편집자 주: 아래는 "영지식 증명을 사용한 개인 정보 보호 규제 솔루션" 논문의 전문입니다. 다운로드 PDF, 또는 더 짧은 요약 블로그 게시물 읽기 여기에서 지금 확인해 보세요..

개요

프로그래밍 가능한 블록체인이 제공하는 모든 유틸리티(보안, 예측 가능성, 상호 운용성 및 자율 경제 등) 중에서 오늘날 가장 널리 사용되는 블록체인은 프라이버시를 제공하지 않습니다. 이것은 널리 채택되는 데 주요 장애물로 남아 있습니다. 모든 암호화 토큰이 전적으로 또는 주로 금융 상품이 아니며 성장하는 web3 생태계 내에서 다양한 목적으로 사용될 수 있지만 블록체인 사용자는 디지털 자산을 사용하여 블록체인에서 서로 거래합니다. 대부분의 기존 블록체인의 현재 아키텍처는 신뢰를 증진하기 위해 거래 투명성에 의존하지만, 이 기본 투명성과 개인 정보 보호 부족은 다른 블록체인 사용자가 거래 내역과 지갑 소유자의 보유량을 볼 수 있도록 허용함으로써 소비자 피해의 위험을 증가시킵니다. 블록체인의 가명성 특성은 나쁜 행위자에 대한 주요 보호 수단이지만 쉽게 극복할 수 있습니다. 최신 블록체인 분석 관행은 사용자 상호 작용에 대한 휴리스틱 분석을 사용하여 이 개인 정보를 뚫을 수 있으며 지갑 소유자와 거래하는 사람은 누구나 전체 재무 프로필을 효과적으로 볼 수 있음을 보여주었습니다. 결과적으로 불법 금융 활동을 추적하는 데 있어 순이익을 제공하지만 거래 투명성으로 인해 블록체인 기술 사용자는 특히 사기, 사회 공학 및 악의적인 행위자의 자산 절도에 취약할 뿐만 아니라 민감한 금융 데이터를 공개함으로써 발생하는 초창기 피해가 발생할 수 있습니다. 타사.  

블록체인의 공개 원장의 투명한 특성은 금융 프라이버시에 대한 법적 권리와 접근에 대한 인간의 통제에 의해 지원되는 금융 중개자가 관리하는 개인 원장에 거래를 기록함으로써 발생하는 전통적인 금융 시스템의 기본 프라이버시와 극명한 대조를 이룹니다. 민감한 금융 정보. 실제로, 미국 금융 제재 제도를 담당하는 재무부(재무부) 해외 자산 통제국(OFAC)과 미국 자금 세탁 방지 규정을 담당하는 금융 범죄 집행 네트워크(FinCEN)가 공표한 규정 및 지침 권한 부여 법령과 함께 감독은 전통적인 금융 시스템의 고유한 불투명성과 그것이 제공하는 프라이버시를 극복하기 위해 투명성을 강제하도록 설계되었습니다. 이러한 법령에서 발생하는 기록 보관 및 보고 요구 사항은 법 집행 수사를 지원하고 테러 자금 지원을 중지하며 국가 안보를 발전시키기 위해 금융 중개자가 정보를 유지하고 정부에 공개(및 자산에 대한 액세스 차단과 같은 기타 조치를 취함)할 것을 요구합니다. 무엇보다도 정책. 중요한 것은 이러한 조치가 예외 개인 정보 보호 권리를 보호하고 개인 정보 보호 권리와 규정 준수 요구 사항 간의 균형(완벽하지는 않지만)을 나타냅니다.  

개인 원장의 고유한 불투명성에 의해 제공되는 실질적인 개인 정보 보호도, 금융 개인 정보 보호 권리에 대한 명시적인 법적 인식도 ​​이러한 보호 중 어느 것도 공용 블록체인의 사용자와 관련하여 존재하지 않습니다. 또한 조치(예: "고객 파악" 또는 "KYC" 요구 사항으로 알려진 고객 식별 및 실사)를 가져오려는 시도는 사람들을 끌어들이는 정보의 "허니팟"을 생성하여 가명으로 제공되는 최소한의 개인 정보 보호 수준조차 훼손할 위험이 있습니다. 악의적인 공격 및 내부자 위협. 이러한 정보의 손상은 전통적인 금융 시스템에서 소비자 피해를 유발하지만 완전한 금융 투명성의 결과로 존재하는 이미 높아진 절도, 사기 및 신체적 피해의 위험을 위험할 정도로 악화시킵니다.   

주로 개인 정보 보호에 초점을 맞춘 더 새롭고 더 좁게 채택된 계층 1 블록체인이 있지만 본질적으로 비공개가 아닌 블록체인의 경우 사용자는 거래 데이터를 익명화하는 다수의 스마트 계약 프로토콜과 계층 2 블록체인에 의존해야 합니다. 익명성을 달성하기 위해 영지식 증명, 프라이버시 보호 암호화 기술을 사용합니다. 이러한 프로토콜과 블록체인은 일반적으로 ("믹서"라는 라벨이 붙는 것을 포함하여) 오로지 사악한 목적을 가진 것으로 비웃음을 받아왔습니다. 해킹 및 기타 불법적인 목적,¹ 합법적인 목적을 위해 개인 정보 보호 기술을 발전시키는 데는 부인할 수 없는 가치가 있습니다. 실제로 이러한 기술은 합법적인 소비자가 전통적인 금융 서비스 소비자가 누리는 것 이상으로 금융 프라이버시 및 소비자 보호 수준의 혜택을 받을 수 있도록 합니다. 그러나 개인 정보 보호를 극대화하는 동일한 솔루션은 법 집행 및 국가 안보 목표를 촉진하기 위해 수사를 추구하거나 불법 금융 활동을 방지하거나 도난당한 자산을 회수하는 정부의 능력을 좌절시킬 수 있습니다. 이것은 블록체인 기술이 한편으로는 불법 금융 활동을 탐지, 방지 및 방해하는 규정 준수와 다른 한편으로는 개인 정보 보호 및 소비자 보호 사이에서 필연적으로 선택을 강제한다는 것을 의미합니까?  

이 논문은 대답이 '아니오'라고 단호하게 주장합니다. 인간의 통제에 의존하는 기존 프레임워크와 달리 최신 암호화 기술을 사용하여 이러한 긴장을 해결하는 것이 반드시 제로섬 게임은 아닙니다. 사용자의 개인 정보 보호 요구 사항과 규제 기관 및 법 집행 기관의 정보 및 국가 보안 요구 사항을 조정하는 것이 가능하고 필요합니다. 이 백서에서는 두 가지 목표를 모두 달성할 수 있는 블록체인 프로토콜의 영지식 증명에 대한 잠재적 사용 사례를 제안합니다. 먼저 영지식 증명 기술의 기본 사항을 설명하고 적용될 수 있는 관련 법률 및 규제 체제에 대한 개요를 설명합니다. 그런 다음 Tornado Cash를 예로 사용하여 개발자와 정책 입안자가 고려할 수 있는 여러 가지 높은 수준의 솔루션을 제시합니다.

I이 글을 쓰면서 저자는 중요한 전제를 확인합니다.프로토콜이 아닌 앱 규제. "²  미국에서는 애플리케이션 계층에서 지오펜싱 기술을 사용하여 제재 심사를 수행하고 다양한 조치를 통해 사용자 액세스를 제한하는 것이 일반적입니다. 이러한 제한은 도움이 되지만 절대 안전한 것은 아니며 악의적인 사용자가 그럼에도 불구하고 이러한 제어를 우회할 수 있습니다. 그 결과, 제재를 받는 당사자가 사용할 수 있는 특정 개인 정보 보호 기술은 국가 안보 문제를 해결하기 위해 프로토콜 수준에서 제한을 포함하도록 선택했습니다. 저자는 모든 프라이버시 보호 기술이 동일한 결정을 내려야 한다는 입장을 취하지 않습니다. 개발자는 불법 행위자의 사용과 잠재적인 규제 책임으로부터 보호하기 위해 프로토콜 수준 제한을 채택할지 여부를 자유롭게 선택할 수 있어야 합니다. 보호 장치를 채택하기로 선택한 사람들을 위해 우리는 이러한 솔루션을 보다 효과적으로 만들 수 있는 잠재적인 대안을 제공하는 동시에 검열에 사용될 가능성을 제한합니다. 

