Autor: Javier Paz, dziennikarz magazynu Forbes
Opracowanie: Luffy, Foresight News
W świecie kryptowalut prywatność jest poważnym problemem. Dla tych, którzy chcą ukryć pewne rzeczy, istnieje narzędzie zwane mixerem kryptowalut, które może pomóc właścicielom aktywów w ukryciu swojej tożsamości. Działanie mixerów polega na prostym połączeniu zdeponowanej kryptowaluty w pulę funduszy, co odcina ją od pierwotnego portfela kryptowalutowego, a następnie ludzie nie mogą dowiedzieć się, skąd pochodzi oryginalne finansowanie. W 2022 roku najbardziej „niesławny” mixer Tornado Cash został umieszczony na czarnej liście sankcji przez Departament Skarbu USA z powodu domniemanych działań prania pieniędzy o wartości wielu miliardów dolarów, w tym od północnokoreańskiej grupy hakerskiej.
Amerykańskie organy ścigania twierdzą, że północnokoreańska grupa hakerska o nazwie Lazarus Group korzystała z mixerów takich jak Blender.io, Tornado Cash, Railgun i Sinbad.io do prania skradzionych kryptowalut. Poniższy wykres pokazuje, że mixery zostały użyte do prania 700 milionów dolarów skradzionych funduszy z aplikacji blockchain (takich jak gra online Axie Infinity, oprogramowanie portfelowe Atomic Wallet i mosty międzyłańcuchowe Harmony Bridge). Harmony Bridge to narzędzie, które pozwala użytkownikom przenosić aktywa tokenowe z jednego łańcucha blockchain do innego, takiego jak Ethereum. Według (Wall Street Journal), Lazarus ukradł łącznie kryptowaluty o wartości ponad 3 miliardów dolarów.
Poniższy wykres przedstawia chronologicznie niektóre incydenty prania pieniędzy związane z hakerami (czerwony) i mixerami (zielony). Liczby w zielonym nie zawsze odpowiadają liczbom w czerwonym, ponieważ środki skradzione przez hakerów nie zawsze są równe środkom pranym, a niektóre środki mogą być używane do prania więcej niż raz.
Incydent hakerski grupy Lazarus związany z kryptowalutami, źródło danych: FBI, Departament Skarbu USA, opracowane przez magazyn Forbes
Atak hakerski na Harmony Bridge jest wyjątkowy, ponieważ w przeciwieństwie do innych mixerów wymienionych powyżej, amerykańskie organy ścigania nie nałożyły jeszcze sankcji na Railgun. Departament Skarbu nie odpowiedział na prośby o komentarz w sprawie Railgun. Jednak nowe informacje sugerują, że Digital Currency Group (DCG), fundusz zarządzający 25 miliardami dolarów kryptowalutami, może czerpać korzyści z prania pieniędzy przez Railgun. Forbes przeprowadził dwumiesięczne dochodzenie oparte na danych dostarczonych przez firmę ChainArgos, które wykazało, że DCG od czerwca 2023 roku uzyskało 436 906 dolarów z Railgun. Kwota ta stanowi 18% wydatków Railgun w tym okresie, które wyniosły 2,4 miliona dolarów. Według firmy zajmującej się kryptoinformacją Elliptic, mixer Railgun mógł uczestniczyć w praniu pieniędzy o wartości do 60 milionów dolarów przez grupę Lazarus w 2023 roku. Rzecznik DCG odmówił komentarza w tej sprawie. Magazyn Forbes wielokrotnie zwracał się o komentarz do Railgun, ale nie otrzymał odpowiedzi.
Incydent hakerski Harmony
W czerwcu 2022 roku, według FBI, północnokoreańska grupa hakerska Lazarus Group ukradła kryptowaluty o wartości 100 milionów dolarów z cross-chain bridge Harmony, w tym Ethereum, USDC, WBTC i 11 innych tokenów. Hakerzy przeprowadzili atak poprzez hasło do programu przechowywania w chmurze ujawnionego przez administratora mostu cross-chain, a następnie wykorzystali ten program do kradzieży kluczy prywatnych chroniących aktywa klientów. Elliptic stwierdziło: „Skradzione fundusze były uśpione przez siedem miesięcy, a następnie w dniach 11-14 stycznia 2023 roku, za pośrednictwem 71 kont, wysłano 41 647 ETH do umowy pośredniczącej Railgun.” Strategia wycofywania grupy Lazarus przez Railgun została również prześledzona do „184 pośrednich kont, które następnie użyły 19 adresów depozytowych do wpłaty na wiele scentralizowanych giełd kryptowalut, głównie do Huobi, Binance i OKX.”
