Кілька децентралізованих додатків у мережі Ethereum реалізували зміни коду, щоб скасувати доступ із «санкціонованих» адрес. На даний момент ідентифіковані протоколи: Aave, Uniswap, Ren, Oasis і balancer. Banteg з Yearn визначив репозиторії GitHub, про які йде мова, у твіті рано вранці в суботу.
коли дефінічні додатки почали зловживати вас із посиланнями
2021-10-25 uniswap https://t.co/ym0wdNPJS6
2022-05-10 рен https://t.co/9588mTitKe
2022 балансир https://t.co/5V1FaxPUOn
2022-08-11 оазис https://t.co/GzkOQXXPb9
2022-08-12 пр https://t.co/vYY8MjqZ1p
(ніколи) тужити, крив pic.twitter.com/1FkgVPnUqb- banteg (@bantg) Серпень 12, 2022
Санкції за «перевірені» адреси.
«Перевірка адреси», яка була запроваджена, обертається навколо TRM Labs, компанії з відповідності, яка пропонує послуги для dApps через API. Сторінка на Веб-сайт TRM Labs посилається на інструмент як застосовний для «нових позначень, пов’язаних з Росією».
Однак після кроку OFAC щодо санкцій на всі адреси, пов’язані з Tornado Cash, схоже, що користувачі, які взаємодіяли з Tornado Cash, тепер також позначаються як «санкціоновані» і, таким чином, заборонені на платформах, які використовують API TRM Labs.
Санкції поширюються не на адреси, пов’язані з Росією, а на будь-яких користувачів, включаючи громадян Сполучених Штатів, які коли-небудь отримували кошти з адреси Tornado Cash.
Враховуючи недавню атаку відомих адрес, таких як Брайан Армстронг, Джастін Сан і кілька венчурних компаній, схоже, що вони були заблоковані в Aave, Uniswap та інших програмах, які використовують TRM Labs.
Атаки запорошення викликають гучні бани
Твіт засновника Tron Джастіна Сана висвітлив цю проблему, оскільки він стверджує, що тепер не може взаємодіяти з Ааве. сонце твір що Ааве заблокував свій обліковий запис після того, як він отримав 0.1 ETH з випадкового облікового запису через Tornado Cash.
Текст на скріншоті, поширеному в твіті, говорить: «Ця адреса заблокована на app.aave.com, оскільки вона пов’язана з однією або кількома заблокованими діями».
#PeckShieldAlert Понад 600 адрес отримали 0.1 $ ETH від https://t.co/LLczi0PVvh: контракт на 0.1 ETH, який було додано до списку санкцій OFAC, включаючи великі імена та централізовані біржі.
Деякі користувачі стверджували, що їх заблокував @AaveAave за рахунок «аеродрому». https://t.co/WeXfpiSi7N pic.twitter.com/cB4M5T29Ya—PeckShieldAlert (@PeckShieldAlert) Серпень 13, 2022
За оцінками PeckShield Alert, понад 600 адрес ENS отримали 0.1 ETH від Tornado Cash, і багато з тих, хто отримав фонд, були заблоковані Aave.
Рішення Aave заблокувати ці рахунки пов’язане з рішенням Управління контролю за іноземними активами Міністерства фінансів США (OFAC) заборонити Tornado Cash. OFAC заборонив Tornado Cash, посилаючись на кілька підключених адрес, стверджуючи, що ним користується північнокорейська хакерська група Lazarus.
Після заборони GitHub деактивував обліковий запис творця Tornado Cash. Веб-сайт криптозмішувача та сервер Discord також вийшли з мережі. У Нідерландах заарештували одного з його розробників.
Незважаючи на те, що багато хто критикував крок GitHub, ніхто не очікував, що децентралізована платформа, яка не відповідає напряму правилам США, блокуватиме будь-які адреси, підключені до Tornado Cash.
Але схоже, що Aave не єдина платформа Defi, яка дотримується заборони. Обмін Defi, dYdX також заблокував адреси, які раніше взаємодіяли з Tornado Cash.
Цей крок торкнувся кількох облікових записів, у тому числі користувачів, які не взаємодіяли з Tornado Cash або навіть знали походження коштів, які вони отримували в різних минулих транзакціях.
Засновник Assure, платформи DeFi KYC, сказав CryptoSlate: «Ми відкрили скриньку Пандори. Де це закінчиться?» Він продовжив,
«Нещодавні санкції OFAC щодо Tornado Cash і арешт забудовника викликають серйозне занепокоєння. Концепція заборони та санкціонування відкритого вихідного коду в Інтернеті з реальним варіантом використання повністю суперечить духу WEB3.
Це знову Шовковий шлях, і ми знаємо, як це відбувалося. Росс Ульбріхт досі гниє у в'язниці після винесення вироку в 2015 році».
Подальше зараження
У відповідь на твіт Джастіна Сана Алекс і Омега підкреслили потенційний робочий процес, який може спричинити широке зараження в екосистемі DeFi, як показано нижче. Враховуючи поточну реалізацію, існує занепокоєння, що зловмисник може надіслати Ethereum через Tornado Cash на гаманці з великими кредитами, щоб викликати подію ліквідації.
