DBC Deep Dive: Tornado Cash - voorbode van nieuwe cryptowars?
Dit artikel is onderdeel van de reeks #DBCDeepDives over Digital assets en Web 3.0 in samenwerking met LekkerCryptisch.
Op 8 augustus maakte de Amerikaanse overheid bekend dat het Tornado Cash op de Specially Designated Nationals And Blocked Persons List oftewel de SDN-lijst van de Office of Foreign Assets Control (OFAC) is gezet.
Die OFAC-lijst is de sanctielijst waarop aangewezen personen staan waarmee Amerikaanse burgers en bedrijven geen zaken mogen doen. Dat heeft een directe impact op ontwikkelaars en bedrijven die zijn gevestigd in de VS. Veel bedrijven, in het bijzonder multinationals, buiten de VS passen de Amerikaanse sanctielijsten ook toe om te voorkomen dat ze problemen krijgen op de Amerikaanse markt (achtergrondinformatie van de NVB).
Op het overtreden van deze sanctielijsten staan gevangenisstraffen en hoge boetes. Voor het eerst zijn er nu een website (tornado.cash) en Ethereum (ETH) adressen van de smart contracts op de sanctielijst gezet. Dat betekent dat interactie met die adressen voor Amerikanen strafbaar is geworden.
Tornado Cash is een zogenaamde ‘mixing dienst’. Het idee van een mixing dienst is dat je de verbinding verbreekt tussen de geschiedenis en de toekomst van assets. Daar kunnen legitieme redenen voor zijn, bijvoorbeeld omdat je jouw salaris ontvangt op een bepaald Ethereum-adres maar niet wilt dat jouw baas ziet waaraan je het uitgeeft. Of je wilt anoniem een donatie doen aan een goed doel.
Mixing als concept/infrastructuur bestaat al decennia, maar dan vooral gericht op informatie. Mixing kan ervoor zorgen dat niet alleen de inhoud versleuteld is maar ook het transport van de informatie omdat dat ook informatie is die privacy kan opheffen. Ook als je niet weet wat er precies is gecommuniceerd, dan kan de wetenschap wie op welk moment, voor hoe lang en hoe vaak heeft gecommuniceerd met een ander verstrekkende gevolgen hebben.
Waarom grepen de Amerikanen hard in? De minister van buitenlandse zaken van de VS Blinken stelde in een snel weer verwijderde tweet dat Tornado Cash een tool was van een Noord-Koreaanse hackersgroep. Volgens de VS is er 7 miljard USD witgewassen via Tornado Cash.
Ontwikkelingen in de dagen na 8 augustus
Na 8 augustus volgden de ontwikkelingen elkaar snel op. Allereerst omdat iemand 0.1eth stuurde naar ETH wallet-adressen van bekende personen of bedrijven.
Daarmee werd een interessant fenomeen blootgelegd, omdat al deze mensen zonder eigen handelen binnen de kortste keren niet meer konden interacteren met allerlei Decentralized Finance (DeFi)-diensten. Deze diensten hadden de Amerikaanse sancties inmiddels doorgevoerd op hun front ends, de websites waarmee de gemiddelde gebruiker interacteert met DeFi-diensten.
Dit roept de vraag op hoe gedecentraliseerd Decentralized Finance eigenlijk is. Het is goed om te onderstrepen dat de onderliggende smart contracts niet geraakt worden, maar als gewone, niet-technische gebruiker heb je onverminderd last van de invoering van sancties omdat je via de front end interacteert met DeFi-diensten. En die front ends worden gemaakt en beheerd door centrale partijen die zich aan sancties moeten houden als ze in de VS zijn gevestigd.
Op 10 augustus publiceert de FIOD een persbericht waarin de arrestatie van Alex Pertsev, een in Nederland woonachtige ontwikkelaar van Tornado Cash, wordt vermeld. Hij wordt verdacht van ‘betrokkenheid bij het verhullen van criminele geldstromen en het faciliteren van witwassen met het mixen van cryptovaluta via de gedecentraliseerde Ethereum mixingservice Tornado Cash’ (persbericht FIOD). Het is vooralsnog onduidelijk waar Pertsev precies van wordt verdacht. Heeft hij alleen code gemaakt of heeft hij actief geholpen bij het witwassen van geld door bijvoorbeeld Noord-Korea? Is het het laatste, dan is het legitiem om hem te vervolgen. Maar is er sprake van alleen het eerste, dan moeten we nog een stevige discussie voeren.