16 kwietnia 2024 roku, mająca siedzibę w Wielkiej Brytanii firma Railgun zaprzeczyła rzekomej działalności mixerów, twierdząc: „To nie jest prawda, to fałszywe doniesienia.” Niemniej jednak, na początku 2023 roku, użycie Railgun i opłaty znacznie wzrosły. Historycznie, ilość przetwarzanych przez Railgun mixerów wynosiła od 1 do 5 ETH dziennie. 13 stycznia 2023 roku, ilość mixerów wzrosła do 41 000 ETH, co miało miejsce w tym samym czasie, co domniemane działania prania pieniędzy, a potem już nigdy nie osiągnęła takiego poziomu.
Inwestycja DCG w Railgun
W styczniu 2022 roku, DCG zainwestowało 10 milionów dolarów w Railgun i otrzymało 5 milionów tokenów RAIL (rodzaj tokena natywnego sieci Railgun). Zgodnie z ostatnimi cenami, inwestycja DCG w RAIL jest obecnie warta 3,9 miliona dolarów, co oznacza spadek o ponad 60%. DCG stakowało te tokeny, co oznacza, że DCG użyło ich jako zabezpieczenia w protokole, co daje mu prawa głosu w kluczowych decyzjach dotyczących przyszłej działalności protokołu oraz umożliwia uzyskanie części opłat sieciowych płaconych przez użytkowników. Tokeny RAIL DCG są przechowywane w pięciu niezależnych portfelach Ethereum:
0x5348b77cF55B90147CbB6a938e0058DD25cbF0CA
0x3decD5DA4bC6489dfe1e73d0469c59f281ED8811
0x54Aa22EaCB1da8Ee635Ab0E94C8DA77F49916b4E
0x02698237DDC5Cf63660DA2cfD10934C911433724
0xE82f012dd671f94094d0c33D9E8c99330D1D2B79
Ponadto, DCG przekazało Railgunowi do protokołu skarbowego stablecoiny DAI o wartości 7,1 miliona dolarów, które są powiązane z wartością dolara amerykańskiego, na ogólne cele handlowe. „Duzi inwestorzy przesyłają fundusze do całkowicie zdecentralizowanej skarbca DAO w celu wsparcia projektu, co jest rzadkością, wymagającą jakiejkolwiek kontroli kluczy lub bycia członkiem zespołu wielopodpisowego,” powiedział Edward Fricker, prawnik, który doradzał Railgun przy tej transakcji, w oświadczeniu.
Na podstawie danych ChainArgos i Elliptic, (Forbes) oszacował, że transakcje o wartości 60 milionów dolarów, w które zaangażowana jest północnokoreańska grupa hakerska, wymagały co najmniej 260 tysięcy dolarów opłat, które mogły być wypłacane z puli opłat Railgun do 21 stycznia 2023 roku. Jednak DCG dopiero w czerwcu 2023 roku zażądało wypłaty swojej należnej części opłat Railgun. W tym czasie inne 26 adresów portfeli również ubiegało się o opłaty z Railgun.
Czy DCG celowo czekało pięć miesięcy, aby zażądać opłat, aby zdystansować się od rzekomej nielegalnej działalności? DCG nie skomentowało tego (Forbes). Jonathan Reiter, dyrektor generalny ChainArgos, powiedział: „Jeśli można było legalnie uzyskać opłaty z prania pieniędzy mixerów po kilku tygodniach oczekiwania, organy ścigania na pewno nie byłyby zadowolone.”
Ale to nie ma znaczenia. Kod Railgun automatycznie łączy skumulowane opłaty z adresem stakującym lub adresem odbiorcy. Współzałożyciel firmy analizy blockchain Gray Wolf, Matthew Sampson, powiedział: „Istnieją niezbite dowody, że DCG skorzystało na rzekomej operacji prania pieniędzy z stycznia 2023 roku.” „Inteligentny kontrakt Railgun określa, kto powinien otrzymać nagrody, a tokeny nagród z danego okresu są zarezerwowane dla DCG, które mogą być odbierane w dowolnym czasie.”
Poniższy wykres pokazuje nagrody w opłatach, które Railgun niedawno wypłacił portfelowi DCG. Dochody z opłat mixerów nie pochodzą wyłącznie z rzekomej działalności prania pieniędzy.
