見出し画像

Tornado制裁と関連動向について

salmon / 寺本健人

現地時間2022年8月8日、アメリカ合衆国財務省外国資産管理室(Office of Foreign Assets Control)はEthereum上でトークンの出どころを隠し、ユーザーのプライバシーを守ると謳うツール「Tornado Cash」に対する制裁措置を発表しました。

OFACの制裁について

この制裁は、北朝鮮の支援を受けているとされるLazarus GroupのRonin Bridgeハッキングや、Harmony、Nomadに対する攻撃で奪われた資金のマネーロンダリングにTornadoが関与しているとして行われたものです。

発表でOFACは

As today’s action demonstrates, mixers should in general be considered as high-risk by virtual currency firms, which should only process transactions if they have appropriate controls in place to prevent mixers from being used to launder illicit proceeds

と説明しています。トークンの出どころを隠すミキサーは基本的に高リスクと見なされ、資金洗浄に利用されることを防ぐ適切な対策が存在する場合にのみ取引を処理すべきだとのことですが、これはミキサーにはKYC等アンチ・マネーロンダリングの施策を行うことが要求されるということでしょう。そうなればミキサーは存在意義を失うので、実質的には米国政府はミキサーを許容しないと言っているのと同義かと思います。

これまでにOFACを含む米国の法執行機関によって取締られたミキサーにはBlender.io、Helix、Bitcoin Fogなどがありますが、これらはいずれもビットコインのミキサーです。仮想通貨が単純に身代金としてのみ使われていた時代から、スマートコントラクトの脆弱性を突いて多額の資金が盗まれ、それが米国の制裁対象国に流れるような時代に移り変わったことを踏まえ、法執行機関もそれに対応してEthereumで最も利用されているミキサーの取り締まりに踏み切ったというところでしょう。

ちなみに、今回の発表で「犯罪を支援する仮想通貨ミキサーは米国の国家安全保障に対する脅威」であるとされ、「米国人による、または米国内で行われる制裁された主体(この場合Tornado Cash)との取引はOFACの許可がない限り禁止される」とされています。すなわち、米国人はTornado Cashの使用が禁止されました。

また、今回の制裁では制裁対象としてEthereumのコントラクトアドレスを指定するという極めて異例の対応がなされたことも注目を集めました。通常OFACの制裁は特定のエンティティ(法人、個人)を指定して発動されますが、今回は特定個人や組織を指定していないという点で大きく異なっています。

この措置について、仮想通貨に関する公共政策について提言を行う非営利団体であるCoin Centerは「ある人物のエイリアスとして機能するBTCアドレスとは異なり、あくまでツールであるスマートコントラクトに対する制裁は過去に例がなく、アメリカ人からツールを活用する権利を奪う『技術の禁止』だ」「Tornadoのコントラクトから送られてくる資金を受け取り拒否することは技術的に不可能で、米国市民が意図せず制裁に違反してしまう」として懸念を表明しました。

同団体はあくまで検討段階だとしながらも、言論の自由を確保するためには支出を行う必要があるという論理から、今回の制裁が合衆国憲法修正1条に違反している可能性も示唆しました。

Tornadoを介したマネロンの規模

Tornadoを通じて行われたマネーロンダリングの規模は、様々な団体が発表する声明によって異なっているようです。

OFACの最初の声明では「70億ドル以上に相当する仮想通貨のロンダリングに関わった」とされていますが、Dune Analyticsの統計を見るとTornadoが過去に処理した総額が76億ドルとなっています。その全てが不正な資金とはいえないので、OFACの表現は多少誤解を招きかねないと言わざるを得ません。

他のデータを見てみると、ChainalysisはTornadoに持ち込まれた資金のうちSanctions(その多くは制裁を受ける前に入金されたもの)とStolen Fundsが28%程度を占めると分析しています。これを踏まえると不正な資金はおよそ20億ドル程度ということになります。

下の記事中から引用

他の分析では、リスク評価プロバイダーであるTRM LabsはLazarusなどが資金洗浄を行った今年6月と7月にTornadoを経由した資金の41%は不正な資金だったと分析しているほか、オランダ国内の金融犯罪を取り締まるFIOD(Fiscal Information and Investigation Service)の金融高度サイバーチーム(FACT, Financial Advanced Cyber Team)は少なくとも10億ドルが不正な資金だとしています。この辺りを総合すると、過去にTornadoを通った資金のうち不正な出所から来たのは10億ドルから20億ドル程度と見るのが妥当かと思います。

TRM Labsの調査では、Lazarusが奪った資金のうち相当量がTornadoを経由して洗浄されたことがわかっています
https://www.trmlabs.com/post/u-s-treasury-sanctions-widely-used-crypto-mixer-tornado-cash

Tornadoへの直接の影響

OFACによる制裁を受けて、Tornadoは複数のWeb2・Web3サービスから遮断されています。

開発者の逮捕

先ほど触れたオランダのFIODがアムステルダムで、Tornadoの開発に関わったとされる29歳の開発者を資金洗浄を支援した疑いで逮捕しました。捜査は今年6月から、数ヶ月にわたって行われていたとのことです。

詳しい情報は明らかになっていませんが、banteg氏によってこの拘束された開発者はAlexey Pertsev氏である可能性が指摘されています。

Relayerに対する捜査も?

