Ein Verständnis von Tornado Cash, seinen Sanktionsauswirkungen und wichtigen Compliance-Fragen Tornado Cash, der beliebte Ethereum Smart-Contract-Mixer, wurde am 8. August vom Office of Foreign Assets Control (OFAC) des US-Finanzministeriums für seine Rolle bei der Geldwäsche von über 455 Millionen US-Dollar an Kryptowährungen sanktioniert, die von der nordkoreanisch verbundenen Hackerorganisation Lazarus Group gestohlen wurden. Seit seinem Start im August 2019 hat Tornado Cash über 7,6 Milliarden US-Dollar an Ether gemischt. Fast 30 % der über ihn gesendeten Gelder wurden mit illegalen Akteuren in Verbindung gebracht. Aufgrund der einzigartigen Eigenschaften von Tornado Cash - seiner nicht verwahrenden Natur, seines in Smart Contracts kodierten Designs und seines dezentralen Entwicklungsteams - gestaltet sich die Einhaltung von Sanktionen in diesem Fall komplizierter als in früheren Situationen.
Deshalb haben wir diesen Leitfaden verfasst: um Klarheit zu schaffen, wo es möglich ist, und Fragen zu stellen, wo sie noch bestehen. Wir behandeln: - Wie Tornado Cash funktioniert - Die Benennung von Tornado Cash durch OFAC - Sanktions-Compliance-Herausforderungen für: - Zentralisierte Krypto-Unternehmen - DeFi-Plattformen - Mining- und Staking-Pools - Web3-Infrastrukturanbieter - Krypto-Wallet-Anbieter - Stablecoin-Herausgeber - Wie Organisationen Chainalysis nutzen, um das Sanktionsrisiko zu managen Wie Tornado Cash funktioniert Krypto-Mixer wie Tornado Cash sind dazu konzipiert, eine Trennung zwischen den Kryptowährungen, die ein Benutzer einzahlt und abhebt, zu schaffen. Im Großen und Ganzen funktionieren sie, indem sie die Mittel, die von vielen Benutzern eingezahlt wurden, zusammenziehen, sie auf eine scheinbar zufällige Weise mischen und dann eine kleine Servicegebühr abziehen, bevor sie die verbleibenden Mittel an jeden Einzahler zurückgeben. Tornado Cash bildet da keine Ausnahme - obwohl sich seine Details unterscheiden. Tornado Cash: ein dezentraler, nicht verwahrender Smart Contract Technisch gesehen ist Tornado Cash ein dezentraler, nicht verwahrender Smart Contract, was ihn von anderen Arten von Krypto-Mixern unterscheidet.
Lassen Sie uns jeden dieser Begriffe im Zusammenhang mit Tornado Cash definieren: - Dezentralisiert: Der Code von Tornado Cash ist Open Source, und seine Operationen werden - zumindest teilweise - von einer dezentralen autonomen Organisation (DAO) verwaltet. Dieser Quellcode wurde auf Github veröffentlicht, bis die Plattform ihr Haupt-Repository nach der Bekanntgabe der OFAC-Sanktionen entfernte. Ein Kryptographie-Professor an der Johns Hopkins Universität hat ihn daraufhin aus Meinungsfreiheitsgründen erneut hochgeladen. - Nicht verwahrend: Tornado Cash erhält zu keinem Zeitpunkt des Mischvorgangs die Obhut über die Gelder seiner Benutzer. - Smart Contract: Im Kern ist Tornado Cash nur Code, der auf verschiedenen öffentlichen Blockchains wie Ethereum ausgeführt wird.
Entscheidend ist, dass die meisten seiner Smart Contracts so konzipiert sind, dass sie von niemandem geändert oder zerstört werden können, einschließlich der Tornado Cash DAO. Eine Implikation der Dezentralisierung von Tornado Cash, die Regulierungsbehörden und Kryptocompliance-Teams im Auge behalten sollten, ist, dass das Protokoll weiterhin aktiv ist und dass seine Benutzeroberfläche noch über das InterPlanetary File System (IPFS) und über das The Onion Router (auch als Tor bekannt) zugänglich ist. IPFS ist ein verteiltes Peer-to-Peer-Protokoll zum Speichern und Freigeben von Daten, während Tor eine Open-Source-Software ist, die anonyme Kommunikation ermöglicht und umgangssprachlich als "das Darknet" bekannt ist. Wie Tornado Cash Mittel mischt Nach Design gibt es viele Möglichkeiten, Tornado Cash zu verwenden. Der einfachste Ansatz - vor der Benennung durch OFAC - bestand darin, zur Web-App von Tornado Cash zu navigieren und eine Krypto-Wallet anzuschließen.
