TORNADO CASH là gì? - Máy trộn tiền bị Hoa Kỳ gắn mác rửa tiền

Người ta thường nghĩ giao dịch bằng tiền mã hoá sẻ riêng tư và mang tính bí mật hơn giao dịch truyền thống nên rất được các hacker và tội phạm ưa chuộng. Nhưng thực tế lại hoàn toàn ngược lại.

Vì các loại tiền mã hoá chạy trên mạng lưới blockchain. Mà blockchain là một sổ cái công cộng. Cho tất cả mọi người có thể quan sát và lưu giữ hồ sơ của tất cả các giao dịch. 

Trong khi ví tiền mã hoá hoặc địa chỉ ví chỉ là bút danh. Do các sàn giao dịch tập trung (CEX) và các cơ quan giám sát bắt buộc phải biết thông tin về bạn (KYC) và luật chống rửa tiền (AML). Một rò rỉ dữ liệu đơn giản có thể hỗ trợ các nhà quản lý hoặc thậm chí là hacker liên kết thông tin cá nhân của bạn với các giao dịch trên blockchain của bạn một cách dễ dàng.

Rất ít giao dịch tiền mã hoá là riêng tư. Nên mới có những công ty đặc thù, chuyên phân tích những dữ liệu blockchain như Chainalysis và Elliptic được sinh ra với mô hình kinh doanh bằng cách theo dõi các giao dịch tiền mã hoá. 

Đã có những giải pháp về quyền riêng tư đã được đưa ra như Monero và ZCash... Nhưng cả hai dự án đó đều có blockchain riêng và chúng bắt buộc bạn phải sử dụng đồng tiền của chúng. Và không có cách nào để chúng che đậy quyền riêng tư trên các blockchain thương thích với Ethereum. Đây là lúc Tornado Cash ra đời. 
 

Tornado Cash là gì?

Tornado Cash là một máy trộn tiền. Có nghĩa là nó giúp làm xáo trộn nguồn gốc và điểm đến của các giao dịch trên blockchain. Làm cho chúng khó theo dõi hơn. Ngay cả đối với các cơ quan thực thi pháp luật. 

Tornado Cash là một dApp phi tập trung, được phát triển trên blockchain Ethereum. Nên vì thế nó cũng hỗ trợ một số blockchain tương thích với Ethereum như BNB Chain và Polygon…

Tornado Cash sử dụng công nghệ zero-knowledge proofs. Việc trộn tiền được thực hiện trong các bể thanh khoản. Nên không có ai có thể biết được người rút tiền ra khỏi dApp là ai. Mục đích nhằm cải thiện quyền riêng tư của giao dịch giữa người nhận và người gửi. 

Vào tháng 5 năm 2020. Các nhà phát triển Tornado đã từ bỏ việc quản lý ví đa chữ ký của giao thức. Do đó, những người sáng lập đã mất quyền kiểm soát Tornado. Khiến nó trở thành một giao thức hoàn toàn phi tập trung. 

Cách hoạt động của Tornado Cash

Cách hoạt động của Tornado Cash khá đơn giản. Đầu tiên bạn gửi tiền vào. Sau đó Tornado Cash sẽ tạo cho bạn một đoạn mã bí mật. Bạn lưu đoạn mã đó về cất kỹ (vì khi cần rút tiền bạn phải cung cấp đoạn mã đó). Sau đó bạn tiến hành gửi token của mình vào. Khi rút tiền thì bạn chỉ cần nhập đoạn mã mà Tornado Cash đã tạo cho bạn và địa chỉ nhận tiền. 

Tuy nhiên, nhóm Tornado Cash có một số khuyến nghị về việc rút tiền từ giao thức. Đối với người mới bắt đầu. Họ khuyên bạn nên đợi ít nhất năm giao dịch trước khi rút tiền của mình. Để tránh bất kỳ khả năng ai đó tìm thấy mối liên hệ giữa tiền gửi và rút tiền. Họ thậm chí còn khuyên bạn nên đợi khoảng 24 giờ như một quy luật. Chỉ để giữ an toàn cho quyền riêng tư của bạn. 

