Autor: Javier Paz, reporter pentru revista Forbes
Compilare: Luffy, Foresight News
În lumea criptomonedelor, confidențialitatea este o problemă majoră. Pentru cei care doresc să ascundă anumite lucruri, există un instrument numit mixer de criptomonedă care poate ajuta proprietarii de active să își ascundă identitatea. Mixerul funcționează, pe scurt, prin amestecarea criptomonedelor depuse într-un fond comun, rupând legătura cu portofelul criptografic original, astfel încât oamenii să nu poată ști sursa originală a fondurilor. În 2022, cel mai „notoriu” mixer, Tornado Cash, a fost inclus pe lista de sancțiuni a Ministerului Finanțelor al Statelor Unite, deoarece acest mixer a fost suspectat că a spălat miliarde de dolari pentru infractori, inclusiv un grup de hackeri din Coreea de Nord.
Agențiile de aplicare a legii din SUA afirmă că un grup de hackeri nord-coreeni numit Lazarus Group a folosit mixere precum Blender.io, Tornado Cash, Railgun și Sinbad.io pentru a curăța criptomonedele furate. Imaginea de mai jos arată că mixerele au fost folosite pentru a curăța 700 de milioane de dolari în fonduri furate de la aplicațiile blockchain (precum jocul online Axie Infinity, software-ul de portofel Atomic Wallet și podul cross-chain Harmony Bridge). Harmony Bridge este un instrument care permite utilizatorilor să transfere active token dintr-un blockchain Harmony pe alte rețele blockchain, precum Ethereum. Potrivit Wall Street Journal, Lazarus a furat în total criptomonede în valoare de peste 3 miliarde de dolari.
Graficele de mai jos listează cronologic unele dintre evenimentele de spălare de bani suspectate de hackeri (roșu) și mixere (verde). Numerele verzi nu sunt întotdeauna egale cu numerele roșii, deoarece fondurile furate de hackeri nu sunt întotdeauna egale cu fondurile spălate, iar unele fonduri pot fi folosite de mai multe ori pentru spălare.
Incidentul de hacking al criptomonedelor al grupului Lazarus, sursa datelor: FBI, Ministerul Finanțelor al Statelor Unite, compilat de revista Forbes
Atacul de hacking asupra Harmony Bridge este remarcabil deoarece, spre deosebire de celelalte mixere menționate mai sus, agențiile de aplicare a legii din SUA nu au impus sancțiuni asupra Railgun. Ministerul Finanțelor nu a răspuns solicitărilor de comentarii referitoare la problema Railgun. Cu toate acestea, există informații noi care sugerează că grupul de monede digitale din spatele companiei de gestionare a fondurilor Grayscale, care deține 25 de miliarde de dolari în criptomonede (Digital Currency Group, DCG), ar putea fi profitat de pe urma spălării de bani prin Railgun. Forbes a realizat o investigație de două luni, sprijinită de datele furnizate de compania de inteligență blockchain ChainArgos, care a arătat că DCG a obținut 436.906 dolari de la Railgun din iunie 2023 până în prezent. Această sumă reprezintă 18% din cheltuielile totale de 2,4 milioane de dolari ale Railgun în această perioadă. Potrivit companiei de analiză a criptomonedelor Elliptic, mixerul Railgun ar fi putut fi implicat în activități de spălare de bani de până la 60 de milioane de dolari pentru grupul Lazarus în 2023. Un purtător de cuvânt al DCG a refuzat să comenteze despre acest incident. Revista Forbes a încercat de mai multe ori să obțină comentarii de la Railgun, dar nu a primit niciun răspuns.
Incidentul de hacking Harmony
În iunie 2022, FBI a declarat că grupul de hackeri nord-coreeni Lazarus Group a furat criptomonede în valoare de 100 de milioane de dolari de la podul cross-chain Harmony, inclusiv Ethereum, USDC, WBTC și alte 11 tokenuri. Hackerii au realizat atacul printr-un cod de acces la un program de stocare în cloud scurs de un administrator al podului cross-chain, apoi au folosit acel program pentru a fura cheia privată care protejează transferul activelor clienților, furând astfel o sumă enormă de fonduri. Elliptic a declarat: „După ce fondurile furate au fost lăsate inactive timp de șapte luni, în perioada 11-14 ianuarie 2023, 71 de conturi au trimis 41.647 ETH către contractul intermediar Railgun.” Strategia grupului Lazarus de a ieși prin Railgun a fost, de asemenea, urmărită până la „184 de conturi intermediare, care au folosit 19 adrese de depunere pentru a depune în mai multe schimburi centralizate de criptomonede, îndreptându-se în principal către Huobi, Binance și OKX.”
