原文标题:《币圈华为事件:从美国监管角度看为什么 Tornado Cash 会迎来制裁及后续猜想》、《从 Tornado 使用者看待美国制裁这件事》
原文作者:David、Xiang
监管事件:
8月8日,美国财政部下属外国资产控制办公室 (OFAC)宣布对加密混合器(mixer)Tornado Cash实施制裁,称该服务在过去三年中洗钱超过 70 亿美元,并帮助朝鲜国营黑客组织 Lazarus Group 逃避美国的处罚。洗钱的总额包括 3 月份 Lazarus Group 4.55 亿美元,以及 6 月份 Harmony Horizon Bridge 的黑客获利的9600 万美元。
截止目前,受到影响的部分有:
与 Tornado Cash 有交互被列入 SDN 的部分以太坊及 USDC 地址及 USDC 资产
Tornado Cash 的 Github 代码库及前端官网已经无法访问
监管背景分析:
背景 1:本次制裁更多动机在于美官方确保针对加密黑客的金融制裁有效
本次实施制裁的是 OFAC,属于美国财政部下属专门执行针对海外机构或个人金融制裁的机构。其日常工作并不直接涉及加密行业的监管,而是监控海外敏感资金流,同时确保其制裁措施能够落实。之前在美国政府针对伊朗、朝鲜、俄罗斯甚至中国华为的制裁中都有 OFAC 活跃的身影。其会定期发布著名的特别制裁人员名单(SDN),名单上的人员或者组织的资产被冻结,美国公民通常被禁止与他们打交道。
在此次制裁 Tornado Cash 之前,4 月 14 日,OFAC 根据朝鲜制裁条例将 Lazarus 列入SDN 名单。据 2020 年美国政府发布的一份军事报告,朝鲜的黑客计划至少可以追溯到 1990 年代中期,并且已经发展成为一个拥有 6000 人的网络战部队。区块链分析公司 Chainalysis 表示,Lazarus 在 2021 年对加密平台的至少七次攻击中窃取了价值近 4 亿美元的数字资产。2022 年该组织还发动了对 Axie Infinity 的攻击,获取了 173,600 以太币(约合 5.97 亿美元)和价值 2550 万美元的 USDC 等共 6.25 亿的资产。这是迄今为止金额最大的一笔去中心化黑客攻击。另据 BEOSIN 统计,今年上半年有 11.4 亿美元的被盗资产被黑客转移到了 Tornado Cash,约占同期所有被盗资产的 60%。
如下图,在美国进行加密监管的“三驾马车”中,SEC 与 CFTC 主要厘定资产属性(属于商品还是属于证券?),并对各自认为是证券或商品的代币进行相应的监管;而美国财政部下属机构更加多元,国税局主要看加密交易是否纳税,FinCEN 主要关注美国国内的洗钱及反恐,而 OFAC 主要负责执行对海外黑名单机构或个人的金融制裁,这三者都需要长期跟踪链上交易数据,分析判断,精准执法。
背景 2:加密资金流动监管及处罚开始被放到与传统资金流动监管同等的位置上
在全球资金流动越来越通过加密协议进行的背景下,OFAC 于 2021 年发布了一本关于虚拟货币制裁合规指南的手册,说明 OFAC 制裁合规义务同样适用于涉及美国公民虚拟资产持有人。
若美国人认为其持有被制裁的加密资产,必须在十个工作日内向 OFAC 汇报。
加密资产行业的成员有责任确保他们不直接或间接参与 OFAC 制裁禁止的交易,例如与被制裁人员或财产进行交易,或从事被禁止的贸易或投资相关交易。OFAC 有权对未能遵守的行为实施民事处 OFAC 制裁要求。
背景 3:针对加密交易中的隐私增强技术的处罚早就发生多次,预计针对隐私技术的监管将会持续进行
目前增长趋势是犯罪分子使用隐私增强技术,或在的不透明区块链上进行操作。这些隐私增强资产或商业服务(混合器),帮助犯罪分子隐藏资金的流动及资金来源。
隐私增强技术给试图追踪非法收益的调查人员带来了挑战。OFAC 就曾指出门罗链 Monero 采用了:
环签名技术,用于隐藏交易发起人的身份;
环保密技术用于掩盖交易金额;
隐藏地址技术用于掩盖收款人身份。
同时这些交易也没有向门罗区块链进行广播,而是用一次性生成地址进行了掩盖。
例如,
2020 年底,FinCEN 就对混合器 Helix 的创办人 Larry Harmon 进行了 6000 万美元的罚款,理由是其未进行合法注册,且参与协助了暗网涉毒资金转换成加密货币。
