Diverse applicazioni decentralizzate sulla rete Ethereum hanno implementato modifiche al codice per revocare l'accesso agli indirizzi "sanzionati". I protocolli attualmente identificati sono Aave, Uniswap, Ren, Oasis e balancer. Banteg di Yearn ha identificato i repository GitHub in questione tramite un Tweet sabato mattina presto.
quando le app defi hanno iniziato a spiarti, con i collegamenti
2021-10-25 uniswap https://t.co/ym0wdNPJS6
2022-05-10 ren https://t.co/9588mTitKe
2022-06-29 bilanciatore https://t.co/5V1FaxPUOn
2022-08-11 oasi https://t.co/GzkOQXXPb9
2022-08-12 aave https://t.co/vYY8MjqZ1p
(mai) desiderare, curvare pic.twitter.com/1FkgVPnUqb- banteg (@bantg) 12 Agosto 2022
Sanzionare gli indirizzi “vagliati”.
Lo "screening degli indirizzi" che è stato messo in atto ruota attorno a TRM Labs, una società di conformità che offre servizi alle dApp tramite un'API. Una pagina sul Sito web dei laboratori TRM si riferisce allo strumento come applicabile per "nuove designazioni relative alla Russia".
Tuttavia, a seguito della mossa dell'OFAC di sanzionare tutti gli indirizzi relativi a Tornado Cash, sembra che anche gli utenti che hanno interagito con Tornado Cash vengano ora etichettati come "sanzionati" e quindi banditi dalle piattaforme utilizzando l'API di TRM Labs.
Le sanzioni non vengono applicate agli indirizzi relativi alla Russia, ma a tutti gli utenti, compresi i cittadini statunitensi, che abbiano mai ricevuto fondi da un indirizzo Tornado Cash.
Dato il recente attacco di polvere di indirizzi di alto profilo come Brian Armstrong, Justin Sun e diverse aziende di VC, sembra che siano stati bloccati da Aave, Uniswap e le altre applicazioni che utilizzano TRM Labs.
Gli attacchi di spolvero causano divieti di alto profilo
Un tweet del fondatore di Tron, Justin Sun, ha messo in luce il problema poiché afferma di non essere in grado di interagire con Aave. Sole tweeted che Aave ha bloccato il suo account dopo aver ricevuto 0.1 ETH da un account casuale tramite Tornado Cash.
Il testo sullo screenshot condiviso con il tweet recita: "Questo indirizzo è bloccato su app.aave.com perché è associato a una o più attività bloccate".
#Allerta PeckShield Oltre 600 indirizzi ricevuti 0.1 $ ETH da https://t.co/LLczi0PVvh: 0.1 contratto ETH che è stato aggiunto all'elenco delle sanzioni OFAC, inclusi i Big Name e gli scambi centralizzati.
Alcuni utenti hanno affermato di essere stati bloccati da @AaveAave a causa dell'"airdrop". https://t.co/WeXfpiSi7N pic.twitter.com/cB4M5T29Ya—PeckShieldAlert (@PeckShieldAlert) 13 Agosto 2022
Secondo Avviso di PeckShield, oltre 600 indirizzi ENS hanno ricevuto 0.1 ETH da Tornado Cash e molti di coloro che hanno ricevuto il fondo sono stati bloccati da Aave.
La decisione di Aave di bloccare questi conti spetta alla decisione dell'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti di vietare Tornado Cash. OFAC ha bandito Tornado Cash, citando diversi indirizzi collegati, sostenendo che il gruppo di hacker nordcoreano Lazarus lo stava utilizzando.
A seguito del ban, GitHub ha disattivato l'account del creatore di Tornado Cash. Anche il sito Web del mixer crittografico e il server Discord sono andati offline. Uno dei suoi sviluppatori è stato arrestato nei Paesi Bassi.
Sebbene molti abbiano criticato la mossa di GitHub, nessuno si aspettava che una piattaforma decentralizzata non direttamente conforme alle normative statunitensi bloccasse qualsiasi indirizzo collegato a Tornado Cash.
Ma sembra che Aave non sia l'unica piattaforma Defi a rispettare il divieto. Defi exchange, dYdX ha anche bloccato gli indirizzi che hanno interagito con Tornado Cash in passato.
La mossa ha interessato diversi account, inclusi utenti che non hanno interagito con Tornado Cash o addirittura conoscevano l'origine dei fondi ricevuti in varie transazioni passate.
Il fondatore di Assure, una piattaforma DeFi KYC, ha dichiarato a CryptoSlate: "Abbiamo aperto il vaso di Pandora. Dove andrà a finire?" Lui continuò,
“Le recenti sanzioni dell'OFAC su Tornado Cash e l'arresto dello sviluppatore sono gravemente preoccupanti. Il concetto di vietare e sanzionare il codice open source su Internet con un caso d'uso reale è completamente contrario all'etica di WEB3.
Questa è di nuovo Silk Road, e sappiamo come è andata a finire. Ross Ulbricht sta ancora marcendo in prigione da quando è stato condannato nel 2015".
Ulteriore contagio
In risposta al tweet di Justin Sun, Alex e Omega hanno evidenziato un potenziale flusso di lavoro che potrebbe causare un diffuso contagio nell'ecosistema DeFi, come mostrato di seguito. Data l'attuale implementazione, c'è il timore che un attore malintenzionato possa inviare Ethereum tramite Tornado Cash a portafogli con ingenti prestiti per innescare un evento di liquidazione.
