Tornado Cash hat gegen seinen Willen Geschichte geschrieben. Durch die Aufnahme der Website des beliebten decentralized virtual Mixers und der zugehörigen Ethereum-Smart-Contract-Adressen in die SDN-Liste (Specially Designated Nationals) hat das OFAC effektiv eine Technologie, die auf der Ethereum-Blockchain basiert, mit Sanktionen belegt.
Am 8. August 2022 wurde Tornado.cash - die Website und die zugehörigen Ethereum-Smart-Contract-Adressen - vom OFAC (Office of Foreign Assets Control) auf die schwarze Liste der Specially Designated Nationals (SDN) gesetzt. Laut der Pressemitteilung des US-Finanzministeriums wurde Tornado Cash seit seiner Gründung im Jahr 2019 zur Geldwäsche von virtuellen Währungen im Wert von mehr als 7 Milliarden US-Dollar verwendet. Davon wurden mehr als 455 Millionen US-Dollar von einer Cyberterrorismus-Gruppe, welche von der nordkoreanischen Regierung gesponsert wurde, gestohlen. Neben der Sanktionierung des Tornado Cash-Protokolls und der damit verbundenen Tools hat die OFAC auch eine Liste grosser Wallets sanktioniert, die mit dem Protokoll im Zusammenhang stehen.
Die SDN-Liste des OFAC dient dazu, Personen zu identifizieren, die in Terrorismus, «enemy states» oder andere staatlich sanktionierte Aktivitäten verwickelt sind, um somit sicherzustellen, dass diese Personen nicht in den Genuss des US-Finanzsystems kommen. Durch die Aufnahme in die SDN-Liste werden US-Personen, einschliesslich in den USA tätiger Börsen für digitale Vermögenswerte, ausdrücklich daran gehindert, mit diesen Personen beziehungsweise Organisationen Geschäfte zu tätigen. Die Sanktionen sind am 8. August 2022 um 10:30 Uhr ET in Kraft getreten.
Tornado Cash ist ein dezentralisierter, non-custodial, Ethereum-basierter, virtueller Währungs-Mixer. Der Mixer vermengt eine Vielzahl von getätigten Ethereum-basierten Transaktionen in einer «lockbox». Zugriff auf diese «lockbox» und die darin enthaltenen virtuelle Währungen haben nur Personen, welche im Besitz eines spezifischen Keys sind.
Wie ein VPN sind Währungs-Mixer wie Tornado Cash darauf ausgelegt, eine Unterbrechung zwischen den Kryptowährungen zu schaffen, die ein Nutzer einzahlt und deren die er abhebt. Grundsätzlich funktionieren Mixer, indem sie die von vielen Nutzern eingezahlten Gelder bündeln, sie scheinbar zufällig mischen, dann eine kleine Servicegebühr abziehen und die verbleibenden Gelder an jeden Einzahler zurückgeben und so die Anonymität des Nutzers schützen. Tornado Cash ist also so konzipiert, dass der Transaktionsverlauf der Nutzer verborgen bleibt, was die Privatsphäre in einer ansonsten offenen und transparenten Blockchain erhöht. Neben solchen legitimen Anwendungsfällen erleichtern Mixer wie Tornado Cash auch die Verschleierung krimineller Aktivitäten und können daher zur Geldwäsche genutzt werden.
Während viele Mixer zentral eingerichtet und von einem Unternehmen betrieben werden (z. B. blender.io), ist Tornado Cash eine non-custodial Softwareanwendung, welche auf einem Smart-contract basiert. Aufgrund seines unveränderlichen und dezentralisierten Designs bleibt Tornado Cash trotz der verhängten Sanktionen funktionsfähig.
Der Grund für die Schlagzeilen sind die erlassenen OFAC-Sanktion: Die Massnahme richtet sich weder gegen eine Person noch gegen eine Einrichtung, sondern gegen eine Technologie. Auch wenn die Sanktion gegen Tornado Cash nicht die erste Sanktionierung eines Währungs-Mixers durch das OFAC ist, wird sie von einigen als die bisher grösste und folgenreichste Massnahme des OFAC angesehen. Mit der Sanktionierung von Tornado Cash hat das OFAC effektiv eine Technologie sanktioniert, die auf der Ethereum-Blockchain basiert. Zum ersten Mal hat das US-Finanzministerium eine spezifische, vollständig dezentralisierte Software (Smart Contract) sanktioniert, die mit einer Adresse (Smart Contract-Adresse) auf einer offenen Distributed-Ledger-Technology (hier Ethereum) verbunden ist. Selbst wenn in der Vergangenheit Bitcoin-Adressen auf die SDN-Liste gesetzt wurden, war die Begründung dafür, dass sie unter der Kontrolle von Personen stehen, die in sanktionierte Aktivitäten verwickelt sind, und die Adresse einfach ein weiterer Alias für die sanktionierte Person ist.
