Die vielen Folgen der Sanktionen gegen Tornado Cash

Ein Entwickler wird verhaftet, zahlreiche DAPPS setzen die Blacklist um, und ein „Duster“ sorgt dafür, dass die Sanktionen 999 Unschuldige bestrafen, damit ein Schuldiger nicht davon kommt. Wir berichten über diese und weitere Konsequenzen – und beleuchten einige der aufregenden Fragen, die sich daraus ergeben.

Dass das US-Finanzministerium die Ethereum-DAO Tornado Cash auf die Sanktionsliste setzte, könnte zum Wendepunkt für Ethereum im Speziellen und Kryptowährungen im Allgemeinen werden.

Zunächst aber hatte die Aktion eine Reihe von unangenehmen Nachwirkungen, von denen jede einzelne Anlass gibt, nachzudenken und manche als sicher geglaubte Überzeugungen zu hinterfragen. Diese Folgen werfen, wie wir am Ende sehen werden, eine Menge Fragen auf – auch ketzerische -, auf die es derzeit noch keine klaren Antworten gibt.

Wir befinden uns in unerschlossenem und unkartographiertem Territorium.

Der Entwickler wurde in den Niederlanden verhaftet

Ein Entwickler von Tornado Cash befindet sich dagegen nun in einer niederländischen Gefängniszellen.

Am Freitag nahm die niederländische Polizei einen 29-Jährigen fest, dem sie vorwirft, zur Geldwäsche über Tornado beigetragen zu haben. Die Community spekulierte, dass es sich dabei um den Entwickler Alexey Pertsev handelte, was kurz darauf von dessen Ehefrau bestätigt wurde. Pertsev wird nun 14 Tage in Untersuchungshaft verbringen und dann dem Richter vorgeführt.

Was ihm konkret vorgeworfen wird, ist schwer zu bestimmen. Er stehe im Verdacht, schreibt die FIOD, die für Finanzverbrechen zuständige Behörde, „darin involviert zu sein, kriminelle finanzielle Ströme verschleiert und Geldwäsche durch den dezentralen Ethereum Mixing-Service Tornade Cash befördert zu haben.“

Ob Pertsev aber, wie die Community mit Entsetzen mutmaßt, allein dafür verhaftet wurde, dass er eine Open-Source-Software entwickelte, ist derzeit nicht bekannt. Dies wäre ein verheerendes Signal, da es die Rechtssicherheit in der Entwicklung massiv unterwandern würde. Wo wird die Grenze zu ziehen sein? Ab wann macht man sich strafbar, wenn eine Software, die man mitentwickelt, auch von Kriminellen verwendet wird?

Und wie verträgt sich das mit einer Regulierung, die sowohl in der EU als auch den USA dazu tendiert, reine Software-Entwicklung nicht zu regulieren, da ihr bewusst ist, welche Büchse der Pandora sie damit öffnet?

Vermutlich aber hat Pertsev auch daran verdient, dass über Tornado Cash Geld gewaschen wurde, beispielsweise, in dem er Liquidität zur Verfügung stellte oder sich an der Ausgabe des TRON-Token bereicherte. Darauf deutet ein kurzer Satz in der Pressemitteilung der FIOD hin: „Der Verdacht besteht, dass die Personen hinter dieser Organisation massive Profite durch diese Transaktionen gemacht haben.“ Entwickeln könnte in Ordnung sein, nicht aber, die eigene Entwicklung auf profitable Weise zu benutzen.

Dieses Vergehen – die Beihilfe zur Geldwäsche mit der Absicht, Einkünfte zu erzielen — könnte freilich, wie bei Al Capone die Steuerhinterziehung, lediglich ein Vorwand sein, um ein auf andere Weise nicht justiziables Vergehen zu bestrafen — die Entwicklung von Software — und damit ein Exempel zu statuieren: Passt auf, Softwareentwickler, was ihr macht ist nicht direkt verboten, aber seht euch vor, da wir euch dennoch verfolgen werden, wenn ihr Code schreibt, der uns nicht gefällt – und glaubt uns, wir werden einen Strick finden, den wir euch um euren Hals legen können!

Weitere Verhaftungen, droht die FIOD, seien nicht ausgeschlossen. „Diese fortgeschrittenen Technologien, wie dezentrale Organisationen, die Geldwäsche befördern können,“ erhielten eine besonders Aufmerksamkeit durch die Behörde.

Die meisten Dapps ziehen mit

Die Community um Ethereum protestiert zwar laut in allen sozialen Medien, beispielsweise indem sich viele das Logo von Tornado Cash zum Avatar machen, doch das Ökosystem an sich macht es dem Finanzministerium leicht, die Sanktionen durchzusetzen. Sich zu beschweren kostet nichts, sich zu wehren kann dagegen weh tun.

So protestiert beispielsweise der Boss der Börse Coinbase zwar auf Twitter, dass die Sanktionierung einer Technologie einen schlechten Präzedenzfall abgebe und angefochten werden solle. „Offensichtlich“ jedoch folge Coinbase immer dem Gesetz.