배경

영지식 증명을 사용하여 프라이버시 달성

프라이버시를 보장하지 않고 블록체인 기술이 주류 채택을 달성할 가능성은 낮습니다. 예를 들어, 금융 인프라와 관련하여 블록체인 기반 결제 시스템의 잠재적 사용자는 치료와 같은 서비스에 대한 결제를 포함하여 급여 또는 기타 민감한 금융 정보가 공개적으로 표시되는 경우 이러한 시스템을 사용하는 것을 매우 꺼릴 수 있습니다. 소셜 네트워킹 서비스, 분산형 대출 프로토콜, 자선 플랫폼 및 사용자가 정보의 프라이버시를 중시하는 기타 사용 사례에 대해서도 마찬가지입니다. 

데이터는 그 위치를 확증합니다. 온체인 개인 정보 보호 서비스 또는 프로토콜이 받은 30일 이동 평균 암호화폐 시장 가치는 52년 29월 2022일 기준으로 지난 200개월 동안 거의 12% 증가한 XNUMX만 달러에 도달했습니다.³  맥락상, 많은 개인 정보 보호 프로토콜은 알고리즘 암호화를 사용하여 하나의 블록체인 주소가 디지털 자산을 유사한 대체 가능 자산 풀에 입금하고, 동일한 사용자가 제어하는 ​​다른 블록체인 주소가 해당 풀에서 동일한 수와 유형의 자산을 효과적으로 인출하는 것을 용이하게 합니다. 보호 사슬을 끊고 거래 추적을 방해합니다. 특정 프로토콜과 일부 계층 2 블록체인은 민감한 사용자 정보를 체인에 노출하지 않고 트랜잭션을 익명화하기 위해 영지식 증명으로 알려진 알고리즘을 사용합니다.

영지식 증명은 퍼블릭 블록체인에서 프라이빗 거래를 가능하게 합니다. 본질적으로 영지식 증명은 "증명자"라고 하는 한 당사자가 다른 당사자인 "검증자"에게 특정 진술이 사실임을 확신시키면서 진술을 만드는 기본 데이터에 대해 아무것도 밝히지 않는 방법입니다. 진실. 예를 들어 증명자는 솔루션에 대해 아무 것도 공개하지 않고 스도쿠 퍼즐의 솔루션에 대한 지식을 증명할 수 있습니다. 더 흥미롭게도, 운전면허증에 인쇄된 이름과 생년월일을 밝히지 않고도 술을 사거나 투표할 수 있는 나이임을 증명할 수 있습니다. (기술적으로 그들은 정부가 서명한 문서를 가지고 있고 이 문서에 있는 생년월일로 사람의 필수 연령을 설정한다는 것을 전혀 모르는 상태에서 증명할 것입니다.) 이 증거는 검증자에게 다른 어떤 것도 밝히지 않고 이 사실이 사실임을 확신시킵니다. 정보.⁴

영지식 도구를 사용하여 다양한 프라이버시 메커니즘을 구축할 수 있습니다. 예를 들어 Alice는 거래 세부 정보를 비공개로 유지하는 서비스에 자금을 보낼 수 있으며 서비스는 Alice에게 보증금에 대한 영수증을 제공합니다. 서비스는 물론 대중도 앨리스가 자금을 보냈다는 사실을 알게 됩니다. 나중에 Alice가 서비스에서 자금을 인출하려고 할 때 유효한 영수증이 있고 해당 영수증과 관련된 자금을 아직 인출하지 않았다는 영지식 증명을 구성합니다. 이 증명은 Alice의 신원에 대해 아무것도 밝히지 않지만 해당 자금을 인출할 자격이 있는 사람과 상호 작용하고 있음을 서비스에 확신시킵니다. 여기서 영지식 증명은 출금자의 신원을 비공개로 유지하면서 출금 청구가 유효하다는 것을 서비스에 확신시키는 데 사용됩니다.  

결정적으로 영지식 증명은 기본 정보를 모두 노출하지 않고 정책 준수를 평가하는 데 필요한 정보를 선택적으로 공개함으로써 개인 정보를 보호합니다. 영지식 증명은 아무도 거래를 추적할 수 없는 완전한 프라이버시 또는 소수의 특정 당사자를 제외한 모든 사람의 프라이버시를 포함하여 다양한 수준의 프라이버시를 가능하게 할 수 있습니다. 사람들이 강력한 개인 정보 보호를 필요로 하는 데는 여러 가지 합법적인 이유가 있지만 이러한 기술은 나쁜 행위자를 끌어들이는 요인이 될 수도 있습니다. 프라이버시 보호 프로토콜의 전반적인 사용이 2022년에 최고조에 달한 것처럼 불법 소스에서 받은 가치의 상대적 비율도 올해 23분기까지 이러한 프로토콜로 전송된 모든 자금의 약 2%를 차지했습니다. 거의 모든 불법 활동은 제재 대상 단체에서 발생했거나 도난당한 자금으로 구성되었습니다.⁵  이러한 프로토콜에서 사용하는 개인 정보 보호 기술에도 불구하고 Chainalysis 및 TRM Labs와 같은 블록체인 분석 회사는 때때로 불법 자금 추적 활동을 마스킹하기에 충분한 볼륨이 없거나 보유한 볼륨이 충분히 다양하지 않은 경우 이러한 프로토콜을 통해 흐릅니다.⁶  또한 불법 행위자가 개인 정보 보호 기술을 악용하더라도 대부분의 경우 전 세계 주요 금융 센터 및 기타 관할 구역의 금융 기관으로 간주되는 피아트 온 램프 및 오프 램프가 있기 때문에 자산을 오프 체인으로 가져가는 데 여전히 어려움을 겪고 있습니다. 따라서 AML/CFT 요건에 따라.⁷  그러나 이러한 요구 사항의 구현 및 집행은 전 세계적으로 고르지 않으며 일부 관할권에는 존재하지 않아 불법 행위자가 디지털 자산을 화폐 통화로 교환할 수 있는 유리한 환경을 제공합니다. 결과적으로 개인 정보 보호 프로토콜은 합법적인 사용자 정보를 비공개로 유지하는 데 중요하지만 불법 행위자가 악용할 수 있도록 블록체인 생태계 내에서 취약성을 생성합니다. 국제 법률 및 규제 체제를 준수하는 것은 확실히 복잡하지만 분산형 블록체인 프로토콜에서 표준화되고 규제를 준수하는 영지식 증명 구현은 일부 주요 취약점을 해결하는 동시에 web3 참여자에게 도움이 될 수 있습니다. 

