Penulis: Javier Paz, jurnalis Forbes
Diterjemahkan oleh: Luffy, Foresight News
Dalam dunia mata uang kripto, privasi adalah masalah yang signifikan. Bagi mereka yang ingin menyembunyikan sesuatu, ada alat yang dikenal sebagai mixer mata uang kripto yang dapat membantu pemilik aset menyembunyikan identitas mereka. Cara kerja mixer secara sederhana adalah mencampurkan mata uang kripto yang disimpan ke dalam satu pool dana, memutuskan hubungan dengan dompet kripto asli, sehingga orang tidak dapat mengetahui asal dana tersebut. Pada tahun 2022, mixer yang paling "terkenal" Tornado Cash dimasukkan dalam daftar sanksi oleh Departemen Keuangan AS, karena mixer tersebut diduga mencuci uang hingga miliaran dolar, termasuk dari kelompok peretas Korea Utara.
Lembaga penegak hukum AS menyatakan bahwa kelompok peretas Korea Utara yang dikenal sebagai Lazarus Group telah menggunakan mixer seperti Blender.io, Tornado Cash, Railgun, dan Sinbad.io untuk mencuci mata uang kripto yang dicuri. Gambar di bawah ini menunjukkan bahwa mixer telah digunakan untuk mencuci dana yang dicuri senilai 700 juta dolar dari aplikasi blockchain (seperti permainan online Axie Infinity, perangkat lunak dompet Atomic Wallet, dan jembatan lintas rantai Harmony Bridge). Harmony Bridge adalah alat yang memungkinkan pengguna memindahkan aset token dari satu blockchain Harmony ke blockchain lainnya seperti Ethereum. Menurut (Wall Street Journal), Lazarus telah mencuri lebih dari 3 miliar dolar dalam mata uang kripto.
Gambar di bawah ini mencantumkan beberapa peristiwa pencucian uang yang melibatkan peretas (merah) dan mixer (hijau) secara kronologis. Angka hijau tidak selalu sama dengan angka merah, karena dana yang dicuri oleh peretas tidak selalu sama dengan dana yang dicuci, dan beberapa dana mungkin digunakan lebih dari sekali untuk pencucian uang.
Insiden peretasan mata uang kripto oleh Lazarus Group, sumber data: FBI, Departemen Keuangan AS, disusun oleh majalah Forbes
Serangan peretasan Harmony Bridge berbeda karena, tidak seperti mixer lainnya yang disebutkan di atas, lembaga penegak hukum AS belum menjatuhkan sanksi terhadap Railgun. Departemen Keuangan tidak menanggapi permintaan komentar terkait masalah Railgun. Namun, ada informasi baru yang menunjukkan bahwa Digital Currency Group (DCG), manajer dana yang memiliki 25 miliar dolar dalam mata uang kripto, mungkin telah mendapatkan keuntungan dari pencucian uang melalui Railgun. Forbes melakukan penyelidikan selama dua bulan yang didukung oleh data dari perusahaan intelijen blockchain ChainArgos, yang menunjukkan bahwa DCG telah mendapatkan 436.906 dolar dari Railgun sejak Juni 2023. Angka ini mewakili 18% dari total pengeluaran Railgun selama periode tersebut sebesar 2,4 juta dolar. Menurut perusahaan forensik kripto Elliptic, mixer Railgun mungkin terlibat dalam aktivitas pencucian uang oleh Lazarus Group yang mencapai 60 juta dolar pada tahun 2023. Juru bicara DCG menolak berkomentar tentang masalah ini. Forbes telah berulang kali meminta komentar dari Railgun, tetapi tidak menerima tanggapan.
Insiden peretasan Harmony
Pada bulan Juni 2022, menurut FBI, kelompok peretas Korea Utara Lazarus Group mencuri mata uang kripto senilai 100 juta dolar dari jembatan lintas rantai Harmony, termasuk Ethereum, USDC, WBTC, dan 11 token lainnya. Para peretas melakukan serangan dengan memanfaatkan kata sandi program penyimpanan cloud yang dibocorkan oleh seorang administrator jembatan lintas rantai, kemudian menggunakan program tersebut untuk mencuri kunci privat yang melindungi aset klien yang ditransfer, mencuri aset dalam jumlah besar. Elliptic menyatakan: "Setelah dana yang dicuri terdiam selama tujuh bulan, antara 11 hingga 14 Januari 2023, 41.647 ETH dikirim ke kontrak relay Railgun melalui 71 akun." Strategi keluar Lazarus Group melalui Railgun juga dilacak ke "184 akun perantara, kemudian menggunakan 19 alamat setoran untuk menyetorkan ke beberapa bursa kripto terpusat, yang sebagian besar mengarah ke Huobi, Binance, dan OKX."
