嗨,早!
如果近期你的錢包收到來路不明的加密貨幣,要多加小心了。它可能是天上掉下來的禮物,也可能是包著糖衣的毒藥。
最近有許多名人,包括 Coinbase 執行長 Brian Armstrong、知名電視主持人 Jimmy Fallon,以及 NFT 藝術家 Beeple 在 8 月 8 日前後,不約而同都在錢包裡收到一筆從 Tornado Cash 轉來的 0.1 顆 ETH。這可不是在替他們慶祝台灣父親節,而是一場惡作劇。
起因是美國財政部在本週宣布,即刻將 Tornado Cash 這款「惡名昭彰」的混幣器服務列入制裁名單。與這款服務有直接關聯的 4.37 億美元資產隨即遭到凍結,所有美國人也被禁止與這款服務打交道,否則最高恐怕得面臨數百萬美元罰款,甚至 30 年牢飯。
而那些收到 0.1 ETH 的錢包地址,等於是被「污染」了。畢竟,交易所分不清楚使用者轉入的 ETH 是不是屬於該被制裁的資金。最簡單的方法就是直接封殺那些從 Tornado Cash 拿到資金的錢包地址。因此才會有人惡作劇,送錢陷害別人。
這篇文章討論 Tornado Cash 為何遭到美國制裁、這項禁令對幣圈有哪些影響,以及為何全球媒體都高度重視這起事件的後續發展。
制裁令
根據美國財政部的公告:
美國財政部外國資產控制辦公室(OFAC)宣布對加密貨幣混幣器 Tornado Cash 進行制裁。該服務自 2019 年創建以來不斷被用來洗錢,處理的加密貨幣總價值超過 70 億美元。
雖然大多數加密貨幣活動是合法的,但犯罪者可以透過混幣器、暗網市場及交易所來逃避制裁。由於 Tornado Cash 遲遲無法提出具體措施阻止其服務定期為惡意網路行為者洗錢,因此財政部主動出擊,打擊這款協助犯罪分子洗錢的混幣器。
美國政府會這麼生氣,不是沒有原因。
今年 4 月 Ronin 跨鏈橋遭到駭客入侵1,約有 6 億美元的加密貨幣被駭客偷走,成為史上失竊金額最高的加密貨幣竊案。其中,有大約 4.55 億美元被轉入 Tornado Cash 洗錢之後就不知去向。
事後美國 FBI 調查認定,這起駭客事件的幕後主使者是北韓的三大駭客組織之一拉薩路(Lazarus Group)。但這還只是開端。接下來幾個月 Harmony 跨鏈橋、Nomad 跨鏈橋陸續遭駭,再度弄丟超過 1 億美元的加密貨幣。
雖然暫時還不知道這兩起竊案幕後的主使者,但巧合的是,所有失竊資金最終都不約而同地流向 Tornado Cash 後就不知去向。美國長期經濟制裁北韓,如果事後發現錢又是落入北韓駭客口袋,等於是讓制裁效果大打折扣。
要知道北韓在 2020 年的出口收入只有 8,900 萬美元。這些從幣圈搶來的錢,已經讓北韓多賺了好幾年的出口收入。因此,美國財政部索性直接將 Tornado Cash 以及相關地址列入制裁名單,打算斬草除根。
消息一出,所有美國公司都動了起來。避免違法。
USDC 發行商 Circle 開出第一槍,宣佈凍結所有存在 Tornado Cash 的 USDC 資金。Coinbase 交易所也禁止用戶將資產提領到 Tornado Cash,就連曾經替 Tornado Cash 智慧合約修改程式碼的開發者,帳號也遭到 Github 停權。現在 Tornado Cash 的網站已經進不去了。
其實這已經是美國財政部第二次將混幣器列入制裁名單。三個月前,Blender.io 這款混幣器就率先遭到制裁,理由同樣是北韓駭客組織拉薩路將贓款匯到 Blender.io 洗錢。只不過,當時社群對這起事件並沒有太多討論。
沒想到這週財政部公告制裁 Tornado Cash,卻激起社群強力反彈。甚至已經有人透過 IPFS2,將原本被強制下架的網站重建回來,與美國政府對抗。財政部官員看到這裡大概會覺得莫名其妙,同樣是制裁混幣器,為什麼社群反應天差地別?