2021 年底,OFAC 与 FBI 合作,宣布了对一家名为 SUEX 的加密交易所的限制措施,称其故意“为非法活动提供便利”,并表示将加强对混合器的监管。
今年 5 月,OFAC 对另一家加密货币混合服务 Blender.io 实施制裁,原因是它协助 Lazarus 洗钱超过 2000 万美元。OFAC 发言人表示此次针对混合器的监管将不会是最后一次。
事实上,TORNADO.CASH 今年 4 月份已经发推表示将利用 Chainanalysis 的预言机协议来阻止 OFAC 制裁的地址访问该平台。但 Tornado Cash 联合创始人 Roman Semenov 曾经在采访表示,由于去中心化协议的设计方式,对去中心化协议实施制裁“在技术上是不可能的”。因为本身 Tornado 采用的就是智能合约部署+零知识证明技术。 即使 Github 被封了,智能合约还是在以太坊上运行的,合约代码本身在以太坊浏览器上也是公开的。
小结:
结合美国金融体系多头监管的大背景,监管机构各司其职,在立法执法的过程中涉及到加密行业的部分往往会带来对行业的过度解读。
OFAC 不至于不知道去中心化智能合约在某些层面无法控制的技术背景,但结合 OFAC 的执法要求,与 Lazarus 目前造成对加密生态的破坏情况,恐怕采取相对极端的措施也是不得已而为之。后续对于隐私赛道的影响还需要持续观察。
从 Tornado 使用者看待美国制裁这件事
Tornado 号称史上最严厉制裁,很严重。但作为 Tornado 用户之一,被封对于个人而言,似乎影响没有那么大。
目前已发现限制的部分:
制裁部分与 Tornado Cash 协议或与之相关的以太坊地址
USDC 发行商 Circle 已将美国制裁名单中的地址列入黑名单
Github 下架了 Toranado 的代码库
Toranado 前端官网被禁止访问
体验感觉影响不大原因:
尽管被美国制裁了,但是并未影响大家的使用,主要因为本身 Tornado 采用的就是智能合约部署+零知识证明技术。 即使 Github 被封了,智能合约还是在以太坊上运行的,合约代码本身在以太坊浏览器上也是公开的。
前端被禁止访问了,懂技术的可以直接通过智能合约接口去调用。不懂技术的也可以通过 IPNS 或者直接通过 IPFS 的 CID 去访问,IPFS 是 P2P 网络,基本封锁不完的。
附上一个 CID 链接:https://bafybeicu2anhh7cxbeeakzqjfy3pisok2nakyiemm3jxd66ng35ib6y5ri.ipfs.dweb.link/
用户可以用以上链接继续访问 Toranado 页面并交互,该链接是通过网关转换成 http 协议的,所以可以用任意浏览器打开使用,也有直接基于ipfs协议直接访问的方式,
例:ipfs://bafybeicu2anhh7cxbeeakzqjfy3pisok2nakyiemm3jxd66ng35ib6y5ri/
前提得使用支持 IPFS 解析的浏览器,例如 Brave,Opera 等。
值得一提的是,Toranado 文档页面(https://docs.tornado.cash/)至今也都没有被封 ,如何使用 Toranado 交互及其原理的教程都还在。
并且,Tornado 提币只需要证明,可以任意地址提币,比如一个全新的地址没有任何交互的地址,只要提币的是 ETH,该地址还是能与任意合约正常交互使用, 这也是为啥各种黑客攻击与闪电贷攻击的初始资金大部分都是从 Tornado 提取出来的原因。
受影响主要分 3 类:
被美国加入制裁名单的地址,这部分地址会被禁止与美国相关的一些交互,但不影响该资金在以太坊链上的使用。
被 USDC 发行商 Circle 加入黑名单的地址,由于 USDC 是被中心化控制的,可能这部分地址的 USDC 不能再正常使用。
就是对技术不了解的普通用户,看官网打不开可能就放弃使用。
最后关于 Tornado 事件引起的关于 Web3 的反思,如何避免被某一权威制裁:
Web3 需要一个去中心化代码托管平台(避免 Github 被封的情况)
Web3 需要一个更加去中心的稳定币(USDC 由于中心化所影响极易被制裁控制)
需要 IPFS 的更多被采用,像智能合约把后端去中心化后,去中心化的前端仍需普及(避免前端被封)
去中心化域名作为访问中心化前端访问入口的普及
Tornado 事件可能只是开始,Web3 的发展也同样如此,持续观察,也持续成长。