Pada 16 April 2024, Railgun yang berkantor pusat di Inggris membantah tuduhan pencucian uang tersebut, menyatakan "ini tidak benar, ini adalah laporan palsu." Meskipun demikian, penggunaan dan biaya Railgun meningkat secara signifikan pada awal tahun 2023. Secara historis, jumlah pencampuran yang diproses oleh Railgun berkisar antara 1 hingga 5 ETH per hari. Pada 13 Januari 2023, jumlah pencampuran melonjak menjadi 41.000 ETH, bertepatan dengan dugaan aktivitas pencucian uang, dan setelah itu, jumlah pencampuran Railgun tidak pernah mencapai tingkat tersebut lagi.
Investasi DCG di Railgun
Pada Januari 2022, DCG menginvestasikan 10 juta dolar ke Railgun dan menerima 5 juta RAIL (token asli jaringan Railgun). Berdasarkan harga terbaru, investasi DCG di RAIL sekarang bernilai 3,9 juta dolar, turun lebih dari 60%. DCG meng-stake token ini, yang berarti DCG menggunakan token tersebut sebagai jaminan protokol, sehingga mendapatkan hak untuk memberikan suara pada keputusan bisnis penting di masa depan protokol dan dapat memperoleh sebagian dari biaya jaringan yang dibayarkan oleh pengguna. Token RAIL milik DCG disimpan di lima dompet Ethereum yang terpisah:
0x5348b77cF55B90147CbB6a938e0058DD25cbF0CA
0x3decD5DA4bC6489dfe1e73d0469c59f281ED8811
0x54Aa22EaCB1da8Ee635Ab0E94C8DA77F49916b4E
0x02698237DDC5Cf63660DA2cfD10934C911433724
0xE82f012dd671f94094d0c33D9E8c99330D1D2B79
Selain itu, DCG juga menyumbangkan stablecoin DAI senilai 7,1 juta dolar kepada kas protokol Railgun, yang nilainya terikat pada harga dolar, untuk keperluan bisnis biasa. "Investor besar mengirimkan dana ke kas DAO yang sepenuhnya terdesentralisasi untuk mendukung proyek, dan meminta agar tidak ada yang mengelola kunci atau menjadi bagian dari tim tanda tangan ganda, hal ini jarang terjadi," kata pengacara Edward Fricker yang mewakili Railgun dalam pernyataan tersebut.
Menurut data dari ChainArgos dan Elliptic, (Forbes) menghitung bahwa transaksi senilai 60 juta dolar yang diduga melibatkan kelompok peretas Korea Utara membutuhkan biaya setidaknya 260 ribu dolar, hingga 21 Januari 2023, biaya ini dapat ditarik dari pool biaya Railgun. Namun, DCG tidak meminta pembayaran bagi bagian biaya Railgun yang seharusnya mereka terima hingga Juni 2023. Selama periode ini, ada 26 alamat dompet lain yang juga meminta biaya dari Railgun.
Apakah DCG sengaja menunggu lima bulan sebelum meminta biaya untuk menjauhkan diri dari aktivitas ilegal yang disebut-sebut? DCG tidak menanggapi (Forbes). CEO ChainArgos, Jonathan Reiter, menyatakan: "Jika hanya perlu menunggu beberapa minggu untuk secara legal mendapatkan biaya dari hasil pencucian uang mixer, lembaga penegak hukum pasti tidak akan merasa puas."
Tetapi ini tidak penting. Kode Railgun secara otomatis akan mengaitkan biaya yang terakumulasi dengan alamat staked atau alamat penerima. Co-founder perusahaan analisis blockchain Gray Wolf, Matthew Sampson, menyatakan: "Ada bukti yang jelas bahwa DCG mendapatkan keuntungan dari insiden pencucian uang yang disebut-sebut pada Januari 2023." "Kontrak pintar Railgun menetapkan siapa yang seharusnya mendapatkan hadiah, dan token hadiah selama periode tersebut telah dicadangkan untuk DCG, yang dapat ditarik kapan saja."
Gambar di bawah ini menunjukkan biaya hadiah yang baru-baru ini dibayarkan Railgun kepada dompet DCG. Pendapatan biaya dari mixer tidak semuanya berasal dari kegiatan pencucian uang yang disebut-sebut.