Ein etwas aufwändigerer Ansatz besteht darin, eine Version der App herunterzuladen, die von einem Computer aus genutzt werden kann. Und der anspruchsvollste Ansatz von allen ist es, eine Befehlszeilenschnittstelle zu nutzen, um mit dem Protokoll zu interagieren. OFAC-Benennung von Tornado Cash Tornado Cash kann eine praktische Lösung für legitime Benutzer sein, die finanzielle Privatsphäre suchen, wie zum Beispiel diejenigen, die an politische Zwecke spenden möchten, ohne die Details öffentlich zu machen, oder diejenigen, die Informationen über ihren Reichtum privat halten möchten. Aber es ist auch attraktiv für Cyberkriminelle, die Geld waschen wollen. In der Pressemitteilung des Finanzministeriums zur Bekanntgabe der Sanktionen von Tornado Cash wurde speziell auf die Rolle von Tornado Cash bei der Geldwäsche von über 455 Millionen US-Dollar an Kryptowährungen hingewiesen, die von der nordkoreanischen Hackerorganisation Lazarus Group von Axie Infinity's Ronin Bridge-Protokoll gestohlen wurde, sowie auf den Empfang von Mitteln, die im Juni und August dieses Jahres von Harmony Bridge und Nomad Bridge gestohlen wurden.
Seit 2019 sind fast 30 % der über Tornado Cash gesendeten Gelder mit illegalen Akteuren verbunden, und die Demokratische Volksrepublik Korea war einer seiner Hauptnutznießer. Die von OFAC genannten Tornado Cash-Adressen beinhalten Einzahlungsadressen, Routingadressen, Proxyadressen und mehr. Sanktions-Compliance-Herausforderungen Die jüngsten Richtlinien von OFAC zu virtuellen Währungen besagen, dass jeder der in diesem Abschnitt behandelten Geschäftstypen sowie alle anderen, die mit der Kryptoindustrie in Verbindung stehen, "angeregt werden, ein auf Risiken basierendes, maßgeschneidertes, regelkonformes Sanktions-Compliance-Programm zu entwickeln, umzusetzen und regelmäßig zu aktualisieren. Solche Compliance-Programme sollten im Allgemeinen Sanktionslisten- und Geoblocking-Screening sowie andere geeignete Maßnahmen gemäß dem individuellen Risikoprofil des Unternehmens umfassen." Es gibt jedoch offene Fragen, wie - und in welchem Umfang - bestimmte Kategorien von Kryptoindustrieprotokollen mit diesen Sanktionen in Einklang stehen können.
Wir behandeln jede dieser Kategorien unten. Zentralisierte Kryptowährungsunternehmen OFAC hat 44 Adressen als Identifikatoren von Tornado Cash aufgenommen. Zentralisierte Krypto-Unternehmen unter US-Jurisdiktion dürfen nicht mit diesen Adressen interagieren. DeFi-Plattformen Eine Front-End-Webanwendung, die zur Interaktion mit einem DeFi-Protokoll genutzt wird, kann Kryptoadressen mit Exposition gegenüber Tornado Cash blockieren, aber die Regulierung hat noch nicht festgelegt, ob ein solcher Block auf Protokollebene notwendig ist oder ob ein solcher Block überhaupt möglich ist. Die Spannung hier entsteht daraus, dass es auf Protokollebene äußerst schwierig ist - oder je nach Governance-Struktur des Protokolls und der Art und Weise, wie es entworfen wurde, vielleicht sogar unmöglich -, eine Transaktion zu zensieren.
Zum Beispiel hat das Design der Ethereum-Blockchain es ermöglicht, dass vermutlich 52.000 US-Dollar in kleinen Tornado-Cash-Zahlungen an Prominente und Branchenakteure gesendet wurden, nachdem die OFAC-Benennung erfolgt war - von denen keiner in der Lage war, diese Zahlungen abzulehnen. Nun haben diese "Dusting Attack"-Ziele die Kontrolle über Vermögenswerte mit Exposition gegenüber Tornado Cash, was weitere Auswirkungen auf die Compliance haben könnte. Mining- und Staking-Pools Eine offene Frage für Bergleute und Mining-Pool-Betreiber lautet: Wenn Sie einen Block abbauen, der eine Tornado-Cash-Transaktion enthält, verstoßen Sie dann gegen OFAC-Vorschriften? Und bei Beweis-aus-Stake-Blockchains, wie sieht es mit Validierern und Staking-Pools aus? In Ermangelung bestehender Richtlinien hat der größte Ethereum-Minenbetreiber, Ethermine, am 9. August, einen Tag nach der Bekanntgabe der OFAC-Benennung, aufgehört, Tornado-Router-Transaktionen in seinen Blöcken einzuschließen.