적용 가능한 규제 체제 

영지식 증명이 규정 준수와 개인 정보 보호 사이의 명백한 이분법적 선택을 극복할 수 있는 방법을 이해하려면 불법 금융 활동 퇴치와 관련된 특정 관할 규제 요구 사항을 이해해야 합니다. 미국에서 개인 정보 보호 프로토콜에 영향을 미칠 가능성이 가장 높은 규정은 두 가지 기본 법적 제도로 분류할 수 있습니다. 및 고객 실사 요구 사항(일반적으로 "Know Your Customer" 또는 "KYC" 표준이라고 함) 및 (ii) 거래 모니터링 및 기타 기록 보관 및 보고 요건;⁸ 그리고 (B) 대통령의 전시 및 국가 비상 권한 하에서 – 미국의 제재 프로그램.⁹  Web3 시장 참가자는 규정 미준수에 대한 집행 위험을 최소화하고 프로토콜 및 플랫폼의 불법 사용을 완화하기 위해 두 체제의 법적 요구 사항을 해결해야 합니다. 또한 준수하지 않을 경우 다음과 같은 심각한 결과를 초래할 수 있습니다. 민사 처벌 및 형사 기소.¹⁰

BSA는 특정 금융 기관 및 기타 관련 법인이 다양한 모니터링, 기록 보관 및 보고 의무를 준수하도록 요구합니다. 이러한 의무의 목적은 FinCEN, OFAC 및 법 집행 기관이 자금 세탁, 테러 자금 조달, 사기 활동을 식별, 방지 및 기소하고 미국 금융 시스템에 속하는 자산을 식별 및 차단하도록 지원하는 것입니다. 국가 안보 및 외교 정책 목표에 따라 제재 당사자에게. BSA 및 제재 제도에 따른 완전한 준수는 규제 기관과 법 집행 기관이 따라야 할 불법 활동에 대한 명확하고 감사 가능한 문서 추적을 생성하며 성공적인 집행에 매우 중요합니다.¹¹

BSA가 적용되거나 의무를 지는 기업에는 은행과 같은 전통적인 금융 기관이 포함됩니다. 돈 서비스 사업 (MSB) 특히 통화 딜러, 교환기, 송금인 등이 있습니다.¹²  FinCEN은 더 나아가 명확히 한 전환 가능한 가상 통화(CVC) 또는 통화를 대체하는 가치를 발행, 관리 또는 교환하는 개인 및 법인도 MSB로 간주되므로 BSA에 따라 적용 가능한 모든 준수 의무가 적용됩니다.¹³ 믹싱 서비스의 운영 또는 비즈니스 모델의 사실과 상황에 따라 믹서는 MSB로 간주될 수 있으며 BSA의 등록 및 규정 준수 요건이 적용될 수 있습니다. 이는 특정 믹싱 서비스가 활성화할 수 있기 때문입니다. 화폐를 대체하는 가치 플랫폼 내의 지갑에서 플랫폼 외부의 지갑으로 이동합니다.¹⁴  반대로 프라이버시를 보호하는 탈중앙화 블록체인은 송금을 포함하지 않을 가능성이 높습니다. FinCEN이 2019년에 발표한 가장 최근 지침에서 명시적으로 언급한 바와 같이, 비수탁, 자체 실행 코드 또는 소프트웨어만으로는 혼합 기능을 수행하더라도 현재 BSA 의무가 발생하지 않습니다.

익명화 소프트웨어 공급자는 송금인이 아닙니다. FinCEN 규정은 "송금 서비스를 지원하기 위해 송금인이 사용하는 배달, 통신 또는 네트워크 액세스 서비스"를 제공하는 사람을 송금인의 정의에서 제외합니다. [31 CFR § 1010.100(ff)(5)(ii)]. 이는 익명화 소프트웨어와 같이 자금 전송에 사용될 수 있는 도구(통신, 하드웨어 또는 소프트웨어)의 공급자가 자금 전송이 아닌 무역에 종사하기 때문입니다.¹⁵

제재 준수 요구 사항의 적용은 다소 명확하지 않습니다. OFAC가 관리하는 제재 제도는 개인 및 단체를 포함한 모든 미국인에게 거주 지역에 관계없이 적용되며 제재 당사자의 재산과 관련된 거래를 식별, 차단 및 분리하도록 요구합니다. 비록 OFAC가 정해진 소프트웨어 및 개인 정보 보호 기술의 게시에는 제재 제도가 적용되지 않습니다. 용 se,¹⁶ 제재를 받은 당사자가 이러한 기술을 남용하는 것을 방지하기 위한 조치를 이행하지 못하는 경우(아래에서 자세히 설명하는 바와 같이) 해당 기술의 실행 가능성을 저해할 수 있는 OFAC의 대응이 위험에 처해 있습니다. 토네이도 캐시의 경우.¹⁷

KYC 표준 및 거래 모니터링

비즈니스 모델이 다음과 같은 개인 또는 법인 MSB로 분류된 기업은 BSA에 따른 의무를 이행하기 위해 특정 정보 수집 및 거래 모니터링 요건을 충족해야 합니다. MSB는 해당 서비스를 사용하여 거래를 수행하는 사람의 신원을 확인하기 위해 이들로부터 KYC 정보를 얻어야 합니다.¹⁸  최소한 MSB는 KYC 프로세스의 일부로 사용자의 이름, 주소 및 납세자 식별 번호를 얻어야 합니다.¹⁹

온보딩 후 MSB는 플랫폼을 통해 수행되는 거래를 모니터링하고 의심스러운 활동 보고서(SAR)를 제출하여 불법 행위를 나타낼 수 있는 의심스러운 활동을 보고해야 합니다. BSA는 MSB가 자신의 플랫폼에서의 거래가 불법 활동과 관련될 수 있음을 알고 있거나 의심하는 경우 30일 이내에 SAR을 제출하도록 요구합니다. 시기적절한 제출을 장려하기 위해 거래와 관련하여 SAR을 적절하게 제출하면 해당 거래와 관련된 모든 민사 책임으로부터 MSB를 보호할 수 있습니다.²⁰

BSA는 통화 거래 보고서(CTR) 제출과 같은 기타 기록 보관 및 보고 요구 사항을 MSB에 부과하지만 현재 이 요구 사항은 디지털 자산에는 적용되지 않습니다 현재 목적과 즉시 관련이 없습니다.²¹

제재

FinCEN은 BSA를 관리하고, 그에 따른 규칙을 공표하고, BSA를 위반한 사람들에 대해 집행 조치를 취할 수 있는 완전한 권한을 가지고 있지만, OFAC는 훨씬 더 광범위한 관할권을 가지고 있습니다. 대부분 경제 제재 국제비상경제권한법(IEEPA) 및 국가비상사태법(NEA)에서 대통령에게 위임된 권한에서 나옵니다.²² 따라서 제재는 행정 명령을 통해 제정된 전시 및 국가 안보 관련 권한입니다. OFAC는 미국의 모든 금융 거래를 감독하고 국가 안보에 위협이 되는 개인, 단체 또는 국가를 제재할 수 있습니다. 결과적으로, OFAC 지정 개인 또는 법인이 MSB 및 은행과 같은 BSA 의무 법인을 포함하되 이에 국한되지 않는 미국 개인 또는 법인이 보유한 재산 또는 처리된 거래에 이해관계가 있는 경우, 미국 개인 또는 법인은 (i) 금지된 거래 및 특정인과 관련된 모든 계정 또는 재산을 차단(동결)하고/하거나 (ii) 해당 거래와 관련하여 받은 자금을 분리되고 차단된 계정에 보관하고 ( iii) OFAC에 특정 보고서를 제출합니다. 두 경우 모두 미국 개인이나 단체는 그러한 거래를 처리 및/또는 그러한 자금을 해제할 수 있습니다. OFAC가 제재 목록에서 문제의 개인 또는 법인을 제거할 때까지 해당 제재 프로그램이 취소되거나 OFAC가 라이선스 부여를 통해 보류된 자금의 해제를 명시적으로 승인할 때까지.²³

암호화폐 거래와 관련된 제재의 경우 권한은 일반적으로 "에 초점을 맞춘 EO 13694에서 나옵니다.악의적인 사이버 기반 활동. "²⁴  경제적 제재를 위반하는 개인은 민사 또는 형사 처벌을 받을 수 있습니다.²⁵  제재 위반에 대한 행정적 또는 민사적 책임 기준은 엄격한 책임이라는 점에 유의해야 합니다. 즉, 거래를 주고받거나 제재 대상인 개인, 단체 또는 국가와 관련된 자산을 차단하지 못한 것에 대해 책임을 져야 할 수 있음을 의미합니다. 그럴 의도가 없었다면.²⁶  이것은 금융 또는 사업 활동에 참여할 때 자금 출처를 조사하기 위한 실사 요구 사항을 효과적으로 부과합니다. 반면에 형사 책임은 제재를 위반한 사람이 그렇게 하려고 의도했다는 고의를 보여야 합니다. 제재 위반에 대한 형사 기소는 IEEPA 또는 미국 법전 18편에 성문화된 돈세탁 법령에 따라 법무부에 의해 제기됩니다.²⁷  그러나 제재 책임 및 OFAC 준수 요건과 관련하여 중요한 점은 이러한 의무가 다음에 적용된다는 것입니다. 모든 미국에 있거나 미국에서 사업을 하고 있는 개인 및 단체이며 개인 또는 단체가 BSA 적용을 받는지 여부와 관련이 없습니다.