La 16 aprilie 2024, Railgun, cu sediul în Marea Britanie, a negat afirmațiile de comportament de mixer menționate anterior, spunând că „aceasta nu este adevărat, este o raportare falsă.” Cu toate acestea, utilizarea și taxele Railgun au crescut semnificativ la începutul anului 2023. Istoric, cantitatea de criptomonede amestecate de Railgun a variat între 1 și 5 ETH pe zi. La 13 ianuarie 2023, cantitatea de criptomonede amestecate a explodat la 41.000 ETH, coincizând cu activitățile suspectate de spălare de bani, iar după aceea, cantitatea de criptomonede amestecate de Railgun nu a mai atins acest nivel.
Investiția DCG în Railgun
În ianuarie 2022, DCG a investit 10 milioane de dolari în Railgun și a obținut 5 milioane de tokenuri RAIL (tokenul nativ al rețelei Railgun). Conform prețurilor recente, investiția DCG în RAIL valorează acum 3,9 milioane de dolari, o scădere de peste 60%. DCG a staked aceste tokenuri, ceea ce înseamnă că DCG le-a folosit ca garanție pentru protocol, obținând astfel drepturi de vot asupra deciziilor importante de afaceri viitoare ale protocolului și o parte din taxele de rețea plătite de utilizatori. Tokenurile RAIL ale DCG sunt stocate în cinci portofele Ethereum separate:
0x5348b77cF55B90147CbB6a938e0058DD25cbF0CA
0x3decD5DA4bC6489dfe1e73d0469c59f281ED8811
0x54Aa22EaCB1da8Ee635Ab0E94C8DA77F49916b4E
0x02698237DDC5Cf63660DA2cfD10934C911433724
0xE82f012dd671f94094d0c33D9E8c99330D1D2B79
În plus, DCG a donat protocolului Railgun un stablecoin DAI în valoare de 7,1 milioane de dolari, care este legat de valoarea dolarului pentru utilizări comerciale obișnuite. „Investitorii mari își trimit fondurile către un portofel DAO complet descentralizat pentru a susține proiectul, cerând rareori gestionarea cheilor sau să devină parte a unei echipe cu semnătură multiplă,” a declarat avocatul Edward Fricker, care a consiliat Railgun în legătură cu această tranzacție, într-o declarație.
Conform datelor de la ChainArgos și Elliptic, (Forbes) a calculat că tranzacțiile de 60 de milioane de dolari suspectate de spălare de bani de către grupul de hackeri nord-coreeni au necesitat plata a cel puțin 260.000 de dolari în taxe, până la 21 ianuarie 2023, aceste taxe putând fi extrase din piscina de taxe Railgun. Cu toate acestea, DCG a solicitat plata părții sale de taxe Railgun abia în iunie 2023. În această perioadă, alte 26 de adrese de portofel au solicitat, de asemenea, taxe de la Railgun.
A cerut DCG în mod deliberat să aștepte cinci luni pentru a solicita taxe, pentru a se distanța de așa-numitele activități ilegale? DCG nu a răspuns (pentru Forbes). CEO-ul ChainArgos, Jonathan Reiter, a declarat: „Dacă ar fi fost suficient să aștepți câteva săptămâni pentru a obține legal taxe din veniturile mixerului de spălare, agențiile de aplicare a legii nu s-ar simți deloc mulțumite”.
Dar acest lucru nu este important. Codul Railgun va lega automat taxele acumulate de adresa de stocare sau adresa beneficiarului. Co-fondatorul companiei de analiză blockchain Gray Wolf, Matthew Sampson, a declarat: „Există dovezi clare că DCG a beneficiat de pe urma așa-numitului incident de spălare de bani din ianuarie 2023.” „Contractul inteligent Railgun prevede cine ar trebui să primească recompense, iar token-urile de recompensă din acea perioadă sunt rezervate pentru DCG, care pot fi revendicate în orice moment.”
Imaginea de mai jos arată recompensele în taxe plătite recent de Railgun către portofelul DCG. Veniturile din taxe ale mixerului nu provin exclusiv din așa-numitele activități de spălare de bani.