Censuurbestendigheid onder het vergrootglas
De gang van zaken rond Tornado Cash riep de vraag op hoe censuurbestendig Ethereum en andere decentrale protocollen zijn.
Als sancties worden doorgevoerd op front-end niveau, dan leidt dat tot praktische problemen. De smart contracts blijven onaangetast, maar voor de communicatie tussen front-end (veelal een website) en smart contracts worden vaak services gebruikt, zoals Infura. Die zouden te maken kunnen krijgen met de druk om sancties door te voeren. En dan zijn er - tot de recente The Merge - nog de miners die transactieblokken voorstellen en controleren en staking services van grote partijen zoals Coinbase.
Tech stack Ethereum, bron: https://www.preethikasireddy.com/post/the-architecture-of-a-web-3-0-application
Tornado Cash: veel onbeantwoorde kwesties
De Amerikaanse sancties hebben veel losgemaakt. Ze roepen in elk geval de vraag op waar de grens ligt voor wat betreft de verantwoordelijkheid van toepassingen die worden ingezet voor criminele activiteiten. Als een Audi wordt gebruikt voor een bankoverval, zal niemand pleiten voor de vervolging van de bedrijfsleiding van dat autobedrijf of de ontwerper van het specifieke model Audi.
Maar wanneer en waarom geldt dit wel voor digitale applicaties/protocollen? En wie zijn er eigenlijk verantwoordelijk voor een dienst zoals Tornado Cash? Zijn dat de ontwikkelaars, de tokenhouders die in de bijbehorende DAO besluiten nemen over de verdere ontwikkeling? De onzekerheid hierover zorgt al voor een chilling effect, dat wil zeggen de druk op iemand om af te zien van hun rechten. De eerste tekenen hiervan zijn al zichtbaar, zoals de ontwikkelaar van privacy tools die na de sancties tegen Tornado Cash niet meer welkom bleek als spreker op een congres.
En de hoofdvraag is wat er zwaarder weegt: het tegengaan van criminaliteit of de privacy van de burger. Deze discussie is niet nieuw in het digitale domein; decennia geleden waren er de zogenaamde Crypto Wars. Cryptografische beveiliging werd destijds op de export-lijst geplaatst door de Amerikanen, waardoor sterke versleuteling niet buiten de VS mocht worden gebruikt. De strijd werd uiteindelijk in het voordeel beslecht van de voorstanders van privacy (Cyperphunk’s Manifesto). Sterke versleuteling van is ook buiten de VS de norm voor internetverkeer.
Een dergelijk strijd doemt nu ook weer op. Beschouwen we onafhankelijke, neutrale decentrale technologie een fundamentele keuzeoptie binnen de democratische rechtsstaat? Vooraanstaand cryptograaf David Chaum wees er tijdens een recent interview met Bankless maar weer eens op dat privacy een binaire keuze is; of je hebt het en dan kan er niemand meekijken of je hebt het niet.
Er is niet zoiets als een beetje privacy. Europa positioneert zich op digitaal gebied dikwijls als het alternatief voor kapitalistisch Amerika en repressief China. Een digitale wereld waarin vrijheid en mensenrechten centraal staan. Vooralsnog moet de discussie hierover ook in Europa op gang komen. We kunnen in elk geval teruggrijpen naar het Cyperphunk’s Manifesto uit 1993. Het had geschreven kunnen zijn voor de aanstaande strijd in de decentrale wereld:
“Privacy is necessary for an open society in the electronic age. Privacy is not secrecy. A private matter is something one doesn't want the whole world to know, but a secret matter is something one doesn't want anybody to know. Privacy is the power to selectively reveal oneself to the world.