Doch die Frage bleibt, ob ein Pool letztendlich für die innerhalb seiner Blöcke abgebauten/validierten Transaktionen verantwortlich ist. Web3-Infrastrukturanbieter Zwei beliebte Web3-Infrastrukturanbieter, Infura und Alchemy, blockieren nun den Ethereum-API-Zugriff für Tornado Cash. Das bedeutet, dass Benutzer nicht länger über Alchemy- oder Infura-APIs mit der Tornado-Cash-Benutzeroberfläche verbinden können. Allerdings könnten Infrastrukturanbieter wie DeFi-Protokolle Anwendern möglicherweise nicht den Zugang auf Protokollebene sperren, und es ist unklar, ob solche Verpflichtungen bestehen. Krypto-Wallet-Anbieter Personen, die zentrale, verwahrende Krypto-Wallets betreiben, können Überweisungen an die in der OFAC-Benennung genannten Adressen überwachen und blockieren, aber die Verpflichtungen von nicht-verwahrenden Krypto-Wallet-Anbietern sind weniger klar.
Eine extreme Interpretation könnte bedeuten, dass auch nicht-verwahrende Wallet-Anbieter Überweisungen an die sanktionierten Adressen blockieren müssten, doch dies wäre beispiellos. Da es unmöglich ist, eingehende Transaktionen unabhängig vom Verwahrungsstatus zu blockieren, bleiben Benutzer anfällig für Dusting-Angriffe. Stablecoin-Herausgeber Circle, der Herausgeber von USDC, hat alle USDC in den in der OFAC benannten Tornado-Cash-Adressen eingefroren, aber andere Stablecoin-Ausgeber wie Tether haben argumentiert, dass es noch nicht sicher sei, ob Stablecoin-Ausgeber verpflichtet sind, die von sanktionierten Adressen gehaltenen Vermögenswerte einzufrieren. Wie Chainalysis Organisationen bei der Bewältigung von Sanktionsrisiken hilft Chainalysis bietet eine vollständige Compliance-Suite für Kryptowährungsdienste - einschließlich solcher in DeFi -, die von einfachen, kostenlosen Tools bis hin zu leistungsstarken, datengesteuerten Transaktionsüberwachungslösungen reicht. Kunden sollten maximale Flexibilität haben, um ihre Compliance-Prozesse entsprechend ihrer eigenen Risikotoleranz zu gestalten.
Unsere grundlegendsten Lösungen sind speziell für dezentrale Web3-Protokolle wie DEXs, DeFi-Plattformen, DAOs und DApps konzipiert, damit sie leicht überprüfen können, ob sie mit Kryptoadressen in Verbindung treten, die mit sanktionierten Entitäten verbunden sind. Diese Tools umfassen: - Eine für Web-/Mobile-UIs und Webserver konzipierte API: Benutzer erhalten einen API-Schlüssel, mit dem sie überprüfen können, ob eine interessierende Adresse auf der Sanktionsliste steht oder nicht. - Ein On-Chain-Orakel, das für Smart Contracts konzipiert ist: Benutzer können das Chainalysis-Orakel aus einem anderen Smart Contract aufrufen, um zu überprüfen, ob eine Adresse auf einer Sanktionsliste steht. Der nächste Schritt auf der Compliance-Reife-Reise ist ein tieferes Adressen-Screening, das leistungsstarke zusätzliche Kontextinformationen wie gruppierte Adressen, weitere Kategorien wie gestohlene Geldmittel, Betrugs-Shops, Darknet-Märkte und mehr umfasst. Das Adressenscreening richtet sich an dezentrale Web3-Organisationen, die die Kraft der Chainalysis-Daten nutzen möchten, um automatisch zu verhindern, dass Hochrisikobenutzer sich mit ihrer Plattform verbinden.
Dies zeigt einen proaktiveren Risiko- und Compliance-Ansatz mit einer vollständig programmatischen Lösung. Der letzte Stopp auf dieser Reifereise ist die Echtzeit-Transaktionsüberwachung durch eine benutzerfreundliche Benutzeroberfläche und eine Echtzeit-API. Diese Fähigkeit ist ideal für Compliance-Organisationen, die manuelle Workflows reduzieren und vereinfachen müssen, wie sie Informationen mit ihren Banken und Regulierungsbehörden teilen. Diese Webseite enthält Links zu Websites von Drittanbietern, die nicht unter der Kontrolle von Chainalysis, Inc. oder seinen Tochtergesellschaften (im Folgenden gemeinsam "Chainalysis") stehen.
Der Zugriff auf derartige Informationen bedeutet keine Assoziation mit, Zustimmung, Billigung oder Empfehlung durch Chainalysis der Website oder ihrer Betreiber, und Chainalysis ist nicht verantwortlich für die Produkte, Dienstleistungen oder sonstigen Inhalte, die dort gehostet werden. Dieses Material dient nur zu Informationszwecken und ist nicht dazu gedacht, rechtliche, steuerliche, finanzielle oder Anlageberatung bereitzustellen. Empfänger sollten ihre eigenen Berater konsultieren, bevor sie diese Art von Entscheidungen treffen. Chainalysis übernimmt keine Verantwortung oder Haftung für Entscheidungen oder andere Handlungen oder Unterlassungen im Zusammenhang mit der Nutzung dieses Materials.