불법 금융 위험을 완화하기 위한 프라이버시 프로토콜 최적화

영지식 증명이 제공하는 프라이버시 향상 가능성은 앞서 언급한 규제 프레임워크와 상충됩니다. 트랜잭션 세부 정보를 보호하는 기술의 능력은 BSA 요구 사항과 같은 규정을 완벽하게 준수하는 데 쉽게 적합하지 않을 수 있음을 의미합니다. 하지만 스마트 계약 및 코드가 설명된 규정에 따른 요구 사항에 따라야 하는지 여부와 어느 정도까지는 공개적인 질문으로 남아 있습니다. 위에서 언급한 바와 같이, 2019년 지침에서 FinCEN은 BSA의 범위에서 소프트웨어 코드를 명시적으로 제외하므로 운영 뒤에 개인이나 그룹이 없는 진정한 분산형 프로토콜은 수집하고 유지할 필요가 없으며 어떻게 할 수 있는지도 명확하지 않습니다. 사용자에 대한 KYC 정보 또는 파일 SAR. 마찬가지로, 제재 부과를 규율하는 권한 부여 법령 및 사이버 보안 행정 명령은 “재산과 재산에 대한 이해관계" 의 대상 개인 및 단체, 이는 소프트웨어 및 컴퓨터 코드 자체가 제재 범위 밖에 있음을 시사합니다.²⁸  그리고 최근 OFAC의 지침 소프트웨어 게시 자체가 제재 대상 활동이 아님을 나타내는 것 같습니다.²⁹  그러나 토네이도 현금과 관련된 특정 스마트 계약 주소에 대한 OFAC의 지정에 비추어 볼 때 이 결론은 명확하지 않습니다.

그럼에도 불구하고 영지식 증명은 OFAC 제재가 해결하고자 하는 바로 그 국가 안보 위험의 완화를 포함하여 프라이버시 강화 프로토콜을 통해 불법 금융 활동 및 경제 제재 책임에 노출될 위험을 완화하도록 설계될 수 있습니다. 특히 프라이버시 중심 프로토콜이 효과를 훼손하지 않으면서 이러한 위험을 더 잘 관리하기 위해 구현할 수 있는 몇 가지 조치가 있습니다. 세 가지 실행 가능한 조치가 아래에 요약되어 있으며, 각 조치는 개인 정보 보호 프로토콜인 Tornado Cash의 맥락에서 평가됩니다.

토네이도 현금 예시

프라이버시 강화 기술에 의해 제기된 기존 제재 체제 하에서 잠재적인 책임 사이의 현재 이분법적 선택을 극복하기 위한 영지식 증명의 가능성을 입증하는 한 가지 방법은 다음과 같은 렌즈를 통해서입니다. 토네이도 현금 – 최근 OFAC에서 승인한 프라이버시 강화 프로토콜. 토네이도 캐시는 개인 정보를 보호하기 위해 사용자 자산을 익명화하려는 이더리움 블록체인에 배포된 프로토콜입니다. 누구나 자신의 이더리움 주소에서 Tornado Cash 스마트 계약으로 자금을 보낼 수 있으며 해당 자금은 소유자가 인출을 선택할 때까지 계약에 예치된 상태로 유지됩니다. 일반적으로 사용자는 중간 기간(다른 사용자가 자금을 입금하고 인출하는 기간)이 Tornado Cash의 개인 정보 보호 기능의 효율성을 높이거나 낮출 수 있으므로 인출하기 전에 몇 주, 몇 달 또는 몇 년을 기다릴 것입니다. 철회 시 프로토콜은 자금을 새로운 이더리움 주소로 전송하기 위해 영지식 증명 기술을 사용하여 처음에 자금이 Tornado에 입금된 주소와 자금이 나중에 Tornado에서 인출된 새 주소 사이의 연결을 끊었습니다.³⁰ Tornado Cash 프로토콜은 변경 불가능하고 신뢰할 수 없으며 완전히 자동화되어 있습니다.³¹  Tornado Cash가 제공하는 익명성은 입출금에 사용되는 지갑 주소 간의 연결을 끊기 위해 서비스를 동시에 사용하는 여러 사용자에 따라 달라집니다. 또한 사용자는 예치된 토큰의 소유권을 증명하는 자신만이 공개할 수 있는 인증서를 유지했습니다. 최근 불법 믹서 사용이 증가함에 따라 Tornado Cash 플랫폼도 마찬가지로 훔친 자금을 세탁하는 데 자주 사용되었습니다. 예를 들어, 2022년 600월 로닌 브리지 해킹에서 약 XNUMX억 달러가 브리지에서 도난되어 공격자가 소유한 이더리움 주소로 전송되었습니다. 며칠 후 해커들은 도난당한 자금 토네이도 현금으로.³²  8 월 8, 2022, OFAC 지정, 무엇보다도 웹사이트 tornado.cash 및 서비스와 관련된 여러 이더리움 주소, 그 중 다수는 식별 가능한 키 보유자가 없는 스마트 계약 주소였습니다.³³  지정에 수반되는 공개 발표에서 재무부는 토네이도 캐시를 통해 세탁된 불법 수익금이 7억 달러 이상이라고 지적했습니다. 여기에는 라자루스 그룹으로 알려진 북한 국가 지원 해킹 신디케이트가 세탁한 455억 XNUMX만 달러와 상당한 금액이 포함됩니다. 하모니 브리지³⁴ 과 유목민 습격.³⁵  사용자가 토네이도 캐시를 통해 상당량의 합법적인 거래 활동에 참여했지만 재무부는 제재를 받지 않은 개인이 예치된 완전히 합법적인 자금을 인출하는 것을 방지하는 것을 포함하여 무고한 제XNUMX자에 대한 상당한 부수적 영향에도 불구하고 프로토콜과 스마트 계약에 대해 조치를 취하기로 결정했습니다. 프로토콜을 사용하여. 이 문제는 토네이도 캐시의 탈중앙화 및 비수탁 특성으로 인해 발생하며, 이로 인해 해당 활동을 담당하는 조직이나 개인을 식별하기 어렵습니다. 결과적으로 이러한 맥락에서 전통적인 제재 집행 기술을 적용하고 재산 이익을 차단하는 것은 기술적 법적 문제를 야기할 수 있습니다. 이러한 프로토콜은 때때로 규제 요구 사항을 우회하려는 시도로만 간주되지만 사이버 보안 관점에서 볼 때 Tornado Cash의 기술 아키텍처는 권한이 없는 제XNUMX자와 악의적인 행위자가 개인 및 온체인을 운영하는 기업. 이 접근 방식은 보다 중앙 집중화된 보관 시스템이 부과하고 악의적인 공격과 내부자 위협에 점점 더 취약한 것으로 입증된 정보에 대한 액세스를 제한하는 기존의 운영 제어보다 선호되며 기술적으로 훨씬 우수할 수 있습니다.

