בין פרטיות לפיקוח: המקרה של טורנדו קאש

דף הבית > מגזין > בין פרטיות לפיקוח: המקרה של טורנדו קאש

שתף

בלוקסטקס
אוגוסט 21, 2022
06:51

בתחילת אוגוסט הטיל המשרד לבקרת נכסים זרים של מחלקת האוצר האמריקנית סנקציות על טורנדו קאש (Tornado Cash), שירות המונע את האפשרות להתחקות אחר מקור הכסף של המשתמשים בו. מקרה זה מדגיש את המתח בין הזכות לפרטיות לבין הצורך ברגולציה והחלה של נהלי איסור הלבנת הון ומימון טרור על עולם המטבעות הקריפטוגרפיים.

טורנדו קאש, אשר בעגה המקצועית נקרא מיקסר, הוא פרוטוקול מבוסס קוד פתוח אשר נועד לערבל את כספם של המשתמשים בו באופן שלא יאפשר לגורם כלשהו להתחקות אחר מקור הכספים בעזרת כלי מעקב On-chain דוגמת Chainalysis או Etherscan.

הגברת הפרטיות – ניתוק קשר ה On Chain בין טרנזקציות

הפעילות של ארנקים דיגיטליים בבלוקצ'יין הינה חשופה וציבורית ולכל ארנק יש היסטוריה גלויה לכל. כאשר משתמשים מעבירים מטבעות קריפטוגרפיים על גבי רשת בלוקצ'יין ניתן לעקוב אחר כתובת הארנק הדיגיטלי ממנה נשלחו המטבעות ואחר כתובת הארנק הדיגיטלי שבה התקבלו המטבעות. כך ניתן לדעת מי העביר כסף למי. מטרת הפרוטוקול של טורנדו קאש היא לנתק את הקשר בין מקור ההפקדה (הארנק השולח), לבין יעד ההפקדה (הארנק המקבל) על ידי ערבוב הכספים של המשתמשים השונים בבריכה משותפת שממנה יכול כל משתמש למשוך את הכסף שלו לכתובת ארנק שונה מהכתובת המקורית. ניתוק הקשר מאפשר למשתמשים פרטיות בכך שהוא מונע את קיומה של שרשרת טרנזקציות רצופה שאחריה ניתן לעקוב.

מובן כי האקרים, סקאמרים וכל מי שעסוקים בפעילות פלילית כזו או אחרת ירצו להשיג פרטיות כדי להסוות את גניבות הכספים שהם ביצעו ואת הפעילות הלא חוקית שלהם. יחד עם זאת קיימים גם לא מעט שחקנים לגיטימיים אשר מעוניינים בפרטיות ואינם רוצים שמהלכיהם הכלכליים יהיו גלויים לכל, בדיוק כשם שכל אחד מאתנו יתנגד לכך שחשבון הבנק שלו יהיה חשוף לעין כל.

הפרוטוקול של טורנדו קאש הוא חוזה חכם אשר פועל על רשת הבלוקצ'יין של אתריום. כמו רוב פרוטוקולי הכלכלה המבוזרת (DeFi) הוא תוכנן להיות Permissionless, כלומר נטול הרשאות ולכן כל אחד יכול להשתמש בו.

היעד המועדף על האקרים

על פי דוח של Chainalysis, מאז שטורנדו קאש הושק באוגוסט 2019 עברו דרכו מעל 7.6 מיליארד דולר. הפרוטוקול זוהה כיעד המועדף על האקרים אשר משתמשים בו להסוואת והלבנת הכספים שגנבו. בין השאר הועברו דרך טורנדו קאש חלק מסכומי הכסף שנגנבו במקרים הבאים: הפריצה לבורסת הקריפטו KuCoinבספטמבר 2020, שבה נגנבו כ-281 מיליון דולר. הפריצה לפלטפורמת הלוואות הקריפטו Vee Finance בספטמבר 2021, שבה נגנבו כ-34 מיליון דולר. הפריצה לבורסת הקריפטו Crypto.comבינואר השנה, שגם בה נגנבו כ-34 מיליון דולר. והפריצה לרשת Ronin במרץ השנה, אשר בוצעה על ידי קבוצת לאזארוס הצפון קוריאנית, שבה נגנבו כ-625 מיליון דולר ושעל פי הערכות כ-455 מיליון דולר מתוכם הועברו דרך טורנדו קאש. כמובן שאלה הם רק המקרים עליהם אנחנו יודעים (מקרים שנחקרו ודווחו).