Một câu chuyện mô tả về quá trình sử dụng Tornado Cash 

Như Tèo đang có một thương vụ mua bán với Tý. Thương vụ này chỉ là một thương vụ mua bán cà phê thông thường và hợp pháp. Nhưng thay vì chuyển tiền qua lại theo cách củ là Tèo sẽ gửi USDT sang ví của Tý. Nhưng do đối thủ của Tèo là Lan. Vốn cũng bán cà phê. Nên rất muốn biết về giá trị đơn hàng mà Tèo và Tý đã giao dịch. 

Vì trước đó Lan đã biết được địa chỉ công khái của Tèo. Nên bất cứ giao dịch nào mà Tèo thực hiện. Lan đều có thể quan sát và theo dõi thông qua blockchain. 

Vì không muốn để lộ thông tin và muốn giữ riêng tư trong giao dịch. Tèo đã sử dụng máy trộn tiền Tornado Cash để làm mất dấu vết đường đi của USDT từ ví Tèo sang ví Tý. 

Tèo truy cập vào “https://tornadocash.eth.link/”

Và tiến hành gửi USDT vào Tornado Cash.

Tèo chọn USDT và chọn số lượng cần gửi. 

Khi đã gửi tiền vào Tornado Cash. Thì coi như Lan chỉ được theo dõi được tới đây. Sau đó đường đi của USDT sẽ bị cắt đứt và được trộn. 

Sau đó Tornado Cash sẽ gửi lại cho Tèo một đoạn “mã bí mật”. Gọi là bí mật là vì nếu ai có được đoạn mã này. Họ có thể lên Tornado Cash và rút tiền của Tèo ra. Vì thế Tèo có thể coi đoạn mã bí mật này như một khoá riêng tư của Tèo. 

Đây là đoạn mã mà Tornado Cash gửi cho Tèo khi Tèo nạp tiền vào. Tèo phải giữ cẩn thận đoạn mã này để có thể lấy tiền ra được. Mất mã đồng nghĩa với mất tiền. 

Sau khi gửi tiền vào thì Tornado Cash tiến hành trộn tiền trong các bể thanh khoản của họ. 

Các hợp đồng thông minh trong Tornado Cash sẽ nhóm tất cả số tiền ký gửi của người dùng lại thành một bể thanh khoản. Khi tiền được rút ra từ bể thanh khoản đó. Liên kết trực tuyến giữa nguồn và đích của giao dịch sẽ bị phá vỡ.

Để đảm bảo an toàn và thật sự bảo mật danh tính. Tornado Cash khuyên người dùng rằng:

• Bạn nên sử dụng VPN, proxy hoặc TOR để ẩn địa chỉ IP bạn đang sử dụng.

• Bạn nên xóa cookie và lịch sử trình duyệt.

• Chờ một thời gian, ví dụ 24 giờ. Giữa các lần gửi tiền để tăng độ khó liên kết tiền gửi và rút tiền.

• Sử dụng địa chỉ nhận mới để rút tiền. 

Đến lúc nhận tiền. Tý sẽ vào Tornado Cash. Tạo một địa chỉ nhận tiền mới trên ví Metamask và nhập đoạn mã bí mật mà Tèo cung cấp để rút tiền về. 

Tạo một địa chỉ nhận tiền mới trên ví Metamask. 

Ở ô phía trên (note), Tý nhập đoạn mã bí mật mà Tèo đã cho. Ở ô phía dưới. Tý nhập địa mới mà Tý tạo trên Metamask. Và tiến hành rút tiền
 

Như vậy là đã xong quy trình chuyển tiền trong bí mật giữa Tèo và Tý. Chỉ có hai người này mới thật sự biết được giao dịch đó là bao nhiêu. Người ngoài không thể theo dõi được bởi có sự can thiệp làm “xáo trộn” đường đi của Tornado Cash. 

Đây cũng là cách làm phổ biến của Hacker sau khi hack được tiền từ các dApps. Nếu Hacker lấy được tiền và đưa tiền đó lên sàn để bán. Thì các sàn sẽ theo dõi được nguồn tiền này từ đâu mà ra. Nên từ đó hacker cần một công cụ để “rửa” từ tiền bẩn thành sạch. 

Hacker chuyển số tiền đã lấy trộm vào Tornado Cash và rút ra bằng một địa chỉ mới. Như thế họ có thể tiếp tục xài số tiền đó mà không ai có thể biết rằng số tiền đó đến từ đâu và có hợp pháp hay không. 

Khai thác ẩn danh là gì?