OFAC 지정과 함께 제공되는 보도 자료에서 재무부는 다음과 같이 말했습니다. . . .”³⁶  실제로 아래에서 자세히 설명하는 것처럼 Tornado Cash는 플랫폼이 불법 금융 활동에 사용되는 것을 방지하기 위해 몇 가지 기술적 통제를 시행했습니다. 문제는 Tornado Cash가 구현할 수 있었고 Treasury가 수행한 조치를 취하지 않도록 설득했을 영지식 증명을 활용하는 것과 같은 보다 효과적인 기술적 제어가 있었습니까? Tornado Cash가 구현한 일부 솔루션과 효율성을 개선할 수 있는 기타 솔루션을 포함하여 영지식 증명 솔루션을 고려해 봅시다. 이러한 접근 방식만으로는 만병통치약은 아니지만 함께 사용하면 불법 금융 활동과 제재 대상 국가 활동가의 개인 정보 보호 프로토콜 사용을 탐지, 억제 및 방해하는 능력을 향상시킬 수 있습니다. (i) 예금 심사 – 차단 목록 및 허용 목록에 대해 인바운드 거래를 수행하는 지갑을 확인합니다. (ii) 출금 심사 – 반환된 자금을 요청하는 지갑을 차단 목록 및 허용 목록에 대해 확인합니다. (iii) 선택적 비익명화 – 연방 규제 기관과 법 집행 기관이 거래 정보에 접근할 수 있도록 하는 기능. 

입금 스크리닝

이더리움 블록체인 고유의 디지털 자산 또는 다른 체인에서 브리지된 디지털 자산은 사용자 거래의 프라이버시를 보호하기 위해 ETH로 교환하고 토네이도 캐시에 예치할 수 있습니다. 공격이나 해킹과 관련된 제재 대상자나 지갑에서 자산이 입금되는 것을 방지하기 위해 Tornado Cash는 지정된 주소의 "차단 목록"에 의존하는 입금 심사를 사용했습니다.  그러나 "허용 목록"의 추가 사용은 아래에 자세히 설명된 대로 프로토콜의 합법적인 사용자에 대한 위험을 최소화하면서 국가 안보 문제를 해결하는 데 사용될 수 있습니다.  

차단 목록

Tornado Cash의 입금 심사를 통해 미국 정부에 의해 제재되거나 차단된 주소에서 제안된 입금을 차단함으로써 프로토콜을 사용할 수 있는 사람을 자동으로 제한할 수 있었습니다.. Tornado Cash는 블록체인 분석 회사의 온체인 오라클 서비스 주소가 현재 미국, EU 또는 UN을 포함한 다양한 주체의 경제 또는 무역 금지 목록(또는 "차단 목록")에 지정되어 있는지 여부를 테스트하기 위해³⁷  Tornado Cash의 스마트 계약은 분석 회사의 계약 "전화" 풀 중 하나에 자금을 수락하기 전에.³⁸  자금이 분석 회사의 SDN(Specially Designated Nationals) 목록에 포함된 차단된 주소 중 하나에 있는 경우 입금 요청이 실패합니다. 

차단 목록을 사용한 예금 스크리닝은 좋은 첫 단계이지만 이 메커니즘에는 몇 가지 실질적인 문제가 있습니다. 첫째, 사이버 범죄자가 피해자로부터 자금을 훔치는 경우 피해자가 자금이 사라졌다는 사실을 깨닫기도 전에, 확실히 분석 회사가 자금을 도난당한 것으로 표시하거나 소프트웨어의 SDN 목록에 표시하기 전에 자금을 즉시 Tornado Cash로 옮길 수 있습니다. . 둘째, 사이버 범죄자의 주소가 Tornado Cash에 입금되기 전에 SDN 목록에 있는 경우 도둑은 단순히 자금을 새 주소로 이체하고 새 주소에서 즉시 자금을 Tornado Cash에 입금할 수 있습니다. 주소가 제재 목록에 추가됩니다. 북한의 Lazarus Group과 같은 정교한 해킹 신디케이트는 탐지를 피하기 위해 이러한 기술을 매우 효과적으로 사용합니다. 그러나 블록체인 분석 회사는 변경 주소 분석 및 휴리스틱을 사용하여 지정된 그룹에 의해 제어되는 비지정 지갑을 식별함으로써 이러한 한계를 극복하려고 시도합니다.³⁹ 마지막으로, 제재 목록에 있는 사람 또는 항목과 관련하여 진실의 중재자로서 비정부 기관에 의존하면 식별 및 수정하기 어려운 정확성 문제가 발생할 수 있습니다. 예를 들어, 분석 회사는 실수로 차단 목록에 주소를 포함할 수 있으며 그러한 주소의 소유자가 실수를 수정할 수 있는 의지가 있는지 여부가 불분명합니다(전통적인 금융 기관의 경우에는 고객). 모든 제재는 발행 정부의 정책 결정을 나타내기 때문에 제재 목록이 추가되는 문제도 있습니다. 

허용 목록

분석 회사나 정부 기관이 차단 목록을 사용하여 법을 준수하는 사용자를 부당하게 검열할 수 있는 위험을 줄이기 위해 개인 정보 보호 프로토콜은 지갑 주소의 "허용 목록"에 의존하는 보다 강력한 형태의 입금 심사를 고려할 수 있습니다. 입금 심사 제한은 적용되지 않습니다. 해당 허용 목록은 온보딩 프로세스의 일부로 포괄적인 KYC 심사를 수행하는 규제된 금융 중개자와 관련된 지갑 주소로 구성됩니다. 아래에 설명되어 있습니다.

이 접근 방식을 사용하면 입금 주소(i)가 해당 분석 회사의 SDN 목록에 없는 경우에만 사용자가 개인 정보 보호 프로토콜에 자금을 입금할 수 있습니다. 하지 않습니다 차단 목록에 있음) 또는 (ii) 규제 대상 금융 중개자로부터 해당 자금을 수령(즉, 주소 is 허용 목록에 있음). 해당 허용 목록은 프로토콜을 제어하는 ​​분산형 자율 조직(DAO)에 의해 시간이 지남에 따라 관리 및 업데이트될 수 있거나 규제된 금융 중개자와 관련된 온체인 주소의 오라클(Chainalysis에서 운영하는 차단 목록 오라클과 유사)에서 가져올 수 있습니다. 특정 개인 정보 보호 기술은 프로토콜을 규제된 금융 중개 기관에 직접 연결함으로써 이 개념을 한 단계 더 발전시켜 사용자가 자금을 별도의 지갑 주소로 먼저 이체할 필요 없이 해당 중개 기관에서 프로토콜로 직접 자금을 입금할 수 있도록 합니다. 

입금 심사 프로세스의 일부로 차단 목록과 허용 목록을 모두 활용하면 차단 목록만 사용하는 접근 방식에 비해 몇 가지 뚜렷한 이점이 있습니다. 첫째, 차단 목록에 잘못 또는 악의적으로 추가된 적법한 사용자는 규제된 금융 중개자를 활용하여 자금을 프로토콜에 입금하는 한 검열을 피할 수 있습니다. 그리고 대부분의 불법 행위자는 규제된 금융 중개 기관에 계좌를 개설할 수 없어야 하므로 허용 목록을 이용할 수 없고 계속 검열 대상이 되어 국가 안보 문제를 해결할 수 있습니다. 또한 허용 목록 접근 방식은 검열에 대한 두려움 없이 개인 정보 보호 프로토콜의 이점을 누릴 수 있는 능력을 보장하므로 모든 규제 대상 금융 중개인 고객의 개인 정보 보호를 개선합니다.

궁극적으로 예금 심사는 금지된 거래를 차단해야 하는 Tornado Cash의 의무를 용이하게 하지만, MSB로 간주되고 BSA의 대상이 될 수 있는 다른 개인정보 보호 서비스 제공업체 또는 비즈니스 활동을 수행하더라도 위험 평가 목적을 위한 해당 엔터티의 트랜잭션 모니터링 기능은 향상되지 않습니다.⁴⁰  예금 스크리닝은 좋은 첫 번째 단계이지만 프로토콜의 불법 금융 사용을 완전히 줄일 가능성은 낮습니다.   

