• Di. Jan 31st, 2023

Kryptokoll

Kryptowährungen Am Besten Erklärt 2021

Der Moment der Wahrheit: Sanktionen gegen Privacy-DAO Tornado Cash

Aug 9, 2022

Bild von NOAA Photo Library via flickr.com. Lizenz: Creative Commons

Das US-Finanzministerium verhängt Sanktionen gegen den Smart Contract „Tornado Cash“ auf Ethereum. Das Ökosystem reagiert entrüstet, aber nicht erstaunt, und einflussreiche Unternehmen ordnen sich unter. Für den Smart Contract könnte das die Feuertaufe sein.

Alles passiert zum ersten Mal. Das US-Finanzministerium erklärt heute, dass es den Mixer „Tornado Cash“ auf die Sanktionsliste setzt, da er virtuelle Währungen Wert von mehr sieben Milliarden Dollar gewaschen hat.

Zum Beispiel: 7,8 Millionen Dollar aus dem Nomad-Hack vorige Woche, 96 Dollar aus dem Hack der Harmony Bridge im Juni, 455 Millionen Dollar von der Lazarus-Gruppe, einer Hacker-Gruppe im Dienste der Regierung Nordkoreas.

Soweit, so klar. Kriminelle benutzen Mixer, und die US-Regierung verfolgt sie. Hat sie die Mittel, sie dingfest zu machen, greift sie zu, wenn nicht, verhängt sie Sanktionen. Keine Überraschung an dieser Stelle.

Interessant wird es, wenn wir Tornado Cash anschauen. Denn das ist kein Dienstleister, wie ein Mixer, sondern ein Smart Contract. Tornado Cash selbst existiert nicht im Raum. Es bildet eine Dezentrale Autonome Organisation (DAO).

Die Mutter aller DeFis

Wenn man die ethische Frage ausklammert, ist es traurig, dass Tornado Cash womöglich sterben muss. Denn technisch ist die DAO faszinierend:

Auf der einen Seite gibt es Liquiditätspools: Man zahlt bestimmte Beträge in die DAO ein, und holt sie danach mit einem anderen Account wieder heraus. Bei geschickter Stückelung bleibt absolut keine Spur auf der Blockchain übrig. Tornado Cash funktioniert in dieser Hinsicht wie ein klassischer Mixer.

Bei einem klassischen Mixer wird die Liquidität allerdings von einer zentralen Partei gestellt. Tornado hat keine zentrale Partei; daher geben an ihrer statt die Mitglieder der DAO Ether, Stablecoins und Token in Liquiditätspools und erhalten dafür Gebühren. Sie betreiben „Liquiditätsmining.“ Im Grunde ist Tornado Cash die Mutter aller DeFis.

Aber ein Problem bleibt: Woher weiß die DAO, dass man etwas eingezahlt hat? Wie kann man dies beweisen, ohne die ursprüngliche Adresse zu enthüllen? Bei einem klassischen Mixer würde man verschlüsselte Nachrichten austauschen. Onchain geht dies nicht.

Hier kommen Zero-Knowledge-Proofs ins Spiel: Sie erlauben, zu beweisen, dass man etwas weiß – etwa eine Signatur -, ohne diese zu enthüllen. Es übersteigt meinen kryptographischen Horizont bei weitem, aber wie es aussieht, funktioniert es zuverlässig: Man beweist, dass man die Kontrolle über eine der Adressen hat, die Geld eingezahlt hat, ohne zu enthüllen, welche.

Bis Mitte 2020 kontrollierten die Entwickler die Liquiditätspools durch die Admin-Adressen. Dann haben sie im Smart Contracts die Admin Adressen auf 0x000000000000000000000000000000000000 gesetzt – die klassische Burn-Adresse bei Ethereum.

Die Smart Contracts sind damit nachweislich unveränderbar und unaufhaltbar. Keiner hat die Kontrolle. Solange die Ethereum-Blockchain steht, ist Tornado Cash unaufhaltbar wie ein Gewitter.

Die Sanktionen

Die US-Regierung scheint anzuerkennen, dass Tornado Cash nur im Cyberspace existiert. Es gibt niemanden, den sie verhaften, keinen Server, den sie abschalten, keinen Smart Contract, den sie löschen kann. Tornado Cash ist unerreichbar.