Recompensă Railgun pentru DCG, sursa datelor: datele Ethereum și Arkham compilate de Forbes
Recompensele obținute prin staking-ul RAIL în cele cinci portofele menționate mai sus au fost delegate adresei 0xFED429FB7d243380B25bC11B10561D5A27f42D8E, prin care pot fi verificate informațiile despre adresa specifică la care DCG primește recompensele Railgun. Fiecare adresă de primire a primit recompensele sub formă a trei tipuri de tokenuri, și anume: stablecoin DAI (49%), token de guvernare RAIL (30%) și un ETH „împachetat” (WETH, 21%). 1 stablecoin este echivalent cu 1 unitate a unei monede legale specifice, în acest caz, dolarul. Tokenul de guvernare RAIL oferă deținătorilor dreptul de a vota asupra propunerilor protocolului, similar votului prin procură din companiile tradiționale. WETH este un ETH „împachetat”, cu o valoare egală cu ETH, ceea ce permite transferul său între mai multe protocoale blockchain, fără a fi limitat la protocolul său nativ Ethereum.
Provocările de conformitate DeFi
Implicarea DCG în incidentul de spălare de bani Railgun este doar un exemplu care ilustrează modul în care aplicațiile financiare descentralizate (DeFi) din criptomonedă, care imită funcțiile băncilor pe blockchain, se străduiesc să echilibreze nevoia de instrumente de confidențialitate și de a împiedica actorii răi să acceseze sistemele lor. Creatorii acestor platforme spun adesea că sunt descentralizate, deci nu sunt controlate de nimeni și nu restricționează pe nimeni. Totuși, această explicație este rareori acceptată de oficialii de aplicare a legii, mai ales în SUA.
Conform ghidului de responsabilitate publicat de autoritățile americane în octombrie 2021 (Legea privind confidențialitatea bancară), „membrii industriei criptomonedelor au responsabilitatea de a se asigura că nu participă direct sau indirect la tranzacțiile interzise de sancțiunile Oficiului de Control al Activelor Străine (OFAC) al Ministerului Finanțelor, cum ar fi tranzacțiile cu persoane sau bunuri înghețate, sau angajarea în tranzacții comerciale sau de investiții interzise.” Un purtător de cuvânt al Departamentului de Investigații Criminale al IRS a declarat (pentru Forbes) în legătură cu proiectele DeFi: „Aceste platforme necesită întreținere și dezvoltare continue pentru a ține pasul cu tehnologia și a opri infractorii, ceea ce impune companiilor din spatele platformelor DeFi să supravegheze ceea ce se întâmplă pe platformă și să asigure respectarea legilor și reglementărilor.”
Încălcările legii (privind confidențialitatea bancară) sunt adesea greu de descoperit, parțial din cauza lipsei de personal guvernamental. „Biroul de aplicare a legii în domeniul criminalității financiare a fost subfinanțat de ani de zile, având doar 10 persoane responsabile pentru supravegherea a mii de întreprinderi de servicii monetare, inclusiv schimburi de criptomonede, unele dintre acestea transferând fonduri de ordinul zecilor de trilioane de dolari anual,” a declarat Amanda Wick, fostă reglementatoare a Departamentului de Justiție al Statelor Unite și șef al Incite Consulting.
„Lipsa de personal guvernamental și creșterea ratei criminalității”, a adăugat Victor Fang, CEO și co-fondator al companiei de analiză blockchain Anchain, care colaborează îndeaproape cu echipa de investigații criminale a IRS în urmărirea criminalității financiare, „numai în SUA, agențiile de aplicare a legii au 50.000 de cazuri care așteaptă să fie procesate, așa că cum ar putea folosi Chainalysis sau alți furnizori de date pentru a ajuta la procesarea acestor cazuri? Este imposibil.”
Railgun pare să dezvolte o soluție tehnologică pentru a-și îmbunătăți conformitatea. În mai 2023, Railgun a colaborat cu creatorii „certificatei de nevinovăție” Chainway Labs pentru a lansa o nouă funcție care să fie mai conformă cu cerințele de reglementare. Soluția de certificat de nevinovăție, de asemenea numită „piscină de confidențialitate”, permite utilizatorilor să aleagă dacă să ofere dovezi criptografice pentru a demonstra că tokenurile utilizatorului nu provin din portofele sancționate. Ideea este ca oamenii buni să ofere dovezi, iar cei răi să stea departe de dovezi. Problema este că infractorii pot crea cu ușurință o mulțime de portofele noi nesancționate, complet separate de activitățile lor ilegale, pentru a se adapta la o astfel de soluție.
Consilierul juridic principal al ChainArgos, Patrick Tan, a declarat: „Nu există un sistem de conformitate fără licență; altfel, atunci când vine vorba de listarea pe lista neagră sau de încercarea de a captura infractorii, vei fi întotdeauna cu un pas în urma.”