탈퇴 심사

위에서 설명한 대로 허용 목록에 포함되지 않은 지갑 주소의 경우 예금 심사에 대한 또 다른 접근 방식은 출금 시 오라클을 확인하고 불법 활동과 관련된 것으로 확인된 승인된 주소 또는 주소로 제안된 출금을 차단하는 것입니다. 예를 들어 불법 행위자가 해킹 직후 주소에서 Tornado Cash로 자금을 보낸다고 가정합니다. 입금 당시 해당 주소는 허용 목록에 없으며 도난당한 자금이나 제재 대상인 개인 또는 단체와 관련된 것으로 확인되지 않았으며 성공적으로 입금이 완료되었습니다. 그러나 불법 행위자가 나중에 자금을 인출하려고 시도하고 중간 기간 동안 주소가 도난당한 자금과 관련되거나 제재 목록에 있는 것으로 표시되면 인출 요청이 실패합니다. 자금은 동결된 상태로 유지되며 도둑은 자금을 인출할 수 없습니다. 이 접근 방식에는 여러 가지 이점이 있습니다. 첫째, Tornado Cash 프로토콜로 도둑이 자금을 세탁하는 것을 방지합니다. 둘째, Tornado Cash의 인출 체크포인트 구현은 억지력으로 작용하며 훔친 자금을 Tornado Cash로 보낼 경우 해당 자금이 스마트 계약에 의해 무기한 동결될 수 있음을 악의적 행위자에게 분명히 알려야 합니다. 불법 활동. 이러한 억지력은 사이버 범죄자에게만 영향을 미치며 법을 준수하는 Tornado Cash 사용자에게는 영향을 미치지 않습니다. 실제로 위에서 논의한 예치 기간 특성과 불법 행위자가 자금 출처를 가장 효과적으로 익명화하기 위해 더 오랜 기간 동안 Tornado Cash에 자금을 보관할 가능성을 감안할 때 이 인출 심사 기능은 재무부 제재 목록을 지속적으로 업데이트합니다.      

출금 심사는 예금 심사의 많은 단점을 해결할 수 있지만 예금 심사와 마찬가지로 필요한 위험 평가를 거의 다루지 않습니다.⁴¹  또한 블록체인 분석 회사의 제재 오라클의 충실한 운영에 대한 Tornado Cash의 의존도를 지속시킬 것입니다. 또한 입금 심사와 마찬가지로 정부 검열 문제도 있습니다. 출금 심사의 경우에만 정부가 제재 목록을 오용하면 사용자가 자금을 잃을 수 있습니다. 

선택적 익명화

선택적 비익명화는 잠재적인 규제 요구 사항을 충족하기 위한 세 번째 접근 방식이며 자발적 및 비자발적 두 가지 방식으로 제공됩니다. 

자발적 선택적 비익명화

입금 영수증 기능을 통해 토네이도캐시 구현 자발적 선택적 익명화의 한 형태로, 자신이 제재 목록에 잘못 추가되었다고 생각하는 사람에게 거래 세부 정보를 선택되거나 지정된 당사자에게 익명화할 수 있는 옵션을 제공합니다.⁴²  유사한 자발적 익명화 기능이 허용 목록에 없는 지갑 주소의 출금 심사와 결합된 경우 사용자는 거래를 익명화하도록 선택할 수 있으며 출금을 담당하는 Tornado 계약은 다음과 같은 결과로 모든 블록을 제거합니다. 위에서 설명한 철회 심사 과정. 결과적으로 사용자는 자금을 받을 수 있지만 출금 주소가 입금 주소에 온체인으로 명확하게 연결되어 있기 때문에 사용자는 Tornado의 개인 정보 보호 기술의 혜택을 받지 못할 것입니다. 자발적인 비익명화는 Tornado Cash와 같은 프로토콜이 인출 심사의 특정 결점을 해결할 수 있게 하지만(예: 무고한 사용자는 자금이 동결될 위험이 없음) 나쁜 행위자가 있기 때문에 억지력으로 인출 심사의 효율성이 감소합니다. 그런 다음 단순히 거래를 익명화하여 Tornado에서 자금을 인출할 수 있습니다. 이 시나리오에서 불법 사용자는 개인 정보 강화 서비스를 사용해도 전혀 혜택을 받지 못할 것입니다.

비자발적 선택적 익명화

비자발적 선택적 비익명화는 불법 수익을 추적할 수 있는 능력을 정부에 제공하기 위해 Tornado Cash의 스마트 계약에 통합될 수 있는 추가 조치입니다. BSA 요구 사항을 비수탁 웹3 서비스에 적용할 가능성은 낮지만, 블록체인 프로토콜과 관련된 추적 가능성은 제재 당사자를 포함하여 불법 금융 활동을 보다 광범위하게 방지하기 위한 하나의 핵심 제어를 나타냅니다. 비자발적 선택적 익명화는 악의적인 행위자와 권한이 없는 제XNUMX자로부터 개인 정보를 보호하면서 승인된 목적을 위해 추적성을 유지하기 위한 강력한 도구를 나타냅니다. 핵심 질문은 누가 추적성을 해제하기 위해 개인 키를 유지 관리하는가입니다.

하나의 솔루션은 중립 게이트키퍼 유형의 조직 또는 유사한 신뢰할 수 있는 엔터티에 개인 키를 제공하고 다른 개인 키를 정부 기관에 제공하는 것과 관련될 수 있습니다. 두 키 모두 허용 목록의 지갑 주소에서 발생하지 않은 입출금 거래를 익명화하는 데 사용되어야 하며, 그러한 거래의 세부 사항은 그러한 거래를 요청한 법 집행 기관에만 공개됩니다. -익명화. 게이트키퍼 조직의 역할은 익명화에 대한 유효한 영장 또는 법원 명령을 먼저 획득하고 제시하는 법 집행 없이 익명화 해제에 저항하는 것입니다. 이렇게 하면 법 집행 기관이 Tornado Cash 인출에 사용되는 자금을 제공한 소스 주소를 식별할 수 있을 뿐만 아니라 정부가 집행 및 국가 안보 명령을 수행할 수 있을 뿐만 아니라 이는 정부와 Tornado Cash 사용자 모두에게 차선책입니다.

이 접근 방식과 관련된 몇 가지 문제가 있습니다. 첫째, 어떤 개체가 개인 키에 액세스할 수 있는지 명확하지 않습니다. 현재 운영 중인 알려진 게이트키퍼 조직은 이러한 프로세스를 관리하도록 설정되어 있지 않습니다. 이 밖에도 법적 문제가 많다. 모든 국가, 심지어 억압적인 정권도 거래 데이터에 대한 액세스를 제공하는 자체 개인 키를 갖게 될까요? 그렇다면 그러한 제도가 미국 시민의 거래를 익명화하지 않도록 어떻게 보장할 수 있습니까? 또한 게이트키퍼 조직과 정부 당국은 키가 도난당하지 않도록 어떻게 관리해야 할까요? 이러한 질문은 새로운 것이 아닙니다. 비자발적 선택적 익명화인 키 에스크로에 대한 모든 논의에 등장합니다. 이 솔루션은 지속적으로 인기가 없으며 "백도어"라는 아이디어와 같은 운영상의 문제로 가득 차 있습니다. 그럼에도 불구하고 규제 요구 사항을 충족하거나 불법적인 목적을 위한 플랫폼 사용을 완화하기 위해 개발자가 고려할 수 있는 옵션입니다. 

앞서 언급한 문제에 대한 한 가지 가능한 해결책은 철회하는 동안 사용자가 주소를 암호화하는 데 사용할 공개 키를 선택할 수 있도록 하는 것입니다.⁴³  Tornado Cash 계약에는 여러 법 집행 공개 키가 있을 수 있습니다. 예를 들어 국가별로 공개 키가 하나씩 있습니다. 철회하는 동안 사용자는 지역 관할권에 따라 암호화할 공개 ​​키를 선택할 수 있습니다. 사용자는 관할권에 대한 증거를 제공해야 할 수 있으며 암호화에 사용하는 공개 키를 결정합니다. 그 증거는 영지식증명 아래 감춰져 관련 정부기관 외에는 아무도 철회의 관할권을 알 수 없게 된다.⁴⁴  이론적으로 이것은 거래의 비밀 키에 접근할 수 있는 억압적인 정권의 문제를 다룰 것이지만, 악의적인 정부가 선의로 위장하여 키 보유자에게 개인 키를 제공하도록 요구할 수 있는 가능성을 다루지는 않습니다. – 법적 절차.