Nếu hacker cần “rửa tiền” thì Tornado phải có nước để rửa đúng không nào? Vậy nước từ đâu mà có. Đó là từ các hồ thanh khoản do những người dùng khác bơm vào (gửi token vào). Và họ sẽ được Tornado Cash thưởng lại token TORN cho công sức của họ.

Nhưng nếu thưởng như thế thì sẽ bị lộ ai là người đang cung cấp thanh khoản cho Tornado Cash. Để bảo vệ các nhà cung cấp thanh khoản. Tornado Cash sẽ trả thưởng thông qua “điểm ẩn danh” (Anonymity Points) thay vì trực tiếp token TORN. 

Những “điểm ẩn danh” này sẽ được chuyển vào một tài khoản được bảo vệ đặc biệt. Nó sẽ xoá số dư tiền gửi và thông tin địa chỉ ví khỏi sự chú ý từ công cộng. Khi “điểm ẩn danh” đạt đến một ngưỡng nhất định. Người dùng sau đó có thể chuyển đổi “điểm ẩn danh” thành token TORN và bán chúng trên các sàn tập trung như Binance, Gate.io… 

Token TORN

TORN là đơn vị tiền tệ của Tornado Cash. Cho phép chủ sở hữu tham gia vào các đề xuất và bỏ phiếu cho các thay đổi giao thức. 

TORN có nguồn cung lưu hành tối đa là 10 triệu token.

Theo sách trắng. Kế hoạch phát hành token TORN và lịch trình phát hành mã thông báo như sau:

5% (500.000 TORN): Airdrop cho những người dùng đầu tiên của Tornado.

10% (1.000.000 TORN): Khai thác ẩn danh cho các nhóm Tornado Cash ETH. Được phân phối tuyến tính trong hơn 1 năm

55% (5.500.000 TORN): Kho bạc DAO, sẽ được mở khóa tuyến tính trong 5 năm. 

30% (3.000.000 TORN): Các nhà phát triển sáng lập và những người ủng hộ ban đầu. Sẽ được mở khóa tuyến tính trong vòng 3 năm. 

Ai là người sáng lập Tornado Cash?

Roman Semenov, người đồng sáng lập Tornado Cash tốt nghiệp Đại học Tổng hợp Moscow. Nơi anh theo học Thống kê lượng tử và Lý thuyết trường. 

Sau Đại học, anh làm việc trong lĩnh vực thương mại điện tử và truyền thông xã hội. Đã thành lập hai công ty trong các lĩnh vực đó. Vào năm 2017, Semenov chuyển sang lĩnh vực tiền điện tử, làm Kiến trúc sư phần mềm trưởng tại một nền tảng đặc biệt tập trung vào khả năng mở rộng Ethereum. Năm 2018, anh thành lập PepperSec. Một cơ quan tư vấn bảo mật cho hacker mũ trắng. Dẫn đến việc tạo ra Tornado Cash.

Roman Storm, một người đồng sáng lập giao thức, có một lý lịch dài về các vị trí trong thế giới công nghệ, blockchain và phần mềm. Trước đây anh ấy đã từng là Kỹ sư phần mềm tại Amazon và Marketron. Ông cũng từng là Giám đốc Công nghệ của POA Network. Storm cũng từng giữ vị trí là nhà phát triển Blockchain cho Blockchainlabz.nz. Cùng nhau, anh và Semenov thành lập PepperSec và bắt đầu Tornado Cash.

Cái gì mang tính ẩn danh thì chính phủ sẽ không thích. Và ngày đó cũng đó đến. Hoa Kỳ đã chính thức đưa Tornado Cash vào danh sách đen. Cấm các công ty và người dân trong lãnh thổ Hoa Kỳ sử dụng giao thức này.

Nhưng làm thế nào để bạn cấm một giao thức mã nguồn mở?

Lệnh trừng phạt từ Hoa Kỳ đối với Tornado Cash

Vào ngày 7 tháng 8 năm 2022. Bộ Tài chính Hoa Kỳ đã xử phạt Tornado Cash vì cáo buộc giúp tin tặc Triều Tiên rửa hàng tỷ đô la tiền điện tử. Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC). một cơ quan quản lý thuộc Bộ Tài chính Hoa Kỳ chịu trách nhiệm áp đặt các lệnh trừng phạt, đã xác nhận tin tức, cấm người dùng và doanh nghiệp tiền điện tử của Hoa Kỳ tương tác với giao thức.   