1. Identificare tutti i principali prestiti su @AaveAave e pianificare la possibile cascata di liquidazione
2. Invia ETH da @TornadoCash a tutti i portafogli con prestiti importanti
3. Lascia che AAVE blocchi tutti i portafogli
4. Breve ETH
5. Avviare il dump ETH
...
6. Guarda la cascata della liquidazione e nessuno può fare qc. a proposito?
— alex | αlex e Ωmega (@alexandomega) 13 Agosto 2022
Se i portafogli con prestiti attivi venissero banditi da Aave, non sarebbero in grado di aggiungere capitale aggiuntivo per gestire il proprio LTV. Di conseguenza, se il prezzo delle attività sottostanti scendesse, potrebbe verificarsi un evento di liquidazione significativo poiché gli utenti non sarebbero in grado di accedere ai propri conti.
Ciò è improbabile nella pratica poiché i protocolli hanno la responsabilità nei confronti dei loro utenti di consentire loro l'accesso ai loro fondi. Tuttavia, come mostra il messaggio di errore sul tweet di Sun, sembra che solo il front-end dell'applicazione sia bloccato.
Gli utenti possono essere in grado di interagire con i protocolli tramite CLI o biforcando il progetto per creare la propria interfaccia utente front-end. Questo è al di là di molti utenti, ma quelli con fondi considerevoli dovrebbero essere in grado di accedere alle risorse bloccate tramite questo metodo.
Una ricerca di Sun è vietata indirizzo del portafoglio "0x3ddfa8ec3052539b6c9549f12cea2c295cff5296" indica che ha oltre $ 100 milioni in token Aave. Possiede 91 milioni di dollari aTUSD, 58 milioni di dollari aUSDC e 19 milioni di dollari aDAI. Al momento, questi fondi sembrano irrecuperabili tramite l'interfaccia utente front-end di Aave.
Approccio TRM Labs
La preoccupazione più grande, tuttavia, è come TRM Labs decide cosa costituisce un indirizzo sanzionato. Se un portafoglio riceve fondi direttamente da Tornado Cash, esiste una correlazione diretta. Tuttavia, cosa succede se un utente invia detti fondi a un DEX e scambia un token diverso? Il portafoglio che partecipa allo scambio ora sarà considerato anche un portafoglio sanzionato? Questa è una possibilità reale se è in possesso di ETH, che una volta è passato attraverso Tornado Cash.
Un grafico creato da ElBarto Crypto, analista di Block119, mostra che il 90% degli indirizzi di Ethereum ha solo quattro gradi di separazione da Tornado Cash, con il 41% in soli due gradi.
Sei gradi di denaro tornado sono una cosa. Ancora più folle, mentre solo lo 0.03% degli indirizzi ha ricevuto ETH da tornado cash, quasi la metà dell'intera rete ETH è a soli due salti da un tornado cash receiver. pic.twitter.com/LDU9g0r7tQ
— ElBarto_Crypto (@ElBarto_Crypto) 13 Agosto 2022
Il potenziale per miliardi di ETH di diventare "lista nera" è una possibilità reale nelle ricadute delle sanzioni OFAC. TuongVy Le, Head of Regulatory & Policy di Baincap Crypto, ha detto a CryptoSlate,
“Questo è un problema. Devono esserci standard e trasparenza su come tutti dobbiamo rispettare questa nuova sanzione senza precedenti di smart contract e portafogli TC”.
TuongVy Le, che è ex SEC, ha continuato commentando l'approccio di TRM Labs al problema di conformità causato dall'OFAC,
“Sembra che TRM stia adottando un approccio espansivo, il che è comprensibile perché le violazioni delle sanzioni sono gravi e c'è molta incertezza su come si applica qui. Allo stesso tempo, penso che dobbiamo chiederci se esiste un conflitto di interessi intrinseco quando questi fornitori di conformità lavorano sia per il settore privato che per il governo".
In risposta ad alcune preoccupazioni che i protocolli DeFi in questione potrebbero inviare dati utente all'OFAC, Balancer ha confermato che "indirizzi utente" sarebbero stati inviati "ai federali" ma "nient'altro".
Balancer invia solo gli indirizzi degli utenti, assolutamente nient'altro. Non inviamo IP o informazioni aggiuntive.
- Balancer Labs (@BalancerLabs) 12 Agosto 2022
Uno sviluppatore di bilanciatori, Tim Robinson, ha inoltre commentato che tutti i dati vengono inviati tramite "lambda in modo che gli IP degli utenti non vengano inviati a TRM".
testo legale != implementazione del codice
Tutte le richieste TRM passano attraverso un lambda, quindi gli IP degli utenti non vengono inviati a TRM: https://t.co/J4HkQfzdaN
lambda: https://t.co/SpXsy4pdB9
Tutto è open source
— Tim Robinson (@timjrobinson) 13 Agosto 2022
Al momento in cui scrivo, gli incidenti non hanno avuto alcun impatto apparente sul prezzo di Ethereum o sui più ampi mercati delle criptovalute. Ethereum è appena sotto i 2,00$ dopo aver finalmente sfondato la resistenza psicologica durante la notte.
CryptoSlate ha contattato le piattaforme in questione con cui abbiamo linee di comunicazione dirette. Al momento non è stata ricevuta alcuna risposta, ma questo articolo verrà aggiornato non appena saranno disponibili ulteriori informazioni.
Fonte: https://cryptoslate.com/defi-protocols-aave-uniswap-balancer-ban-users-following-ofac-sanctions-on-tornado-cash/