Sanctioning a technology (as opposed to an individual or entity) seems like a bad precedent to me, and it should probably be challenged. Could have many downstream unintended consequences.#TornadoCash

Hopefully obvious point: we will always follow the law.

— Brian Armstrong (@brian_armstrong) August 14, 2022

Wie bereits beschrieben haben die Node-Provider Infura und Alchemy die RPC-Requests zu Tornado Cash blockiert, GitHub hat das Repository der DAPP gelöscht, und der Stablecoin USDC hat die sanktionierten Adressen in eine Blacklist eingesetzt. Allein schon dies konnte man als vernichtenden Schlag bewerten.

Nun folgen noch zahlreiche weitere Dapps und Anbieter: das Pocket Netzwerk, ein weiterer Infrastrukturbetreiber, der sich zwar auch DAO nennt, aber tatsächlich eine US-Firma ist. Dazu die DeFi-DAPPs Balancer, Uniswap, dYdX, Aave, Ren und Oasis und andere. Nachdem Tornado Cash in die Sanktionslisten aufgenommen wurde, geht es rasend schnell. Das Finanzministerium führt vor, wie man auf einer Blockchain durchregiert.

Im Hintergrund scheint TRM Labs zu stehen, ein Startup für „Digital Asset Compliance“, das eventuell in die Ermittlungen gegen Tornado involviert war. TRM erklärt, dass 41 Prozent aller Token, die im Juni und Juli in Tornado Cash deponiert waren, mit Hacks und Diebstählen verbunden sind. Das Startup bietet eine API an, durch welche Kryptobörsen und DeFi-DAPPs die Blacklist des US-Finanzministeriums umsetzen können. Die Zusammenarbeit von TRM und Finanzministerium könnte erklären, weshalb das Ökosystem die Sanktionen nur wenige Stunden umsetzte, nachdem sie angekündigt worden sind.

Not a complete list but you can easily search github for the opensource ones: https://t.co/vOIqEe1jqS

There you will see @BalancerLabs, Oasis, @renprotocol, @VoltzProtocol

— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) August 11, 2022

Die Präsenz der TRM-API in den Open-Source-Code von Dapps dient als sicherer Hinweis darauf, dass diese die Sanktionen verwirklichen.

All diese „Dapps“ sind freilich nur das Frontend der Smart Contracts. Diese haben in der Regel nicht die Möglichkeit, Blacklists umzusetzen. Doch für die meisten User ändert dies nichts. Sie brauchen Node-Anbieter und Frontends, um Dapps zu benutzen. Die wenigen Geeks, die dies selbst machen können, schaffen nicht die Liquidität und das Volumen für ernsthaft Finanzanwendungen.

Die Lektion, die die Ethereum-Szene gerade lernt, ist also diese: Solange weder Nodes noch Frontends für Dapps dezentralisiert sind, können diese ebenso sanktioniert und reguliert werden wie zentralisierte Unternehmen. Es bringt nicht viel, echte Dezentralisierung im Keller zu haben, wenn die Tür dorthin so fest verriegelt ist, dass kein Gast den Weg hinab findet.

Auch die Frontends der Maker DAO, etwa Oasis, folgen den Sanktionen. Zugleich sind sich die Mitglieder allerdings den potenziell verheerenden Folgen bewusst. Denn der von Maker herausgegebene Stablecoin DAI wird zu nicht unerheblichen Teilen durch den Stablecoin USDC gedeckt. Wenn Center nun USDC einfriert, die als Kollateral für DAI-Dollar dienen, gefährdet dies die Stabilität des Stablecoins. Dies scheint mit Tornado Cash noch nicht geschehen zu sein, doch allein die Aussicht ist bedrohlich.

Daher diskutiert die Maker DAO gerade, die Menge an USDC in der Schatzkammer abzubauen. Ob diese aber allein durch Ethereum ersetzt werden sollen, oder durch andere „Real World Assets“ (RWA) ist noch offen.

Ein Troll führt die Sanktionen ad absurdum

Wie absurd das Sanktionsgeschehen ist, zeigte ein origineller Troll. Jemand, der offenbar Ether in Tornado Cash hatte, sendete diese in kleinen Portionen an hunderte von Personen, die ihre Wallets öffentlich bekannt gemacht haben, ob als Adresse oder durch den Ethereum-Name-Service (ENS).

Man nennt dies „Dusten“, vom englischen Wort für Staub, was bei Bitcoin Microtransaktionen bezeichnet, mit denen zuweilen User heimgesucht werden.

Empfänger der Staubkörner von Tornado sind unter anderem der Coinbase CEO Brian Armstrong, der Tron-Gründer Justin Sun, der Youtuber Logan Paul, der Künstler Beeple, der Influencer Anthony Sassal oder auch die Spendenadresse der Ukraine.