US-Personen müssen diese (primären) Sanktionen nach amerikanischem Recht einhalten. Die Folgen für eine US-Person, die Transaktionen mit einer auf der SDN-Liste aufgeführten Organisation tätigt, können schwerwiegend sein. Zu den möglichen Strafen gehören Geldstrafen in Millionenhöhe und lange Haftstrafen.
Obwohl die US-Sanktionsvorschriften nicht direkt auf Nicht-US-Personen (z.B. Schweizer) anwendbar sind, können sich die Sanktionen auch (indirekt) auf Nicht-US-Personen auswirken, da die US-Behörden Nicht-US-Personen den Zugang zum US-Geldsystem verwehren können, wenn sie Transaktionen mit den Tornado-Cash-Adressen auf der schwarzen SDN-Liste tätigen. Nicht-US-Personen können daher entscheiden, ob sie sich "freiwillig" an die verhängten Sanktionen halten oder keine Geschäfte mit den USA tätigen wollen.
Aufgrund der Natur der Blockchain können Überweisungen über Smart-Contract-Adressen nicht zurückgewiesen werden. Daher könnte jeder Inhaber einer Ethereum-Adresse mit einem potenziellen Verstoss gegen die OFAC-Sanktionen konfrontiert werden (insbesondere, wenn es sich bei dem Inhaber um eine US-Person handelt), selbst wenn der Inhaber nie absichtlich (z. B. durch eine "Dusting Attack ") mit einer solchen sanktionierten Adresse interagiert hat.
In Anbetracht der oben dargelegten aufsichtsrechtlichen Risiken wird Nicht-US-Unternehmen, die Dienstleistungen für digitale Vermögenswerte erbringen, insbesondere Anbietern von Verwahrungs- oder Tauschdienstleistungen, empfohlen, ihre Compliance- und Betriebsabläufe im Hinblick auf die folgenden Themen zu überprüfen:
Umsetzung von Sanktionen: Nicht-US-Personen, die US-Geschäfte tätigen, wird empfohlen, auch die Tornado Cash-Sanktionen umzusetzen und Tornado Cash sowie die 44 zugehörigen virtuellen Währungs-Wallet-Adressen, die von der OFAC sanktioniert wurden, in ihre Sanktionsprüfungsprogramme aufzunehmen. Damit soll festgestellt werden, ob sie digitale Vermögenswerte empfangen oder übermitteln, die mit sanktionierten Brieftaschenadressen verbunden sind, sowie alle anderen Adressen, von denen angenommen wird, dass sie mit Tornado Cash in Verbindung stehen.
Wissen über bewährte Praktiken: Organisationen sollten prüfen, ob ihre Praktiken zur Einhaltung von Sanktionen den Erwartungen der OFAC im Lichte der OFAC Sanctions Guidance vom Oktober 2021 und der Frequently Asked Questions zu virtuellen Währungen sowie der NYDFS Virtual Currency Guidance vom April 2022 entsprechen.
Transaktionsüberwachung: Organisationen sollten ihr Transaktionsüberwachungsmodell überprüfen, unabhängig davon, ob es intern oder von einem Anbieter bereitgestellt wird, um fortlaufend Zugang zu allen potenziellen Berührungspunkten mit Tornado-Cash-Adressen zu erhalten.
Operational transfer-in setup: Organisationen sollten ihr operatives Setup in Bezug auf eingehende Transaktionen überarbeiten, um das Risiko der Kontamination von Wallet-Adressen durch unaufgeforderte eingehende Transaktionen zu verringern. Möglicherweise muss die Verwendung temporärer dynamischer Adressen für eingehende und ausgehende Transaktionen geprüft werden.
Due-Diligence-Prüfung: Finanzinstituten und Dienstleistern, die Kunden aus dem DeFi- oder Digital-Asset-Sektor haben, wird empfohlen, im Rahmen ihrer eigenen Compliance-Praktiken eine Sorgfaltsprüfung dieser Kunden durchzuführen.
Einen sichereren Code entwerfen: DeFi-Entwicklern wird empfohlen, Sanktionsrisiken sowohl auf Projekt- als auch auf persönlicher Ebene zu beurteilen, wenn sie den technischen Aufbau ihrer zukünftigen Tech-Infrastruktur entwerfen.