確かな情報源による確証はありませんが、Relayer(Tornadoからの引き出し時に一定の手数料を支払うことでガス代を肩代わりしてくれる仲介者のような存在)にも法執行機関が行動を起こしているという報告があります。

banteg氏によると、Hetzner社のクラウドサービスを使ってRelayerを運営していた人物は同社からHDDが押収されたと主張しているとのことです。ただし、この主張を裏付ける確実性の高い証拠は今のところありません。

CircleによってUSDCが凍結される

制裁リストに示された45のアドレスは直ちにCircleによってブラックリスト指定され、総額7万ドルに相当するUSDCが凍結されました。

Circle社CEOのJeremy Allaireは自身のTwitterで「銀行秘密法に従う必要のある連邦規制準拠の金融機関として」この処置を行ったと表明しています。

GitHubからの排除、RPCの遮断

GitHubはTornadoのOrganizationアカウントと開発者個人のアカウントを凍結したとの情報があります。

Twitterアカウント凍結に備えてスクリーンショットを掲載しています。元リンクは
https://twitter.com/TornadoCash/status/1557048526986780677?s=20&t=KHpvdYuvEzpErlkTg9z9DA

またTornadoのフロントエンドが利用していたInfuraやAlchemyはRPCの提供を停止しました。

さらに、こうした企業が運営するインフラの分散型オルタナティブを標榜しているPocket Networkは「アクセスポイントであるPortalを提供しているのは米国に拠点を置くPocket Network Inc.(PNI)であり、PNIは米国の法律に準拠する必要がある」ことを理由にTornadoにサービスを提供しないことを表明しました。

分散型サービスといえど、そうしたサービスの多くはどこかの国に法人格を持っており、米国の制裁に表立って反抗することは難しいと言わざるを得ません。

Tornado外に広がる影響

Tornadoに対する制裁はエコシステム全体に影響を及ぼしています。

DeFiフロントエンドにウォレットブロック機能

DeFiエコシステムでは法令遵守の動きが急速に強まっています。これまでにわかっているだけでUniswap、Aave、Balancer、Oasis、dYdX、Renの公式フロントエンドは接続したウォレットの過去のトランザクションを解析し、不正な資金を検知した場合はフロントエンドの利用をブロックするようにアップデートを行いました。

この新機能がどのレベルの情報を収集しているかははっきりしていません。Balancerの公式Twitterアカウントはウォレットアドレスしか収集していないと言っていますが、GitHubのコードに「IPアドレスやデバイス識別子を収集している」と取れる文言が含まれているという情報もあるなど確かな情報はまだ出ていません。

これらのプロトコルの多くはリスク評価プロバイダであるTRM LabsのAPIを採用しています。したがって、TRM Labsが不正な資金を扱っていると判断したアドレスは多くの主要なDeFiプロトコルのフロントエンドから遮断されることになります。

ちなみに、Tornadoに一度0.1ETHを送ったことのある筆者のメインアドレスはdYdXの利用をブロックされました。一方記事執筆時点ではUniswapやAaveは問題なく利用できており、これらのフロントエンドがウォレットをブロックする基準は必ずしも一つに固まっているわけではないのかもしれません。

0.1ETH送りつけ攻撃

上記のようにTornadoから資金を受け取っただけでDeFiプロトコルの利用をブロックされることを利用して、Twitterで自分のアカウントとENSを紐付けて公開している人々をターゲットに、Tornadoから0.1ETHを彼らのアドレスに送りつけ、DeFiプロトコルを利用できないようにする攻撃が行われています。

前述した通り、Tornadoから送られてくる資金は拒否できないので、ターゲットにされたらただただリスク検知プロバイダーに弾かれないよう祈るしかありません。

この攻撃は既に600を超えるアドレスに対して行われ、著名インフルエンサーのJustin Sunはこの攻撃を受けてAaveが利用できなくなったと明らかにしました。

この攻撃を行なっている人物の正体ははっきりしませんが、このアカウントではないかとされています

MakerDAOとDAIのドルペッグについて

MakerDAOコミュニティは今回CircleがOFACの制裁に続いて迅速にUSDCの凍結処理を行ったことに衝撃を受けています。現在発行されているDAIの32%はUSDCを担保にしており、もしCircleがMakerDAOのVaultをブラックリストに指定すればDAIは直ちに32%の担保資産を失って、depegすることになります。

そのうえ、現環境ではTornadoを通して洗浄したUSDCをMakerDAOに投じることで、MakerDAOも制裁対象に加えるよう米政府を誘導することができるのではとの見方もあります。MKRをショートした上でMakerDAOに「不透明な」資金を投入すれば、ショート利益を狙ったプロトコルへの攻撃も成立しえます。

