出的資金都保持一致,例如某個池子的 100 個存款者和 100 名提款者,每人存入的金額、取出的金額,都是一樣的,沒法依照存取款金額判斷關聯性,進而切斷資金轉移痕跡。

拆解步驟來看,大致情況是這樣:

  1. 用戶存款。用戶將以太幣(ETH)存入 Tornado Cash 的智能合約中,產生一個秘密的 note。
  2. 混合過程。智能合約將多個用戶的存款混合在一起,形成一個資金池。
  3. 提取資金。用戶使用 note 提取資金,提取的資金沒有直接與存款地址關聯。

Tornado Cash 就像存錢罐,10 個人同時往裡面存放 100 元拿到存錢憑證,然後 10 人再同時憑憑證從存錢筒裡取出 100 元,因為錢本身不記名,所以我們無法精準關聯存錢的和拿錢的是同一個人。而這,也正是令全球各政府及監管機構感到棘手的關鍵原因。

監管部分,重拳打擊

當然,令政府及監管機構頭痛的不僅 Tornado Cash,還有多個類似的混幣器如 CoinJoin、Mixing 服務、Wasabi Wallet 等,幣圈創新不斷,監管部門頭疼不止。

美國參議院在 2024 年通過了總預算達 8,860 億美元的《2024 財年國防授權法案》(FY24NDAA)修正案,其中一項條款內容為加強從事加密貨幣交易的金融機構監管力度,並打擊針對加密貨幣混幣器的「增加匿名性」為目標的加密資產。修正案是由民主黨的 Elizabeth Warren 和共和黨的 Roger Marshall 等議員共同推出,他們是著名的加密貨幣批評者。對此,Web3 基礎設施開發商 ConsenSys 的律師 Bill Hughes 稱「是到目前為止有關加密資產的最重大國會行動之一」。

為什麼監管層對混幣器這麼高度關注、持續打擊?主要原因有幾個:

反洗錢問題。 Tornado Cash 因其匿名性,被廣泛用於洗錢活動。例如,荷蘭司法機關發布的起訴書指出,Tornado Cash 這個加密貨幣混合服務的開發者 Alexey Pertsev,被控參與洗錢活動,涉案金額高達 12 億美元。起訴書列出 Tornado Cash 平台上的 36 筆疑似洗錢交易,其中包括一宗涉及 175 顆 ETH 的交易。這筆資金被認為與 Ronin Bridge 駭客事件有關,2022 年 3 月 23 日:Axie Infinity Ronin 側鏈橋因駭客攻擊而損失約 6.25 億美元。這是迄今為止最大的加密貨幣駭客攻擊之一,犯罪分子透過 Tornado Cash 洗錢。

恐怖主義融資。 Tornado Cash 的匿名性也被恐怖組織利用,進行秘密籌資活動。執法機構擔心,這種匿名交易方式會使恐怖分子更容易取得資金,而不被發現。例如,2021 年,有證據表明,某些恐怖組織透過加密貨幣混合服務籌集了大量資金。

規避制裁。一些國家或個人利用 Tornado Cash 來規避國際制裁,透過加密貨幣的匿名交易轉移資金。例如,北韓的駭客組織 Lazarus Group 被指控透過 Tornado Cash 轉移從網路攻擊中獲得的資金,避開了國際制裁的追蹤。

幣圈玩家,愛恨交加

與政府機構相反,加密玩家喜歡混幣器,因為它滿足了部分用戶對隱私保護的渴望以及對財務安全的需求。

Tornado Cash 和類似的混幣器為用戶提供了強大的隱私保護功能。對於某些幣圈高淨值的玩家來說,使用混幣器可以避免因公開的交易記錄而成為駭客攻擊或勒索的對象。同時,某些活動家或記者在高壓政權下,需要透過混幣器來保護他們的資金來源和用途不被政府或其他組織發現,也因此,當 Tornado Cash 開發人員面臨指控時,有人專門為其建立了辯護基金,同時也有知名人士公開站隊。例如前美國國家安全局(NSA)告密者愛德華·斯諾登(Edward Snowden)公開支持為 Tornado Cash 開發人員 Roman Storm 和 Alexey Pertsev 辯護的法律基金,該基金目前已籌集超過 35 萬美元。

當然凡事皆有兩面,想隱藏自己身分和蹤跡的不總是好人。

最典型的場景就是在虛擬貨幣盜竊的相關案件中,時常有朋友因為虛擬貨幣被盜而找到曼昆律師,經過我們的鏈上分析後,如果發現盜竊者使用了混幣器,內心多少都會感慨一句「完蛋了」。一旦加密貨幣被盜,透過混幣器混合後,追蹤和追回被盜資產變得極為困難。例如,Ronin Bridge 駭客事件中,攻擊者透過 Tornado Cash 混合贓物,使得追蹤資金流動幾乎不可能,最終導致損失難以挽回。

除了資產損失外的風險外,從法律合規的角度來看,對於混幣器的用戶來講,最大的風險點在於,使用 Tornado Cash 和其他混幣器可能會違反一些國家的反洗錢和反恐怖主義融資法律,由於 Tornado Cash 和其他混幣器被監管機構重點關注,一旦被制裁或關閉,用戶的資金可能會被凍結或無法取回。例如,OFAC 的製裁導致許多使用 Tornado Cash 的用戶無法提取他們的資金,造成了重大損失。

所以對於個人玩家來說,在使用任何混幣服務之前,了解並遵守所在國家的法律法規,避免因使用混幣器而面臨法律風險。同時建議審慎選擇信譽良好、有安全保障的混幣服務,免使用那些已被制裁或有爭議的服務。同時也建議不要將所有資金投入單一的混幣服務。可以透過多種管道進行分散,以降低風險。一旦發現任何風險或問題,及時採取措施。

2023 年 4 月,美國財政部發布了有關 DeFi 非法金融活動的評估報告,這份報告揭示了 DeFi 服務的潛在風險,深入分析了非法行為者利用這些服務進行犯罪活動。三個月後,四位美國參議員提出了《加密資產國家安全增強和執行法案》,也意在對 KYC、AML 及 DeFi 領域進行加強監管。

《加密資產國家安全增強和執行法案》提供了監管 DeFi 的新框架,它要求監管 DeFi 就該如同監管其他加密貨幣機構一般,要求任何能控制該項目的'人',必須對該項目負責。該法案或提及,若沒有特定人能控制該 DeFi 服務,那麼任何投資該項目超過 25 萬美元的投資者,都應該要對該項目負責。

對於混幣器的技術開發者來說,雖然去中心化技術服務是中立的,但你的公司和你本人還是有現實世界中所屬的國家,因此建議在開展相關業務之前,務必確保混幣服務的開發和營運符合所在國家和地區的法律法規,加強平台的安全措施,防止駭客攻擊和資金盜竊,保障使用者的資金安全,避免成為法律打擊的目標。

曼昆律師提醒

Tornado Cash 因其強大的匿名性和隱私保護功能,受到了許多加密貨幣用戶的青睞。然而,正是這種匿名性,也讓其成為了執法機構重點打擊的對象。在幫信罪數量已然成為中國前三大刑事罪名的今天,作為加密貨幣用戶和技術開發者,在享受技術帶來的便利時,也應時刻保持警惕,遵守法律法規,畢竟幣圈黑暗森林法則,多加小心總沒錯。

參考資料

1.《最精妙的 ZK 應用:淺析 Tornado Cash 的原理與業務邏輯》https://view.inews.qq.com/k/20230908A054E200?no-redirect=1&web_channel=wap&openApp=false

免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。