הרגולטורים מתעוררים

באוקטובר 2021 עדכן כוח המשימה הרב-לאומי לפעולות פיננסיות (FATF) את ההנחיות שלו הנוגעות לספקי שירות של נכסים וירטואליים (VASP – שם כולל לספקי שירות כגון חלפנים, זירות מסחר או שירותי משמורן [Custodian] אשר מספקים שירות במטבעות קריפטוגרפיים). על פי ההנחיות, מפתחים של פרוטוקולים ואפליקציות, כמו גם דמויות נוספות שיש להן השפעה על הפיתוח, אמורים לדאוג לכך שאותם פרוטוקולים לא יאפשרו הלבנת כספים ומימון טרור (כלומר יכילו נהלי CTF / AML) וזאת גם אם חלק מהפרוטוקולים נחשבים למבוזרים, כלומר לכאלה שאין להם גוף ריכוזי השולט על הנעשה בהם.

בעקבות הפריצה לרשת Ronin פנו רשויות החוק למפתחי טורנדו קאש בדרישה למנוע מארנקים המסומנים כשייכים לצפון קוריאה לעשות שימוש בפרוטוקול. בתגובה אמר רומן סמנוב, אחד משלושת מייסדי טורנדו קאש, כי מבחינה טכנית אין כל אפשרות לאכוף סנקציות על פרוטוקולים מבוזרים לאור האופן שבו הם מתוכננים. לדבריו, למפתחים יש גישה לקוד בדיוק כשם שלכל משתמש יש גישה אליו. סמנוב הוסיף כי כל מה שהמפתחים עושים הוא לכתוב קוד ולפרסם אותו בפלטפורמת הפיתוח GitHub וכי כתיבת קוד עונה להגדרה של חופש ביטוי ולכן לא ניתן לטעון שהיא לא חוקית.

מפתחי טורנדו קאש טענו כי אינם יכולים לשלוט בבחירה של גורם כזה או אחר להשתמש בקוד. לדבריהם, טורנדו קאש אינו מוגדר כקאסטודיאן ולכן אינו מחויב בנהלי KYC (הכר את הלקוח), כך שאין ברשותם מידע על זהות המשתמשים בפרוטוקול.

במאי אנשי טורנדו קאש אמנם חסמו כתובות ארנקים שהיו משויכות לקבוצת לאזארוס הצפון קוריאנית (כתובות המשוייכות לפרוצים לרשת Ronin), אך אותן כתובות נחסמו רק משימוש באתר האינטרנט של הפרוטוקול ולא משימוש ישיר בחוזה החכם שלו עצמו.

הטלת הסנקציות

בתחילת אוגוסט המשרד לבקרת נכסים זרים (OFAC) של מחלקת האוצר האמריקנית הכניס את טורנדו קאש, יחד עם 45 כתובות ארנקים הקשורות לפרוטוקול, לרשימת ה-SDN, שהיא רשימה שחורה של אנשים, ארגונים וכתובות ארנקים דיגיטליים. בכך אסר OFAC על אזרחים אמריקנים, חברות אמריקניות וכל גורם בעל זיקה אמריקנית לעשות שימוש כלשהו בטורנדו קאש או בארנקים הקשורים לפרוטוקול. העונש על הפרת האיסור יכול לכלול קנסות של עד 10 מיליון דולר ועונשים של עד 30 שנות מאסר.

במחלקת האוצר אמרו כי למרות הבטחות של אנשי טורנדו קאש שניתנו באופן פומבי, הם נכשלו שוב ושוב ביישום אכיפה מול שחקנים זדוניים ולא הפעילו אמצעים כלשהם כדי להגיב לסיכונים הנוגעים לשחקנים אלו.

ההערכה היא כי בנקודת הזמן בה החוזה החכם של טורנדו קאש וכתובות הארנקים הקשורות אליו הוכנסו לרשימה השחורה, היו בהם במצטבר כ-437 מיליון דולר.

ההבדל בין טורנדו קאש לבין מיקסרים אחרים

הסנקציות נגד טורנדו קאש אינן הפעם הראשונה שבה האמריקנים מכניסים מיקסרים של מטבעות קריפטוגרפיים לרשימות שחורות. הם עשו זאת בעבר, למשל עם המיקסר Bitcoin Fog שנחסם ב-2021. רומן סטרלינגוב, מייסד החברה, נעצר והואשם בהעברת כספים ללא רשיון ובהלבנת כספים. על פי הרשויות, סטרלינגוב הלבין ביטקוין בשווי של כ-336 מיליון דולר על פני תקופה של עשר שנים.

