Matthew Green, profesor Johns Hopkins University, przy wsparciu organizacji praw człowieka Electronic Frontier Foundation (EFF), podjął inicjatywę przywrócenia publicznego dostępu do kodu projektu Tornado Cash, którego repozytoria zostały usunięte na początku sierpnia przez GitHub po umieszczeniu usługi na listach sankcyjnych Amerykańskiego Urzędu Kontroli Aktywów Zagranicznych (OFAC).
W ramach projektu Tornado Cash opracowano technologię tworzenia zdecentralizowanych usług anonimizacji transakcji kryptowalutami, które znacznie komplikują śledzenie łańcuchów przelewów i zakłócają ustalenie połączenia pomiędzy nadawcą a odbiorcą przelewu w sieciach z transakcjami publicznie dostępnymi. Technologia polega na rozbiciu przelewu na wiele małych części, wieloetapowym mieszaniu tych części z częściami przelewów innych uczestników i przekazywaniu wymaganej kwoty odbiorcy w postaci serii małych przelewów z różnych losowych adresów z ogólna pula usługi.
Największy anonimizator oparty na Tornado Cash został wdrożony w sieci Ethereum i przed jego zamknięciem zrealizował ponad 151 tys. przelewów od 12 tys. użytkowników na łączną kwotę 7.6 mld dolarów. Usługę uznano za zagrożenie dla bezpieczeństwa narodowego USA i wpisano na listę sankcji zakazujących transakcji finansowych obywatelom i firmom USA. Głównym powodem zakazu było wykorzystywanie Tornado Cash do prania środków pieniężnych zarobionych w sposób przestępczy, w tym do prania 455 milionów dolarów skradzionych przez grupę Lazarus za pośrednictwem tej usługi.
Po dodaniu Tornado Cash i powiązanych portfeli kryptowalut do list sankcyjnych, GitHub zablokował wszystkie konta twórców projektu i usunął jego repozytoria. Atakiem padły także eksperymentalne systemy oparte na Tornado Cash, które nie znalazły zastosowania we wdrożeniach produkcyjnych. Nie jest jeszcze jasne, czy ograniczenie dostępu do kodu było jednym z celów sankcji, czy też usunięcie odbyło się bez bezpośredniego nacisku z inicjatywy GitHuba, aby zminimalizować ryzyko.
EFF stoi na stanowisku, że zakaz dotyczy wykorzystywania usług operacyjnych do prania pieniędzy, jednak sama technologia anonimizacji transakcji jest jedynie metodą zapewnienia poufności, która może zostać wykorzystana nie tylko do celów przestępczych. Poprzednie sprawy sądowe wykazały, że kod źródłowy jest objęty Pierwszą Poprawką do Konstytucji Stanów Zjednoczonych, która gwarantuje wolność słowa. Sam kod implementujący technologię, a nie gotowy produkt nadający się do wykorzystania w celach przestępczych, nie może zostać uznany za podlegający zakazowi, dlatego EFF uważa, że ponowne opublikowanie wcześniej usuniętego kodu jest legalne i nie powinno być blokowane przez GitHub.
Profesor Matthew Green jest znany ze swoich badań nad kryptografią i prywatnością, w tym ze współtworzenia anonimowej kryptowaluty Zerocoin i bycia częścią zespołu, który odkrył backdoora w generatorze liczb pseudolosowych Dual EC DRBG amerykańskiej Agencji Bezpieczeństwa Narodowego. Do głównych zajęć Matthew należy badanie i doskonalenie technologii prywatności, a także nauczanie studentów na temat takich technologii (Matthew prowadzi zajęcia z informatyki, kryptografii stosowanej i anonimowych kryptowalut na Uniwersytecie Johnsa Hopkinsa).
Anonimizatory, takie jak Tornado Cash, są przykładami udanych wdrożeń technologii prywatności i Matthew uważa, że ich kod powinien pozostać dostępny do badań i dalszego rozwoju technologii. Ponadto zniknięcie repozytorium referencyjnego doprowadzi do zamieszania i niepewności co do tego, którym forkom można ufać (osoby atakujące mogą zacząć dystrybuować forki ze złośliwymi zmianami). Usunięte repozytoria zostały odtworzone przez Matthew w ramach nowej organizacji tornado-repositories na GitHub, aby podkreślić, że dany kod ma wartość dla badaczy akademickich i studentów oraz przetestować hipotezę, że GitHub usunął repozytoria zgodnie z mandatem dotyczącym sankcji, oraz sankcje miały na celu zakaz publikowania kodu.
Źródło: opennet.ru