Da ein Mixer für virtuelle Währungen aber eine „Bedrohung der Nationalen Sicherheit“ darstellt, muss die Regierung etwas tun: Sie verhängt Sanktionen, wie bei ausländischen Kriminellen. Das Finanzministerium setzt eine Reihe von Ethereum-Adressen auf eine Blacklist, unter anderem die Adressen aller Liquiditätspools. Dies hat die folgenden Konsequenzen:

  • Assets von Tornado Cash, die sich in den USA oder in Händen von US-Amerikaner befinden, werden blockiert und müssen gemeldet werden.
  • Unternehmen, die zu 50 Prozent im Besitz von blockierten Individuen oder Entitäten liegen, sind ebenfalls zu blockieren.
  • Es ist US-Amerikanern verboten, mit blockierten Entitäten zu interagieren.

Kurzum: Niemand, der in den USA lebt, US-Bürger ist oder mit US-Bürgern Geschäfte treibrt, soll Geld an Tornado Cash überweisen oder von der DAO empfangen, und wenn er das in der Vergangenheit gemacht hat, hat er möglicherweise ein Problem.

Es ist verboten, sich Geld auszahlen zu lassen, das in einem Liquiditätspool liegt. Vermutlich ist es sogar verboten, Geld zu empfangen, das sich jemand aus einem solchen Pool ausgezahlt hat.

Die Einschläge

Offenbar hat sich das Finanzministerium im Vorfeld mit vielen großen Unternehmen in den USA abgestimmt: Am selben Tag, an dem es die Meldung herausgab, gingen die Lichter von Tornado Cash aus.

Zunächst ging die Webseite offline, vermutlich, weil der Provider sie geblockt hat. Github legte nach und blockierte das Software-Repository von Tornado.

An sich sollte das kein Problem sein. Genau dafür wurde Tornado ja gemacht: als unaufhaltbarer Smart Contract, der auch ohne Webseite funktioniert. Man könnte es eine Feuerprobe nennen, und derzeit sieht es nicht aus, als würde Tornado sie bestehen.

Weil ein Ethereum-Node ein ziemliches Monster ist, benutzen die meisten User indirekt Nodes von Infura oder Alchemy über ihre Wallet. Diese beiden Unternehmen haben heute begonnen, RPC-Requests an Tornado zu blocken. Man kann mit den Wallets nicht ohne weiteres mit den Smart Contracts von Tornado interagieren.

Freilich: Tornado Cash lebt. Der Smart Contract ist noch immer da. Man kann die Blockade umgehen, weil sie nur im Frontend steckt. Aber wer macht das schon? Kommerziell gesehen könnte bereits das der Todesstoß gewesen sein.

Doch es geht noch weiter: Center, die Herausgeberin des USDC-Stablecoins, setzt prompt alle mit Tornado verbundenen Adressen auf eine Blacklist im Smart Contract des Tokens. 75.000 Dollar sind eingefroren, nicht off-, sondern onchain: mit der Unaufhaltbarkeit des Smart Contract. Blockchains können ein scharfes Schwert für Regulierer sein, und Center ist gerne bereit, dieses zu halten.

Wie es weitergeht

Indem es eine DAO sanktioniert, betritt das US-Finanzministerium Neuland. Der Smart Contract wird zwar seinem Versprechen gerecht, dass man ihn nicht abschalten kann – aber die Sanktionen treffen schwer.

Gerade bei Ethereum ist dies tragisch, weil Privacy bitter nötig wäre. Anders als bei Bitcoin ist es bei Ethereum üblich, eine Adresse immer wieder zu verwenden und sich mit ihr bei DAPPs zu identifizieren. Es mag sein, dass Tornado Cash von Kriminellen benutzt wurde – sie sollte aber von jedermann benutzt werden.

Die Sanktionen bestätigen diejenigen, die sagen, echte Privatsphäre könne nicht optional sein. Wenn alle Transaktionen privat sind – wie bei Monero – haben Sanktionen und Blacklists keinen Anhaltspunkt. „Privacy as a Service“ dagegen, ob durch einen Mixer oder Smart Contract, macht es möglich, den Service zu sanktionieren.

Wie wird es weitergehen? Vielleicht wird sich Tornado Cash erholen. Der Smart Contract läuft ja weiter. Vielleicht werden sich Wallets wegen des Vorfalls stärker dezentralisieren, vielleicht wird die Blockchain mit dem Merge handlicher, vielleicht verbessern Wallets ihren Datenschutz, vielleicht bringen sich anonyme Rollups und Sidechains ins Spiel. Das Katz- und Mausspiel ist noch lange nicht zu Ende.

Allerdings wissen wir jetzt eines: Smart Contracts und DAOs müssen damit leben, zum potenziellen Objekt von Finanzsanktionen zu werden. Der Welpenschutz ist vorbei.


Quelle: BitcoinBlog.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

* Bitte stimmen Sie unseren Datenschutzbedingungen zu.