이러한 BSA 의무가 있는 법인의 경우 선택적 비익명화는 OFAC 의무 제재 심사를 수행할 수 있는 능력과 KYC 정보 및 거래 데이터를 수집할 수 있는 능력을 포함하여 출금 심사의 규제 타당성을 유지하는 이점이 있습니다. 파일 SAR. 또한 위에서 설명한 비자발적 선택적 익명화 방법을 수정하여 두 명의 키 보유자가 BSA에 따라 특별히 수집, 보유 및 보고해야 하는 정보(예: KYC 정보 및 SAR)에 대한 개인 키만 가지도록 할 수 있습니다. 해당 키는 FinCEN 및 OFAC 또는 유효한 법적 절차가 있는 경우에만 법 집행 기관에 제시하십시오. 이러한 접근 방식은 사용자 데이터의 프라이버시를 보장하는 동시에 정부 기관이 규제 의무를 충족하도록 하는 데 도움이 될 것입니다.

결론

미국에서 web3 기술이 번창하기 위해서는 개인 정보 보호 규제 솔루션의 개발이 중요합니다. 이러한 접근 방식을 공식화할 때 영지식 증명은 사이버 범죄자와 적대적인 국가 행위자가 블록체인 기술을 불법적인 목적으로 사용하지 못하도록 막는 동시에 사용자의 개인 정보, 데이터 및 금융 활동의 프라이버시를 보호하는 강력한 도구를 제공할 수 있습니다. 주어진 프로토콜 또는 플랫폼에 대한 운영 및 경제 모델과 규제 준수 의무에 따라 영지식 증명을 사용하면 예금 심사, 출금 심사 및 선택적 익명화를 활성화하여 이러한 의무를 충족하고 불법 사용으로부터 생태계를 더 잘 보호할 수 있습니다. 미국과 다른 국가의 안보에 해를 끼치는 것을 방지합니다. 블록체인 공간의 다양한 활동으로 인해 개발자와 창립자는 불법 금융 위험을 해결하기 위해 이 백서에 제시된 것을 포함하여 여러 접근 방식을 고려해야 할 수 있습니다.  

프로토콜은 규제되어서는 안 되며, 개발자는 이러한 중요한 위험을 완화하기 위해 프로토콜 수준 제한을 채택할지 여부를 완전히 자유롭게 선택할 수 있어야 합니다. 이러한 아이디어가 건축업자와 정책입안자 모두 사이에서 영지식 증명의 가능성에 대한 창의적인 토론, 추가 연구 및 개발을 촉발하는 것이 저자의 희망입니다.

를 다운로드 전체 종이, 또는 요약 블로그 게시물 읽기 여기에서 지금 확인해 보세요..

***

미주

¹ 만나다 Crypto Mixer 사용량은 2022년에 사상 최고치를 기록했으며 국가 행위자 및 사이버 범죄자가 상당한 양을 기여했습니다., Chainalysis (14년 2022월 XNUMX일), https://blog.chainalysis.com/reports/cryptocurrency-mixers; 또한보십시오 미국 재무부의 제재로 널리 사용되는 Crypto Mixer Tornado Cash, TRM Labs(8년 2022월 XNUMX일), https://www.trmlabs.com/post/u-s-treasury-sanctions-widely-used-crypto-mixer-tornado-cash.

² 마일스 제닝스, 프로토콜이 아닌 web3 앱 규제, a16z Crypto(29년 2022월 XNUMX일), https://a16zcrypto.com/web3-regulation-apps-not-protocols/.

³ 만나다 사슬 분석, 위에 참고 1.

⁴ 증명자가 이를 수행하는 방법은 먼저 증명할 진술을 일련의 다항식(일련의 대수 용어의 합)으로 인코딩하여 진술이 참인 경우에만 동일하게 XNUMX이 되는 것입니다. 종종 진술의 "산술화"라고 하는 이 인코딩은 영지식 증명을 가능하게 하는 마법 같은 단계입니다. 그런 다음 증명자는 다항식이 실제로 동일하게 XNUMX임을 검증자에게 확신시킵니다.

⁵ 만나다 사슬 분석, 위에 참고 1.

⁶ 북한의 Lazarus Group이 Tornado Cash를 통해 자금을 이동하는 것을보십시오, TRM Labs(28년 2022월 XNUMX일), https://www.trmlabs.com/post/north-koreas-lazarus-group-moves-funds-through-tornado-cash.

⁷ "AML"은 자금 세탁 방지이며 "CFT"는 테러 자금 조달에 대응합니다.  만나다 지느러미. 범죄 Enf't 네트워크, 자금세탁방지법의 역사, https://www.fincen.gov/history-anti-money-laundering-laws.

⁸ 31 USC 5311 et seq.

⁹ 만나다 미 재무부, 해외자산통제국(OFAC) – 제재 프로그램 및 정보, https://home.treasury.gov/policy-issues/office-of-foreign-assets-control-sanctions-programs-and-information.

¹⁰ 예를 들어, 2021년에 믹싱 서비스인 비트코인 ​​포그(Bitcoin Fog)의 운영자로 추정되는 사람이 체포되어 돈세탁, 무면허 송금 사업 운영, 컬럼비아 특별구에서 무면허 송금 혐의로 기소되었습니다.  만나다 보도 자료, 미국 법무부, 악명 높은 Darknet Cryptocurrency "Mixer"를 운영한 혐의로 체포 및 기소된 개인(28년 2021월 XNUMX일), https://www.justice.gov/opa/pr/individual-arrested-and-charged-operating-notorious-darknet-cryptocurrency-mixer.

¹¹ 31 USC § 5311.

¹² 금융 서비스 사업체 관련 정의 및 등록, 64 연준. 등록 45438(1999년 XNUMX월), https://www.govinfo.gov/content/pkg/FR-1999-08-20/pdf/FR-1999-08-20.pdf.

¹³ 지느러미. 범죄 Enf't 네트워크, 가상 화폐를 관리, 교환 또는 사용하는 사람에 대한 FinCEN의 규정 적용, FIN-2013-G001(18년 2013월 XNUMX일), https://www.fincen.gov/sites/default/files/shared/FIN-2013-G001.pdf.

¹⁴ 자금 전송은 자금, CVC 또는 통화를 대체하는 가치를 다른 위치나 사람에게 어떤 방법으로든 전송하는 것을 포함합니다.  만나다 지느러미. 범죄 Enf't 네트워크, 전환 가능한 가상 통화와 관련된 특정 비즈니스 모델에 대한 FinCEN의 규정 적용, FIN-2019-G001(9년 2019월 XNUMX일), https://www.fincen.gov/sites/default/files/2019-05/FinCEN%20Guidance%20CVC%20FINAL%20508.pdf.

¹⁵ ID입니다. 20, 23-24에.

¹⁶ 자주 묻는 질문, 미 재무부 휴무. 해외자산관리국(“OFAC”), No. 1076, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/1076 (“미국인이 Tornado Cash 또는 그 차단된 재산 또는 재산에 대한 이익을 가지고 거래에 참여하는 것은 금지되어 있지만, Tornado Cash와의 금지된 거래를 포함하지 않는 방식으로 오픈 소스 코드 자체와 상호 작용하는 것은 금지되지 않습니다. 예를 들어, 미국인이 오픈 소스 코드를 복사하고 다른 사람이 볼 수 있도록 온라인에 제공하는 것은 미국 제재 규정에 의해 금지되지 않습니다…”).

¹⁷ 미 재무부 보도자료, 미국 재무부 제재 악명 높은 가상 통화 믹서 토네이도 현금 (8 년 2022 월 XNUMX 일), https://home.treasury.gov/news/press-releases/jy0916.