1. Визначте всі основні кредити на @AaveAave і планувати можливий каскад ліквідації
2. Надіслати ETH з @TornadoCash на всі гаманці з великими кредитами
3. Дозвольте AAVE заблокувати всі гаманці
4. Короткий ETH
5. Ініціюйте дамп ETH
...
6. Спостерігайте за каскадом ліквідації, і ніхто не зможе щось зробити. про це?
— αlex | αlex і Ωmega (@alexandomega) Серпень 13, 2022
Якщо гаманці з активними позиками будуть заборонені для Aave, вони не зможуть додати додатковий капітал для управління своїм LTV. У результаті, якщо ціна базових активів знизиться, може статися значна ліквідаційна подія, оскільки користувачі не зможуть отримати доступ до своїх облікових записів.
На практиці це малоймовірно, оскільки протоколи несуть відповідальність перед своїми користувачами за надання їм доступу до своїх коштів. Однак, як показано в повідомленні про помилку в твіті Sun, здається, що заблоковано лише зовнішню частину програми.
Користувачі можуть взаємодіяти з протоколами через CLI або розгалужувати проект, щоб створити свій зовнішній інтерфейс користувача. Це не під силу багатьом користувачам, але ті, хто має значні кошти, повинні мати доступ до заблокованих активів за допомогою цього методу.
Обшук Sun заборонений адреса гаманця «0x3ddfa8ec3052539b6c9549f12cea2c295cff5296» вказує на те, що він має понад 100 мільйонів доларів США в токенах Aave. Він володіє $91 мільйоном aTUSD, $58 мільйонами aUSDC і $19 мільйонами aDAI. Схоже, що ці кошти зараз неможливо відновити через зовнішній інтерфейс Aave.
Підхід TRM Labs
Найбільше занепокоєння, однак, викликає те, як TRM Labs вирішує, що вважати санкційною адресою. Якщо гаманець отримує кошти безпосередньо від Tornado Cash, існує пряма кореляція. Однак що, якщо користувач надсилає зазначені кошти на DEX і обмінює на інший токен? Чи буде гаманець, який бере участь у свопі, також вважатися санкційним? Це реальна можливість, якщо він володіє ETH, який колись пройшов через Tornado Cash.
Діаграма, створена ElBarto Crypto, аналітиком Block119, показує, що 90% адрес Ethereum мають лише чотири ступені відокремлення від Tornado Cash, а 41% – лише два градуси.
Шість ступенів торнадо готівка це річ. Що ще більш божевільно, хоча лише 0.03% адрес отримали ETH від tornado cash, майже половина всієї мережі ETH знаходиться лише в двох кроках від приймача tornado cash. pic.twitter.com/LDU9g0r7tQ
— ElBarto_Crypto (@ElBarto_Crypto) Серпень 13, 2022
Можливість потрапляння мільярдів ETH у «чорний список» є реальною можливістю внаслідок санкцій OFAC. ТуонгВі Ле, керівник відділу регулювання та політики Baincap Crypto, сказав CryptoSlate,
«Це питання. Потрібні стандарти та прозорість щодо того, як ми всі маємо дотримуватися цієї безпрецедентної та нової санкції смарт-контрактів і гаманців TC».
TuongVy Le, колишній SEC, прокоментував підхід TRM Labs до проблеми відповідності, викликаної OFAC,
«Схоже, що TRM використовує експансивний підхід, що зрозуміло, оскільки порушення санкцій є серйозними, і існує багато невизначеності щодо того, як це застосовувати тут. У той же час я вважаю, що нам потрібно запитати, чи існує внутрішній конфлікт інтересів, коли ці постачальники комплаєнс виконують роботу як для приватного сектору, так і для уряду».
У відповідь на деякі побоювання, що протоколи DeFi, про які йде мова, можуть надсилати дані користувачів до OFAC, Balancer підтвердив, що «адреси користувачів» будуть надіслані «федералам», але «нічому іншому».
Balancer надсилає лише адреси користувачів і нічого більше. Ми не надсилаємо IP-адреси чи додаткову інформацію.
- Балансирові лабораторії (@BalancerLabs) Серпень 12, 2022
Розробник балансувальника Тім Робінсон також прокоментував, що всі дані надсилаються через «лямбду, тому IP-адреси користувачів не надсилаються до TRM».
юридичний текст != реалізація коду
Усі запити TRM проходять через лямбда, тому IP-адреси користувачів не надсилаються до TRM: https://t.co/J4HkQfzdaN
Лямбда: https://t.co/SpXsy4pdB9
Все відкрито
— Тім Робінсон (@timjrobinson) Серпень 13, 2022
На момент написання статті інциденти не мали явного впливу на ціну Ethereum або ширші криптовалютні ринки. Ethereum сидить трохи нижче $2,00 після того, як нарешті подолав психологічний опір протягом ночі.
CryptoSlate звернувся до відповідних платформ, з якими у нас є прямі лінії зв’язку. Наразі відповіді немає, але цю статтю буде оновлено, коли стане доступною додаткова інформація.
Джерело: https://cryptoslate.com/defi-protocols-aave-uniswap-balancer-ban-users-following-ofac-sanctions-on-tornado-cash/