Verschillende gedecentraliseerde applicaties op het Ethereum-netwerk hebben codewijzigingen doorgevoerd om de toegang van "gesanctioneerde" adressen in te trekken. De momenteel geïdentificeerde protocollen zijn Aave, Uniswap, Ren, Oasis en balancer. Banteg van Yearn identificeerde de GitHub-repositories in kwestie via een Tweet zaterdagochtend vroeg.
toen defi-apps je begonnen te verraden, met links
2021-10-25 eenswap https://t.co/ym0wdNPJS6
2022-05-10 herh https://t.co/9588mTitKe
2022-06-29 balanceerder https://t.co/5V1FaxPUOn
2022-08-11 oase https://t.co/GzkOQXXPb9
2022-08-12 av https://t.co/vYY8MjqZ1p
(nooit) verlangen, krommen pic.twitter.com/1FkgVPnUqb- banteg (@bantg) 12 Augustus 2022
Sanctioneren van "gescreende" adressen.
De ingevoerde "adresscreening" draait om TRM Labs, een compliancebedrijf dat diensten aanbiedt aan dApps via een API. Een pagina op de TRM Labs-website verwijst naar de tool die van toepassing is op "nieuwe Rusland-gerelateerde aanduidingen".
Echter, na de OFAC-actie om alle adressen met betrekking tot Tornado Cash te bestraffen, lijkt het erop dat gebruikers die interactie hebben gehad met Tornado Cash nu ook worden bestempeld als "gesanctioneerd" en dus worden verbannen van de platforms met behulp van de API van TRM Labs.
De sancties worden niet opgelegd aan adressen die gerelateerd zijn aan Rusland, maar aan alle gebruikers, inclusief Amerikaanse burgers, die ooit geld hebben ontvangen van een Tornado Cash-adres.
Gezien de recente 'dusting'-aanval van spraakmakende adressen zoals Brian Armstrong, Justin Sun en verschillende VC-bedrijven, lijkt het erop dat ze zijn geblokkeerd voor Aave, Uniswap en de andere applicaties die TRM Labs gebruiken.
Afstoffenaanvallen leiden tot spraakmakende bans
Een tweet van de oprichter van Tron, Justin Sun, heeft het probleem onder de aandacht gebracht omdat hij beweert nu niet in staat te zijn om met Aave te communiceren. Zon tweeted dat Aave zijn account heeft geblokkeerd nadat hij 0.1 ETH heeft ontvangen van een willekeurige rekening via Tornado Cash.
De tekst op de screenshot die met de tweet is gedeeld, luidt: "Dit adres is geblokkeerd op app.aave.com omdat het is gekoppeld aan een of meer geblokkeerde activiteiten."
#PeckShieldAlert Meer dan 600 adressen ontvangen 0.1 $ ETH oppompen van https://t.co/LLczi0PVvh: 0.1 ETH-contract dat is toegevoegd aan de OFAC-sanctielijst, inclusief grote namen en gecentraliseerde uitwisselingen.
Sommige gebruikers beweerden dat ze werden geblokkeerd door @AaveAave vanwege de "airdrop". https://t.co/WeXfpiSi7N pic.twitter.com/cB4M5T29Ya—PeckShieldAlert (@PeckShieldAlert) 13 Augustus 2022
Think PeckShieldAlert, ontvingen meer dan 600 ENS-adressen 0.1 ETH van Tornado Cash, en veel van degenen die het fonds ontvingen, werden geblokkeerd door Aave.
Het besluit van Aave om deze rekeningen te blokkeren is aan het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën om Tornado Cash te verbieden. OFAC verbood Tornado Cash, onder vermelding van verschillende verbonden adressen, en beweerde dat de Noord-Koreaanse hackergroep Lazarus het heeft gebruikt.
Na het verbod heeft GitHub het account van de maker van Tornado Cash gedeactiveerd. Ook de website van de cryptomixer en de Discord-server gingen offline. Een van de ontwikkelaars ervan werd gearresteerd in Nederland.
Hoewel velen de zet van GitHub hebben bekritiseerd, verwachtte niemand dat een gedecentraliseerd platform dat niet direct onder de Amerikaanse regelgeving valt, elk adres dat met Tornado Cash is verbonden, zou blokkeren.
Maar het lijkt erop dat Aave niet het enige Defi-platform is dat aan het verbod voldoet. Defi exchange, dYdX blokkeerde ook adressen die in het verleden interactie hebben gehad met Tornado Cash.
De verhuizing had gevolgen voor verschillende accounts, waaronder gebruikers die geen interactie hadden met Tornado Cash of zelfs de oorsprong kenden van het geld dat ze in verschillende eerdere transacties ontvingen.
De oprichter van Assure, een DeFi KYC-platform, vertelde CryptoSlate: "We hebben de doos van Pandora geopend. Waar zal het eindigen?” Hij ging verder,
“De recente OFAC-sancties op Tornado Cash en de arrestatie van de ontwikkelaar zijn zeer zorgwekkend. Het concept van het verbieden en bestraffen van open source-code op internet met een echte use-case is volledig in strijd met het WEB3-ethos.
Dit is helemaal opnieuw Silk Road, en we weten hoe dat is afgelopen. Ross Ulbricht zit nog steeds te rotten in de gevangenis sinds hij in 2015 werd veroordeeld.”
Verdere besmetting
In reactie op de tweet van Justin Sun benadrukten Alex en Omega een mogelijke workflow die wijdverbreide besmetting zou kunnen veroorzaken in het DeFi-ecosysteem, zoals hieronder weergegeven. Gezien de huidige implementatie bestaat er bezorgdheid dat een kwaadwillende actor Ethereum via Tornado Cash naar portemonnees met grote leningen zou kunnen sturen om een liquidatie-evenement te activeren.