Die Folgen waren genau das, was man befürchten konnte. Die APIs oder Algorithmen, mit denen Dapps die Blacklists umsetzen, konnten nicht anders, als nun auch die unfreiwillig beschenkten Adressen aufzunehmen.

sassal.eth now blocked from using the official Aave front-end because someone sent 0.1 ETH to my address via Tornado Cash 🫡 pic.twitter.com/TGc9LJajVU

— sassal.eth/acc 🦇🔊 (@sassal0x) August 13, 2022

Anthony Sassal konnte sich beispielsweise nicht mehr in Aave einloggen, weil seine Adresse blockiert wurde. Selbst Justin Sun ging es so, und vermutlich Dutzenden weiteren Usern.

I’m officially blocked by @AaveAave since someone sent 0.1 eth randomly from @TornadoCash to me. @StaniKulechov pic.twitter.com/tNXNLNYZha

— H.E. Justin Sun 孙宇晨 (@justinsuntron) August 13, 2022

Das „Dusten“ der bekannten Adressen ist ein teurer, aber genialer Schachzug. Denn es ist für die Blacklists und Dapp-Provider schwierig bis unmöglich, zu erkennen, welche Adressen nun Ether von Tornado Cash empfangen haben, weil ihr Besitzer Geld gewaschen hat – und welche Adressen nur das Opfer dieses Streichs wurden.

Mit dem Dusting stellt sich ein rechtsstaatliches Prinzip auf den Kopf: Anstatt dass 999 Schuldige davonkommen, damit nicht ein Unschuldiger bestraft wird, werden nun 999 Unschuldige bestraft, damit nicht ein Schuldiger ungeschoren davonkommt. Wenn man diese Gleichung skaliert, zeigt sich rasch, dass ein solches traditionelles Blacklisting mit Blockchains – und vor allem dezentralen Anwendungen – kaum kompatibel ist. Es wird, über kurz oder lang, die ganze Blockchain mit in Geiselhaft nehmen.

Und nun?

Es ist noch viel zu früh, über all die vielen Folgen zu reden, die die Sanktionen gegen Tornado Cash aufwerfen.

Wird der Merge, mit dem Ethereum von Proof of Work zu Proof of Stake umsteigt, die Sache schlimmer oder besser machen? Wenn zentrale Entitäten wie Börsen die Mehrheit der Coins halten – werden sie dann Sanktionen auf der Protokoll-Ebene umsetzen, so dass nicht nur das Frontend betroffen ist, sondern betroffene Transaktionen tatsächlich nicht mehr bestätigt werden?

Oder wird der Merge die Blockproduktion stärker dezentralisieren und es leichter machen, einen Node zu betreiben, um unabhängig von „Infrastrukturprovidern“ zu werden?

Wird die Ethereum-Community eine Art von Best-Practice finden, um Smart Contracts resistenter gegen Blacklists zu machen? Wird es helfen, die Frontends nicht zentral zu hosten, sondern dezentral, etwa im Interplanetary File System (IPFS)?

Wird die Aufsicht klare Regeln erlassen, wie Startups und Entwickler mit den Sanktionen umgehen müssen? Und werden diese Regeln dafür sorgen, dass die Ansteckungseffekte milde bleiben, so dass nicht 999 Unschuldige mit in Geiselhaft genommen werden?

Und schließlich, eine ketzerische Frage zum Abschluss: Wird Ethereum womöglich davon profitieren, wenn Blacklists und Sanktionen automatisiert und womöglich auch auf der Ebene der Smart Contracts selbst erzwungen werden? Wird dies Ethereum zur Heimat eines Finanzsystems machen, das nicht nur nicht kriminell sein soll – sondern gar nicht kriminell sein kann?

Wird dies dazu führen, dass es zum ersten Mal überhaupt ein Finanzwesen gibt, das vollkommen transparent, fair und ehrlich ist? Wird Ethereum oder „Blockchain“ oder „DeFi“ damit zum Goldstandard der Regulierung – und wird es Banken und Finanzdienstleistern irgendwann sogar vorgeschrieben werden, mit Smart Contracts zu operieren?

Aber wer bestimmt, was kriminell ist? Wird Ethereum damit zur US-Blockchain? Welche Nachteile wirft dies auf? Und überwiegen diese die Vorteile?

Dies sind nur einige der Fragen, die sich derzeit, an diesem Wendepunkt der Geschichte von Ethereum, stellen. Wir fahren in unbekannte Gewässer ein.

---

Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder

Christoph hat vor kurzem sein zweites Buch veröffentlicht: „Das Bitcoin-Kompendium: Netzwerk und Technologie“. Es ist eine überarbeitete Auslese seiner besten Artikel für dieses Blog. Ihr könnt das Kompendium direkt auf der Webseite Bitcoin-Buch.org bestellen – natürlich auch mit Bitcoin – oder auch per Amazon.

Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Für verschlüsselte Nachrichten nutzt bitte meinen PGP-Schlüssel — Auf Telegram! könnt ihr unsere News abonnieren.