Sanksi baru-baru ini terhadap Tornado Cash dan perdebatan berikutnya seputar sensor, pencucian uang, dan hukuman sosial menimbulkan beberapa masalah penting untuk ditangani oleh komunitas Ethereum.
Saya mengusulkan solusi sederhana dan masuk akal untuk sebagian kecil masalah: memberi pengguna Ethereum cara proaktif untuk melindungi diri mereka sendiri dari insiden tak beralasan yang melibatkan dana curian atau akun yang terkait dengan terorisme.
pengantar latar belakang
Pada 8 Agustus 2022, Departemen Keuangan AS mengumumkan sanksi terhadap Tornado Cash. Hingga saat ini, pencampur mata uang kripto ini telah digunakan untuk mengaburkan asal muasal mata uang kripto senilai lebih dari $7 miliar. Pada tahun 2022 saja, 74,6% dana curian (~300.160 ETH) di jaringan Ethereum dicuci melalui Tornado Cash.
Setelah pengumuman tersebut, badai tentang bagaimana menyeimbangkan jaringan yang bebas, adil, dan terbuka dengan kepatuhan pemerintah dan upaya yang bermaksud baik untuk memisahkan dana yang dicuri atau terkait teroris melanda ekosistem ethereum.
Sementara perdebatan yang lebih luas seputar sensor validator dan pemotongan sosial menghabiskan sebagian besar perhatian, kelemahan yang jelas namun berbahaya dalam pembayaran blockchain juga telah muncul.
vektor serangan
Hasil yang menarik dari mempelajari bagaimana Ethereum, Bitcoin, dan jaringan blockchain lainnya bekerja adalah bahwa transaksi hanya perlu ditandatangani oleh pengirim dana.
Tidak ada yang menyangka menerima dana akan mengurangi nilai dompet.
Karena transaksi tidak memerlukan persetujuan simetris (penerima dan pengirim menyetujui pada saat yang sama), serangan sederhana pada alamat publik dimungkinkan. Akun jahat dapat mencemari alamat lain hanya dengan mengirimkan dana yang telah ditandai secara negatif (dicuri, dicampur, terkait terorisme, dll.). Serangan semacam itu terjadi hanya beberapa hari setelah pemerintah AS menindak Tornado Cash.
Seorang peretas mengirim 0,1 ETH ke beberapa bursa cryptocurrency utama (Binance, Kraken, Gate.io) dan akun ETH selebriti (Justin Sun, Jimmy Fallon, Dave Chappelle) dalam "serangan debu"
terorisme ekonomi
Tidak sulit membayangkan serangan yang lebih serius oleh negara-bangsa atau kelompok teroris karena cryptocurrency menjadi bagian sentral dari keuangan dan infrastruktur global.
Kekhawatirannya adalah bahwa organisasi teroris ISIS, Al Qaeda, atau musuh asing dapat membekukan aset dompet target dengan secara sepihak menghubungkan dirinya ke dompet target. Serangan debu besar-besaran akan memicu mekanisme anti pencucian uang perbankan, mematikan seluruh industri selama berminggu-minggu.
Yang lebih mengkhawatirkan lagi, setiap upaya yang bermaksud baik untuk mengidentifikasi, polisi, atau mengkarantina akun berbahaya dengan sendirinya dapat menjadi senjata terorisme ekonomi atau pemerasan.
Bayangkan skema pemerasan seperti ini: Peretas membeli sejumlah kecil (100 ETH) aset Korea Utara atau Hizbullah dan menahannya seperti wadah plutonium (elemen radioaktif), mengancam Eropa dengan membekukan bisnis perbankan dan aset kecuali mereka diam-diam membayar uang tebusan .
Kami membutuhkan cara yang sederhana dan proaktif bagi pengguna Ethereum untuk melindungi diri dari serangan jahat dan memulihkan alamat mereka secara instan.
larutan
Alih-alih mengubah sistem transaksi tanda tangan tunggal Ethereum menjadi sistem perjanjian penerima/pengirim yang lebih kompleks dan lebih lambat, saya mengusulkan agar kita mengadopsi rutinitas untuk memulihkan akun yang menerima dana tercemar.
Ketika pengguna/bisnis menerima dana yang tidak diinginkan, atau kemudian menemukan bahwa mereka telah menerima pembayaran dari akun yang dicuri, mereka dapat membersihkan akun mereka dalam dua langkah:
1. Hancurkan ETH yang tercemar dengan mengirimkannya ke alamat kosong (0x00...000)
2. Lampirkan hash/ID transaksi dari aset yang dihancurkan ke memo
Langkah kedua penting karena pengguna/bisnis mungkin tidak menemukan masalah hingga setelah banyak transaksi. Selain itu, jika dompet memiliki volume transaksi yang tinggi, sumber dana (target penghancuran) mungkin juga tidak jelas.
menggunakan
Agar metode mengamankan akun pengguna ini benar-benar berfungsi, metode ini perlu diadopsi oleh komunitas Ethereum, penyedia analitik on-chain, dan penegakan hukum pidana pemerintah (pada akhirnya).
Selama beberapa minggu ke depan, saya akan bekerja dengan mitra saya Vivek Raman untuk mensosialisasikan ide ini dengan anggota inti komunitas Ethereum dan beberapa perusahaan analisis on-chain (Elliptic, Chainalysis, SlowMist, dll.). Pada akhirnya, jika konsep ini diadopsi, kami juga akan berbicara dengan OFAC, FinCEN, FBI.
Perbaikan yang disarankan:
Ujung depan yang mudah digunakan dapat dibuat dengan menghubungkan ke EtherScan/Memo.
Buat alamat penghancuran khusus untuk perbaikan, bukan alamat kosong.