המקרה של טורנדו קאש שונה מהותית משום שמדובר על פרוטוקול DeFi שאינו ריכוזי ואינו נחשב לקסטודיאן במובן הקלאסי של המילה.

מה יהיו ההשלכות של הפרשה על משתמשים פרטיים?

הסנקציות של מחלקת האוצר, אשר אוסרות על כל אזרח וארגון אמריקני להיות באינטראקציה כלשהי עם טורנדו קאש, הובילו גופים רבים לציית להנחיות ולפעול על פיהן.

חברת Circle, מנפיקת הסטייבלקוין USDC, הקפיאה כתובות של חוזים חכמים הקשורים לטורנדו קאש, כשהמשמעות היא שמשתמשים שהפקידו USDCבטורנדו קאש לא יוכלו למשוך מהפרוטוקול את כספם. ספקי שירות שונים כגון פלטפורמות מסחר, חברות הלוואות וחברות תשתית הקפיאו באופן גורף כתובות אתריום שנחשדו כבעלות קשר לטורנדו קאש וחסמו את המשתמשים שלהן מגישה לשירות וכתוצאה מכך מגישה לכספים שלהם, שבאופן כזה או אחר היתה להם זיקה לפרוטוקול.

מנכ"ל קראקן ג'סי פאוול ( Krakenאחת מזירות המסחר הגדולות בעולם למטבעות קריפטוגרפיים הממוקמת ומפוקחת בארה"ב) אמר בראיון לבלומברג שקראקן משתפת פעולה בצורה רציפה עם רגולטורים מסביב לעולם כבר תקופה ארוכה. לגבי טרונדו קאש אמר המנכ"ל שכרגע אין השפעה על הפעילות של קראקן, שלדעתו יש לא מעט אנשים שמתממשים בשירות בשביל פרטיות שהיא דבר לגיטימי בעיניו. יחד עם זאת ציין המנכ"ל שהם עתידים למנוע משיכות של מטבעות לכתובות הקשורות לפרוטוקול וימנעו הפקדות של מטבעות אשר מגיעות מכתובות הקשורות לפרוטוקול.

ההשלכות החמורות במיוחד עלולות להיות עבור משתמשים תמימים אשר התנסו בשירות של טורנדו קאש וסיפקו לו נזילות בתמורה לבונוסים (אשר חולקו באמצעות TORN, הטוקן של הפרוטוקול). זאת משום שבהתאם לנהלי איסור הלבנת הון (AML) עלולים אותם משתמשים להידרש למתן הסברים בנוגע לפעילותם הפיננסית בעולם הקריפטו ומחוצה לו.

בסופו של דבר האחריות היא על המשתמשים

אין ויכוח על כך שפרטיות היא זכות דמוקרטית חשובה, אך יש לזכור כי היא אינה בלתי מוגבלת. במצבים מסוימים גורמי אכיפת החוק נדרשים להפר את הפרטיות של היחיד כדי למנוע פגיעה בבטחון הקבוצה וכדי להגן על השחקנים הלגיטימיים בשוק מפני השחקנים הזדוניים הפועלים בו. השאיפה היא, כמובן, למצוא את שביל הזהב בין הזכות לפרטיות לבין הצורך באכיפת החוק.

טורנדו קאש תוכנן לנטרל את היכולת לעקוב אחר המהלכים הפיננסיים של כלל המשתמשים בו ובאופן טבעי יכולת זו של הפרוטוקול משכה אליו גם פעילות פלילית ענפה.

חשוב לזכור כי השימוש בשירותי ה-DeFi השונים כרוך בלקיחת אחריות רבה מצד המשתמשים, אשר נדרשים לנקוט במשנה זהירות בבואם לבחור עם אילו גורמים ועם אילו כלים הם מעוניינים לעבוד. לא ניתן להסתפק בהעברת האחריות אל הרשויות משום שהן בדרך כלל בוחנות את הדברים רק לאחר מעשה. לכן, כאשר מצטבר מידע על כך ששירות מסוים משמש, לכאורה, לפעילות בלתי חוקית כגון הלבנת הון, אותו מידע אמור לסייע לשחקנים לגיטימיים בהחלטה להתרחק משירות זה.