1. Identificeer alle grote leningen op @AaveAave en plan mogelijke liquidatiecascade
2. Verzend ETH van @RTLnieuws naar alle wallets met grote leningen
3. Laat AAVE alle portefeuilles blokkeren
4. Korte ETH
5. Start ETH-dump
...
6. Bekijk de liquidatiecascade en niemand kan iets doen. over het?
— lex | αlex en Ωmega (@alexandomega) 13 Augustus 2022
Als portemonnees met actieve leningen worden uitgesloten van Aave, kunnen ze geen extra kapitaal toevoegen om hun LTV te beheren. Dientengevolge, als de prijs van de onderliggende activa zou dalen, zou er een belangrijke liquidatie kunnen plaatsvinden omdat gebruikers geen toegang zouden hebben tot hun rekeningen.
Dit is praktisch gezien onwaarschijnlijk, aangezien de protocollen een verantwoordelijkheid hebben jegens hun gebruikers om hen toegang te geven tot hun geld. Echter, zoals de foutmelding op de tweet van Sun laat zien, lijkt het erop dat alleen de front-end van de applicatie wordt geblokkeerd.
Gebruikers kunnen mogelijk communiceren met de protocollen via CLI of het project forking maken om hun front-end UI te creëren. Dit gaat veel gebruikers te boven, maar degenen met aanzienlijk geld zouden via deze methode toegang moeten hebben tot geblokkeerde activa.
Een zoektocht naar Sun's verboden portemonnee adres "0x3ddfa8ec3052539b6c9549f12cea2c295cff5296" geeft aan dat hij meer dan $ 100 miljoen aan Aave-tokens heeft. Hij heeft $ 91 miljoen aTUSD, $ 58 miljoen aUSDC en $ 19 miljoen aDAI. Deze fondsen lijken momenteel niet te recupereren via de front-end UI van Aave.
TRM Labs-aanpak
De grootste zorg is echter hoe TRM Labs beslist wat een gesanctioneerd adres is. Als een portemonnee geld rechtstreeks van Tornado Cash ontvangt, is er een directe correlatie. Maar wat als een gebruiker het geld naar een DEX stuurt en ruilt voor een ander token? Zal de portemonnee die deelneemt aan de swap nu ook worden beschouwd als een gesanctioneerde portemonnee? Dit is een reële mogelijkheid als het in het bezit is van ETH, dat ooit door Tornado Cash is gegaan.
Een grafiek gemaakt door ElBarto Crypto, een analist bij Block119, laat zien dat 90% van de Ethereum-adressen slechts vier graden gescheiden zijn van Tornado Cash, met 41% binnen slechts twee graden.
Zes graden tornado-geld is iets. Nog gekker, terwijl slechts 0.03% van de adressen ETH ontving van tornado-geld, is bijna de helft van het hele ETH-netwerk slechts twee hops van een tornado-geldontvanger. pic.twitter.com/LDU9g0r7tQ
— ElBarto_Crypto (@ElBarto_Crypto) 13 Augustus 2022
Het potentieel voor miljarden ETH om op de "zwarte lijst" te komen, is een reële mogelijkheid in de gevolgen van de OFAC-sancties. TuongVy Le, Head of Regulatory & Policy bij Baincap Crypto, vertelde CryptoSlate,
“Dit is een probleem. Er moeten normen en transparantie zijn over hoe we allemaal moeten voldoen aan deze ongekende en nieuwe sanctie van slimme contracten en portemonnees van TC.
TuongVy Le, ex-SEC, ging verder met commentaar op de benadering van TRM Labs van het nalevingsprobleem veroorzaakt door OFAC,
“Het lijkt erop dat TRM een expansieve aanpak hanteert, wat begrijpelijk is omdat de sancties ernstig zijn en er veel onduidelijkheid is over hoe het hier van toepassing is. Tegelijkertijd denk ik dat we ons moeten afvragen of er sprake is van een inherent belangenconflict wanneer deze compliance providers werk doen voor zowel de private sector als de overheid.”
Als reactie op enkele zorgen dat de DeFi-protocollen in kwestie mogelijk gebruikersgegevens naar OFAC sturen, heeft Balancer bevestigd dat "gebruikersadressen" naar "de FBI" zouden worden verzonden, maar "niets anders".
Balancer stuurt alleen gebruikersadressen, absoluut niets anders. We sturen geen IP's of aanvullende informatie.
- Balancer Labs (@BalancerLabs) 12 Augustus 2022
Een balancer-ontwikkelaar, Tim Robinson, merkte verder op dat alle gegevens via "lambda worden verzonden, zodat IP's van gebruikers niet naar TRM worden verzonden."
juridische tekst != code implementatie
Alle TRM-verzoeken gaan via een lambda, zodat IP's van gebruikers niet naar TRM worden verzonden: https://t.co/J4HkQfzdaN
Lambda: https://t.co/SpXsy4pdB9
Alles is open source
— Tim Robinson (@timjrobinson) 13 Augustus 2022
Op het moment van schrijven hebben de incidenten geen duidelijke invloed gehad op de prijs van Ethereum of de bredere cryptomarkten. Ethereum zit net onder de $ 2,00 nadat het van de ene op de andere dag de psychologische weerstand heeft doorbroken.
CryptoSlate heeft contact opgenomen met de platforms in kwestie waarmee we directe communicatielijnen hebben. Momenteel is er geen reactie, maar dit artikel zal worden bijgewerkt zodra er meer informatie beschikbaar is.
Bron: https://cryptoslate.com/defi-protocols-aave-uniswap-balancer-ban-users-following-ofac-sanctions-on-tornado-cash/