關鍵在於美國政府踩到隱私與隱匿的紅線3,一竿子打翻一船人。
清白證明
區塊勢曾在今年 4 月介紹過 Tornado Cash 這款服務,文章標題是〈Tornado Cash:駭客最愛的混幣器與平民的隱私工具4〉。它的操作方法非常簡單,總共只有三個步驟:存款、等待和提領。
以下圖為例,使用者得先將加密貨幣拆分成指定金額存入 Tornado Cash,並等待一段時間。等待的時間越久,交易的隱私性就越高。日後使用者可以再憑手上的存款憑證向 Tornado Cash 提款,只要領到不同地址就能保障個人交易隱私。
換句話說,Tornado Cash 是扮演加密貨幣的「金流斷點」。它將不同來源的加密貨幣混在一起,並讓用戶從其他的錢包地址領幣,藉此中斷資金追蹤鏈。
從區塊鏈上的金流紀錄來看,雖然可以看得到 Tornado Cash 智慧合約的所有金流進出。但只要人們的存錢地址與領錢地址不同,外人根本難以分辨最初的資金來源是哪裡。
這項功能在日常生活中相當有用。舉例來說,以太坊創辦人,同時也是俄裔加拿大籍的 Vitalik Buterin 就透露自己曾用 Tornado Cash 匿名捐款給烏克蘭。畢竟誰也不知道,俄國政府會不會事後追究捐款給烏克蘭的人。
此外,現在也有許多新創公司是以加密貨幣發薪水。如果沒有特別保護隱私,公司透過區塊鏈一查就知道員工的錢包裡持有多少加密貨幣。因此有人會選擇先以免洗錢包領薪水,將薪水轉入 Tornado Cash 製造金流斷點,最後才領到常用的錢包。
個人持有多少資產並非不可告人的秘密,卻沒必要被公司看光光。這就是隱私,也是基本人權。
只不過駭客也會用這套隱私工具來洗錢,隱匿不法所得。因此 Tornado Cash 推出「清白證明」(compliance report)讓人們在必要時刻能將原本由 Tornado Cash 創造的「金流斷點」接回來,完整還原資金流向。
注重隱私的用戶可以在必要時刻出示報告,證明資金來源並無不法。反觀隱匿贓款的駭客一旦出示報告就會原形畢露。Tornado Cash 推出的這項功能,就是幫助人們能輕易區分隱私(privacy)和隱匿(secrecy)的差異。
但實務上只要不是每家交易所都要求用戶出示資金的「清白證明」,最終駭客還是可以得逞。
Tornado Cash 的支持者會說「清白證明」已經是最有誠意的做法了,能不能杜絕洗錢 Tornado Cash 根本管不著。但美國政府則會說,我們看的是結果。事實上就是駭客會用 Tornado Cash 洗錢,而且遲遲沒有應對措施,因此列入制裁是必要手段。
一方要保護隱私,另一方要杜絕隱匿。但美國政府卻顧此失彼,衍生出一大堆新問題。
因噎廢食
說 Tornado Cash 或許大家不容易理解,但菜刀就親民得多。刀具可以切菜,也有殺傷力。
2017 年中國全國代表大會召開期間,政府為了確保出席者的人身安全,便禁止在北京超市販售各類刀具。剪刀、菜刀和美工刀都暫時下架。如果民眾不得已要買菜刀,就要留下通訊地址由商家郵寄到指定地點。甚至還傳出新疆公安局要求民眾家中所有銳利的工具,通通都得印上身分證號碼。否則一律沒收。
大家一眼就能看出這項政策的荒唐之處。防治犯罪的主角是人,但中國政府卻為此限制民生必需品。類似的狀況現在也出現在幣圈。Tornado Cash 不是一家企業,而是在眾多區塊鏈上運作的一段程式碼。從功能上來看,它就像是一把「菜刀」,取決於人們如何使用。
現在美國政府卻以混幣器的負面用途為由,宣布制裁這項工具。光從這段話,你就能聽出荒謬之處。工具要如何被制裁?
政策倡議組織 Coin Center 就指出,政府制裁的對象通常要是中心化的企業或者個人。如果是錢包地址,背後也代表的是某個人。從來沒聽過制裁某項工具的做法。畢竟工具人人都可以創造,不僅無法被制裁也制裁不完。遑論 Tornado Cash 的前端網站、後端系統都是開源程式碼,任何人都可以改個名稱重新上架另一款混幣器。政府肯定疲於應付。
除此之外,區塊鏈的礦工們也得擔心違法的風險。如果用傳統的中心化系統比喻,礦工就好比是協助 Tornado Cash 運作的「機房」。理論上警方若要關閉某項網路服務,就要從機房下手。但礦工分布在世界各地,美國政府根本抓不完。
人們不希望活在毫無隱私的數位世界,但也不會樂見駭客洗錢的歪風盛行。我相信多數人都可以理解美國政府制裁 Tornado Cash 的理由。問題出在政府希望以中心化的制裁手段,立竿見影。但去中心化的工具,必須有去中心化的應對方法。例如鼓勵交易所查核清白證明,杜絕非法資金流入,而不是直接封殺 Tornado Cash。
用錯方法,恐怕只會事倍功半。
區塊勢是由讀者付費訂閱來維持營運的獨立媒體。如果你覺得區塊勢的文章不錯,歡迎你分享這篇文章或是到會員成立的 Discord 參與討論。
此外,也請大家推薦區塊勢給親朋好友。若想查閱區塊勢過往的出刊內容,可以參考文章列表。有鑒於常會有讀者寄信來問我推薦碼,因此我將它們整理成一頁。歡迎大家使用。
美國制裁 Tornado Cash:被洗錢污名化的隱私工具