Hadiah Railgun untuk DCG, sumber data: data Ethereum dan Arkham yang disusun oleh Forbes
Hadiah yang diperoleh dari RAIL yang di-stake di lima dompet di atas telah didelegasikan ke alamat 0xFED429FB7d243380B25bC11B10561D5A27f42D8E, di mana informasi alamat spesifik yang menerima hadiah Railgun dari DCG dapat dilihat. Setiap alamat penerima menerima token hadiah dalam tiga bentuk token, yaitu stablecoin DAI (49%), token tata kelola RAIL (30%), dan satu jenis ETH yang dibungkus (WETH, 21%). 1 stablecoin setara dengan 1 unit mata uang fiat tertentu, dalam hal ini dolar AS. Token tata kelola RAIL memberi pemegang hak suara untuk proposal protokol, mirip dengan pemungutan suara agen dalam perusahaan saham tradisional. WETH adalah ETH yang "dibungkus" yang memiliki nilai setara dengan ETH, sehingga dapat dipindahkan di berbagai protokol blockchain tanpa dibatasi oleh protokol Ethereum aslinya.
Tantangan kepatuhan DeFi
Keterlibatan DCG dalam insiden pencucian uang Railgun hanyalah satu contoh yang menunjukkan bagaimana aplikasi keuangan terdesentralisasi (DeFi) dalam mata uang kripto (yang meniru fungsi bank di blockchain) berjuang untuk menyeimbangkan antara alat privasi dan kebutuhan untuk mencegah pelaku jahat masuk ke sistem mereka. Para pencipta platform ini sering kali menyatakan bahwa mereka terdesentralisasi, sehingga tidak dapat dikendalikan oleh siapa pun, dan tidak membatasi siapa pun. Namun, penjelasan ini jarang diterima oleh petugas penegak hukum, terutama di AS.
Menurut panduan tanggung jawab yang diterbitkan oleh otoritas AS pada bulan Oktober 2021 mengenai (Bank Secrecy Act), "Anggota industri mata uang virtual memiliki tanggung jawab untuk memastikan bahwa mereka tidak terlibat dalam transaksi yang dilarang oleh sanksi OFAC Departemen Keuangan AS, baik secara langsung maupun tidak langsung, seperti bertransaksi dengan individu atau properti yang dibekukan, atau terlibat dalam perdagangan atau investasi yang dilarang." Seorang juru bicara di Departemen Investigasi Kriminal IRS menyatakan kepada (Forbes) ketika menyebutkan proyek DeFi, "Platform ini membutuhkan pemeliharaan dan pengembangan yang berkelanjutan untuk tetap mengikuti langkah teknologi dan mencegah penjahat, yang mengharuskan perusahaan di balik platform DeFi untuk mengawasi apa yang terjadi di platform dan memastikan kepatuhan terhadap hukum dan regulasi."
Pelanggaran terhadap (Bank Secrecy Act) biasanya sulit untuk dideteksi, sebagian karena kekurangan tenaga kerja pemerintah AS. "Bureau of Financial Crime Enforcement telah kekurangan sumber daya selama bertahun-tahun, dengan hanya 10 orang yang bertanggung jawab untuk mengawasi ribuan perusahaan layanan uang, termasuk bursa mata uang kripto, beberapa di antaranya memindahkan dana hingga triliunan dolar setiap tahun," kata mantan pengawas Departemen Kehakiman AS, Amanda Wick, yang kini merupakan kepala Incite Consulting.
"Pemerintah kekurangan tenaga kerja dan tingkat kejahatan terus meningkat," tambah CEO dan co-founder Anchain, Victor Fang, yang bekerja sama erat dengan tim investigasi kriminal IRS AS dalam melacak kejahatan keuangan, "hanya di AS, ada 50.000 kasus yang menunggu penanganan, jadi bagaimana mereka akan menggunakan Chainalysis atau penyedia data lainnya untuk membantu menangani kasus-kasus ini? Ini tidak mungkin dilakukan."
Railgun tampaknya sedang mengembangkan solusi teknis untuk meningkatkan kepatuhan mereka. Pada Mei 2023, Railgun bekerja sama dengan pencipta "bukti tidak bersalah" Chainway Labs untuk meluncurkan fitur baru yang membuatnya lebih sesuai dengan persyaratan regulasi. Solusi bukti tidak bersalah juga dikenal sebagai privacy pool, yang memungkinkan pengguna memilih untuk memberikan bukti kripto guna menunjukkan bahwa token pengguna tidak berasal dari dompet yang dikenakan sanksi. Pemikiran di baliknya adalah bahwa orang baik memberikan bukti, sedangkan orang jahat menjauh dari bukti. Masalahnya adalah, orang jahat dapat dengan mudah membuat banyak dompet baru yang tidak dikenakan sanksi, terpisah dari kegiatan ilegal mereka, untuk menanggapi solusi semacam itu.
Penasihat hukum utama ChainArgos, Patrick Tan, menyatakan: "Tidak mungkin ada sistem kepatuhan tanpa izin; jika tidak, Anda akan selalu tertinggal saat mencantumkan di daftar hitam atau mencoba menangkap penjahat."