Nagrody Railgun dla DCG, źródło: dane Ethereum i Arkham skompilowane przez Forbes
Nagrody uzyskane z RAIL stakowanego na pięciu powyższych portfelach zostały przypisane do adresu 0xFED429FB7d243380B25bC11B10561D5A27f42D8E, za pośrednictwem którego można uzyskać informacje o konkretnym adresie otrzymującym nagrody Railgun. Każdy adres odbiorczy otrzymał nagrody w trzech rodzajach tokenów, tj. stablecoin DAI (49%), token zarządzający RAIL (30%) oraz „opakowany” ETH (WETH, 21%). 1 jednostka stablecoina odpowiada 1 jednostce konkretnej waluty fiducjarnej, w tym przypadku dolara amerykańskiego. Token zarządzający RAIL daje posiadaczom prawo do głosowania w sprawie propozycji protokołu, podobnie jak w przypadku głosowania pełnomocników w tradycyjnych spółkach akcyjnych. WETH to „opakowany” ETH, którego wartość równa się ETH, co pozwala na przenoszenie go między różnymi protokołami blockchain, a nie ogranicza się do jego rodzimych protokołów Ethereum.
Wyzwania związane z zgodnością DeFi
DCG rzekomo zaangażowało się w incydent prania pieniędzy Railgun, co jest tylko jednym z przykładów, jak aplikacje finansowe DeFi w kryptowalutach (które naśladują funkcje bankowe w blockchainie) starają się zrównoważyć potrzeby narzędzi prywatności i ochrony przed złymi aktorami w swoich systemach. Twórcy tych platform często twierdzą, że są zdecentralizowane, więc nie podlegają żadnej kontroli ani ograniczeniom. Jednak takie wyjaśnienia rzadko są akceptowane przez organy ścigania, szczególnie w USA.
Zgodnie z wytycznymi odpowiedzialności wydanymi przez amerykańskie władze w październiku 2021 roku (Bank Secrecy Act), „członkowie branży kryptowalut mają obowiązek zapewnić, że nie uczestniczą bezpośrednio ani pośrednio w transakcjach zakazanych przez biuro kontroli aktywów zagranicznych (OFAC) Departamentu Skarbu USA, takich jak transakcje z zamrożonymi osobami lub aktywami, ani w transakcjach handlowych czy inwestycyjnych, które są zabronione.” Rzecznik wydziału dochodzeń kryminalnych IRS powiedział (Forbes), że „te platformy wymagają ciągłej konserwacji i rozwoju, aby nadążyć za postępem technologicznym i zapobiegać działalności przestępczej, co wymaga od firm stojących za platformami DeFi nadzorowania działań na platformach i zapewnienia zgodności z przepisami.”
Naruszenie (Bank Secrecy Act) jest zwykle trudne do wykrycia, częściowo z powodu braku personelu rządowego w USA. „Biuro egzekwowania przestępczości finansowej od lat boryka się z brakiem zasobów, mając maksymalnie 10 osób odpowiedzialnych za nadzorowanie tysięcy instytucji świadczących usługi pieniężne, w tym giełd kryptowalut, z których niektóre co roku transferują fundusze w wysokości bilionów dolarów,” powiedziała Amanda Wick, była regulator Departamentu Sprawiedliwości USA i obecna szefowa Incite Consulting.
„Brak personelu rządowego, wzrastająca przestępczość,” dodał Victor Fang, dyrektor wykonawczy i współzałożyciel firmy analitycznej Anchain, która współpracuje z zespołem dochodzeń kryminalnych IRS w USA, „tylko w USA, organy ścigania mają 50 000 spraw czekających na rozpatrzenie, więc jak zamierzają wykorzystać Chainalysis lub innych dostawców danych do pomocy w rozwiązywaniu tych spraw? To niemożliwe.”
Railgun wydaje się opracowywać techniczne rozwiązanie mające na celu zwiększenie swojej zgodności. W maju 2023 roku Railgun nawiązał współpracę z twórcami „dowodu niewinności” Chainway Labs w celu wprowadzenia nowej funkcji, która zwiększa zgodność z regulacjami. Rozwiązanie dowodu niewinności, znane również jako „basen prywatności”, pozwala użytkownikom decydować, czy chcą dostarczyć dowody kryptograficzne, aby wykazać, że ich tokeny nie pochodzą z zablokowanych portfeli. Idea polega na tym, że dobrzy ludzie dostarczają dowody, a źli ludzie trzymają się z dala od dowodów. Problem polega na tym, że źli ludzie mogą łatwo stworzyć wiele nowych niezablokowanych portfeli, oddzielając je od swojej nielegalnej działalności, aby obejść takie rozwiązania.
Patrick Tan, główny doradca prawny ChainArgos, powiedział: „Nie może istnieć system zgodności bez licencji; w przeciwnym razie zawsze będziesz o krok za późno, gdy będziesz próbował nałożyć sankcje lub złapać złoczyńców.”