こうした理由で、MakerDAOコミュニティではUSDCを担保資産として置いておくことに懸念を覚えている人が増えているようです。

とはいえ、USDCはMakerDAOの重要な価格維持システムである「Price Stability Module(PSM)」で広く使われており、USDCを切り捨てることになればPSMを廃止することになります。

(PSMはDAIを借りるのではなくステーブルコインを直接DAIにswapできるシステムで、通常の清算ラインを設定したVaultと合わせて使うことでDAIの価格を1ドルにペッグさせることができる)

そういったことを踏まえ、MakerDAOの共同創業者であるRune Christensen氏はUSDCを売却することでDAIのドルペッグを外すべきだと提言しました。しかし、USDCを含めたステーブルコインがDAIの担保資産に占める割合は80%を超えており、ドルペッグを外すことは容易ではありません。

Christensen氏がこれを「許容可能なリスク」とする一方、Vitalik Buterin氏とCompoundの創業者Robert Leshner氏はそれぞれこの構想に懸念を表明しました。

実際DAIはエコシステム各所で1ドルである前提で運用されているため、今からドルペッグを外すことは非現実的に見えますが、今後分散化を進める必要が認識されたのは事実です。

USDCを担保に持たないLiquityなどはこの機会に宣伝を強化しています。こうしたMakerオルタナティブにある程度資金が流れることは考えられます。

ちなみに、今回の件でChainLinkGodは従来と少し形を変えた「ステーブルコインのトリレンマ」を提言しました。

  • 価格安定性

  • 分散性

  • 資本効率性

という3点は従来どおりですが、分散性が「プロトコル自体の分散性」から「担保をクリプトネイティブなアセットに限定する」というより広い意味へ変えられています。現状この定義で「分散性を満たす」といえるようなステーブルコインは存在せず、担保資産を確保する難しさから、このトリレンマを解決することは従来よりもさらに困難になるでしょう。

https://twitter.com/ChainLinkGod/status/1557031877164249088?s=20&t=sSES-6-dpPygqFUTPbNxWw

また、USDCやUSDTはこれまでDeFiエコシステムでの利用シーンが拡大し続けてきたことも成長の大きな要因となっていましたが、今回の事件を機にDeFiエコシステムでは中央集権型ステーブルコインの利用を避ける動きが強まるかも知れません。

利便性と対検閲性はどちらかに振れ過ぎるとまともに使えなくなるので、結局はどこかで折り合いをつけることになると思いますが、ここについてコミュニティがどういった選択を下すかはウォッチする必要がありそうです。

その他

  • Twitterは「Tornado」を含む発言をしたアカウントを検索結果に表示されないようにする「シャドウバン」を行ったとされています。

    • リプライが表示されにくくなるreply deboostingも行われているようです

  • Metamaskはウォレットのより強力なトラッキング機能を実装したと伝えられています。

  • メールマーケティングを提供するMailChimpはかねてより仮想通貨ビジネスの利用を禁じていましたが、ここへ来て締付けを強めています。メディアのDecryptはメールマガジンが警告なしで凍結されたと明らかにしました。

まとめ

ということで、Tornadoへの制裁はこれまでもDeFiエコシステムの潜在的な課題として認識されていた「規制がある現実世界で分散性をどこまで追求できるか」という問題を、真剣に考えるべき課題として広く明らかにしました。

立法・行政セクターがDeFiやブロックチェーンに注目するにつれて、この問題はますます避けられなくなっています。Consensysが12日に(Tornadoへの制裁とは関係なく)提出した書簡で述べているように、民間主導のコミュニティと規制当局が建設的に技術の健全利用に取り組むことで、イノベーションが促進されるのです。

このトピックについてはbanteg氏が精力的に情報を発信しています。
https://twitter.com/bantg

おまけ

8/12に公開されたのに実はTornadoへの制裁となんの関係もない、米国財務省の「デジタル資産の責任ある開発」に関するコメント要請へのConsensysの回答要旨

ブロックチェーンはそれ自体がプログラミングプラットフォームである
要約すると「ブロックチェーン技術とそのエコシステムはイノベーティブなものだが、現時点では課題や、消費者を狙う攻撃も多い。したがって政府はこの現状を正しく認識し、民間と適切に協力して対処していく必要がある」という話。今回のTornado事件とは関係がない

  • 最小限の仮想通貨取引に対する免税措置

  • PoSネットワークのブロック検証報酬を受取時に課税所得として扱わず、deposition後に収入としてカウントすべきだ(税収確保と納税者の利益から)

  • FinCENが提起した非ホスト型ウォレットのユーザーに対する厳格な報告義務を実際に適用すべきでない

  • 政府当局者がデジタル資産を保有することを禁じるOGE(政府倫理局)の決定を撤回

記事サムネイルは
https://twitter.com/lex_DAO/status/1557749846185893888?s=20&t=Drm5Gbve6TBxRpZ706MtRQ から

投げ銭(ETH)
0x6D479e1c8AA4D0c778eF1e8a758BB0E753929019

(Solana)
8iK1CYZM8N9MTquKmCBQGxzMBCuEUcpHtj9V2tv3CdDu

この記事が気に入ったらサポートをしてみませんか?