Theo Kho bạc Hoa Kỳ. Tornado Cash đã rửa hơn 7 tỷ đô la tiền điện tử kể từ khi nó được ra mắt vào năm 2019. Tuy nhiên, một báo cáo từ công ty phân tích tiền điện tử Elliptic tuyên bố rằng. Chỉ có 1,5 tỷ đô la là tiền bất hợp pháp thông qua ransomware, hack và gian lận. Được rửa thông qua Tornado. Còn lại là số tiền của những người dùng hợp pháp tìm kiếm sự riêng tư về tài chính. 

Bộ Tài chính Hoa Kỳ đã đổ lỗi cho Tornado Cash. Vì đã không thực hiện các biện pháp thích hợp để ngăn chặn tin tặc sử dụng nó cho các hoạt động rửa tiền. 

Sau khi chính phủ công bố lệnh trừng phạt đối với Tornado Cash. Microsoft đã xóa tài khoản của những người đóng góp Tornado Cash và bản thân dự án khỏi GitHub. Một nền tảng nơi các nhà phát triển cộng tác tạo và duy trì phần mềm nguồn mở. Github có hơn 83 triệu người dùng.

Ảnh hưởng từ lệnh cấm 

Các công ty và các bên liên quan đã tuân thủ lệnh cấm. Kho bạc đã đưa vào danh sách đen 38 ví Ethereum và sáu ví USDC thuộc Tornado Cash. Bên cạnh đó, công ty Circle và Github đã tuân thủ các lệnh trừng phạt. 

My @GitHub account was just suspended 🤷

Is writing an open source code illegal now?

— Roman Semenov 🌪️ 🇺🇦 (@semenov_roman_) August 8, 2022

Nhà sáng lập dự án Tornado Cash đã bị GitHub chặn tài khoản. 

Mặc dù Tornado Cash có thể đã được tội phạm sử dụng để rửa tiền. Nhưng nó cũng được sử dụng rộng rãi một cách hợp pháp bởi những người dùng tiền điện tử chỉ đơn giản là muốn cải thiện quyền riêng tư blockchain của họ. Những người ủng hộ giao thức lập luận mạnh mẽ rằng. Tornado là một mã máy tính có thể được sử dụng cho mục đích tốt hoặc xấu. Tương tự như các VPN trên internet. Cấm Tornado như việc trừng phạt email của những ngày đầu của internet. Ám chỉ về việc email tạo điều kiện cho các cuộc tấn công lừa đảo. 

Vào ngày 9 tháng 8 năm 2022. Người đồng sáng lập Ethereum, Vitalik Buterin, đã tweet rằng ông đã sử dụng giao thức Tornado Cash để quyên góp tiền cho Ukraine. Nhằm tránh đặt các thực thể người nhận dưới sự theo dõi trước các kẻ thù của họ. 

Lệnh cấm cũng thể hiện mong muốn của chính phủ Hoa Kỳ là đẩy tiền điện tử vào các hệ thống tập trung hơn, dễ quản lý hơn.

Ở một diễn biến khác. Một lập trình viên của Tornado Cash tên là Alexey Pertsev, 29 tuổi đã bị cơ quan Điều tra Thông tin tài chính Hà Lan bắt giữ với cáo buộc “tham gia vào việc che giấu dòng tiền phạm pháp và tạo điều kiện cho rửa tiền”.

When “code is law” meets U.S. law.

Kết luận 

Sự phi tập trung và riêng tư trong giao dịch tài chính. Luôn là cái gai lớn trong mắt các chính phủ. Hiện tại chúng ta vẫn đang tiếp tục chờ đợi những khung luật pháp rõ ràng hơn về thị trường Crypto từ các quốc gia. 

Sử dụng Tornado Cash để rửa tiền là một điều cần phải quản lý. Nhưng những người dùng khác trên thế giới có một nghìn lẻ một lý do khác nhau. Về việc họ muốn sử dụng Tornado Cash cho mục đích gửi tiền hợp pháp của mình với sự riêng tư cao nhất. 

Đây cũng là lúc cho chúng ta thấy được. Khi “luật” của hợp đồng thông minh đối mặt với luật của Hoa Kỳ. Và trong tương lai chúng ta sẽ còn tiếp tục thấy những dự án mang tính riêng tư cho người dùng như Tornado Cash sẽ tiếp tục phát triển?