¹⁸ 알렉산드라 D. 코몰리 & 미셸 R. 코버, Cryptocurrency Money Laundering의 첫 번째 물결 서핑, 69 DOJ J. FED. L. & PRAC. 3 (2021).

¹⁹ 31 CFR § 1010.410.

²⁰ 31 CFR § 1022.320(a)(1); 31 USC § 5318(g)(3).

²¹ CTR은 한 사람이 또는 한 사람을 대신하여 수행한 $10,000 이상의 현금 또는 동전 거래와 하루에 총 $10,000가 넘는 복수 통화 거래를 보고해야 합니다. 현재 디지털 자산에는 적용되지 않지만 CTR과 같은 요구 사항을 특정 기준을 충족하는 CVC 거래로 확장할 수 있는 보류 중인 규칙이 있습니다.  만나다 31 CFR § 1010.311; 또한보십시오 지느러미. Crimes Enf't Network, 고객 공지: CTR 참조 가이드, https://www.fincen.gov/sites/default/files/shared/CTRPamphlet.pdf.

²² 만나다 50 USC § 1702(a); 니나 M. 하트, 경제 제재의 집행: 개요, 의회 조사국 보고서(18년 2022월 XNUMX일), https://crsreports.congress.gov/product/pdf/IF/IF12063.

²³ 연준 지느러미. 기관 심사 협의회, 은행비밀보호법(BSA)/자금세탁방지(AML) 심사 매뉴얼 (2021) https://bsaaml.ffiec.gov/manual/OfficeOfForeignAssetsControl/01.

²⁴ 만나다 OFAC 사이버 관련 제재 자주 묻는 질문, 번호 444, 445, 447, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546. 암호화폐와 관련된 제재는 러시아, 이란 또는 북한을 대상으로 하는 것과 같은 국가별 행정 명령에서 나올 수도 있습니다.

²⁵ 만나다 31 CFR 약. A에서 Pt. 501; 50 USC § 1705.

²⁶ 민사 책임은 자신이 제재 위반에 연루되었다는 사실을 알지 못하거나 알 이유가 없는 상태에서 발생합니다.

²⁷ 예를 들어, 18 USC §§ 1956, 1957 및 1960.

²⁸ 만나다 OFAC, 가상 화폐 산업에 대한 제재 준수 지침 (15년 2021월 XNUMX일) (제재 준수 프로그램 및 위험 평가가 "회사"에 적용됨을 명시), https://home.treasury.gov/system/files/126/virtual_currency_guidance_brochure.pdf [이하: "OFAC 지침"]; 그러나 참조 자주 묻는 질문, OFAC, No. 445, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546, ("[a]일반적인 문제로, 온라인 상거래를 촉진하거나 이에 관여하는 회사를 포함하여 미국인은 승인되지 않은 거래에 관여하지 않거나 OFAC의 제재 목록에 이름이 있는 사람과 거래하거나 관할권에서 활동하지 않도록 할 책임이 있습니다. 포괄적인 제재 프로그램의 대상이 됩니다. 기술 회사를 포함한 이러한 사람들은 제재 목록 심사 또는 기타 적절한 조치를 포함할 수 있는 맞춤형 위험 기반 준수 프로그램을 개발해야 합니다.”).

²⁹ 자주 묻는 질문, OFAC, No. 1076, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/1076.

³⁰ 일반적으로보기 토네이도 현금, https://tornado.cash (2022).

³¹ Nova라고 하는 새로운 버전의 Tornado Cash는 먼저 Tornado에서 자금을 인출할 필요 없이 계좌 간 직접 이체를 지원합니다.  일반적으로보기 토네이도 캐시 노바, https://nova.tornadocash.eth.link (2022).

³² 팀 하키, 거의 7백만 달러의 해킹된 Ronin 자금이 Privacy Mixer Tornado Cash로 보내졌습니다., Decrypt(4년 2022월 XNUMX일), https://decrypt.co/96811/nearly-7m-hacked-ronin-funds-sent-privacy-mixer-tornado-cash.

³³ 만나다 OFAC 사이버 관련 제재 자주 묻는 질문, 번호 1076 및 1095, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546.

³⁴ 만나다 Elizabeth Howcroft 등, 100억 달러 강탈로 타격을 입은 미국 암호화 회사 Harmony, 로이터 (24년 2022월 XNUMX일), https://www.reuters.com/technology/us-crypto-firm-harmony-hit-by-100-million-heist-2022-06-24.

³⁵ 만나다 엘리자베스 호크로프트, 190억 XNUMX천만 달러의 도난을 당한 미국 암호화 회사 Nomad, 로이터(3년 2022월 XNUMX일), https://www.reuters.com/technology/us-crypto-firm-nomad-hit-by-190-million-theft-2022-08-02.

³⁶ 상기 참조 참고 17. 

³⁷ 제재 심사를 위해 Chainalysis oracle 참조, 사슬 분석, https://go.chainalysis.com/chainalysis-oracle-docs.html.

³⁸ 제프 벤슨, Ethereum 개인 정보 보호 도구 Tornado Cash는 승인 된 지갑을 차단하기 위해 Chainalysis를 사용한다고 말합니다., Decrypt(15년 2022월 XNUMX일), https://decrypt.co/97984/ethereum-privacytool-Tornado-cash-uses-chainalysis-block-sanctioned-wallets.

³⁹ 만나다 Brian Armstrong과 Vitalik Buterin이 탈중앙화, 개인 정보 보호 등에 대해 논의합니다., Coinbase: Around the Block, 35:00(30년 2022월 XNUMX일)(Spotify에서 사용 가능), https://open.spotify.com/episode/2vzctO7qgvYqGLKbnMnqha?si=X3eu221IRvGIJn3kd4tWFA&nd=1; 예를 들어 참조, 벤 피쉬, 구성 가능한 프라이버시 사례 연구: 분할된 프라이버시 풀, 에스프레소 시스템(11년 2022월 XNUMX일), https://www.espressosys.com/blog/configurable-privacy-case-study-partitioned-privacy-pools.

⁴⁰ 만나다 OFAC 지침 12-16(위험 평가 의무 개요). 

⁴¹ ID입니다.

⁴² 일반적으로보기 토네이도 현금, Tornado.cash 규정 준수, 미디엄(3년 2020월 XNUMX일), https://tornado-cash.medium.com/tornado-cash-compliance-9abbf254a370.

⁴³ 최신 Tornado Nova 프로토콜은 자금이 Tornado 시스템에 있는 동안 개인 송금을 지원합니다. 이 경우 법 집행 공개 키로 암호화된 "주소"는 현재 인출 중인 자금으로 이어진 거래의 전체 체인이어야 합니다. 즉, 단일 주소보다 더 많은 데이터가 있어야 합니다.

⁴⁴ 만나다 피쉬, 위에 주의 39. 

***

감사의 말: 피드백과 Miles의 "허용 목록" 제안을 포함하여 작품의 개념에 기여한 Jai Ramaswamy와 Miles Jennings에게 감사드립니다. 이 작업을 도와준 David Sverdlov에게도 감사드립니다.

***

에디터 : 로버트 해켓

***

조셉 벌슨 a16z crypto의 법무 자문위원으로 법률, 거버넌스 및 분권화 문제에 대해 회사와 포트폴리오 회사에 조언합니다.

미셸 코버 a16z crypto의 규제 책임자입니다. 그녀는 이전에 FinCEN의 수석 디지털 통화 고문, DOJ의 디지털 통화 고문 및 미국 검사 보조로 재직했습니다.

댄 보네 a16z crypto의 수석 연구 고문입니다. 그는 Stanford University의 컴퓨터 과학 교수이며 Applied Cryptography Group을 이끌고 있습니다. Stanford Center for Blockchain Research를 공동 지휘합니다. Stanford Computer Security Lab을 공동 지휘합니다.

***

여기에 표현된 견해는 인용된 개별 AH Capital Management, LLC("a16z") 직원의 견해이며 16z 또는 그 계열사의 견해가 아닙니다. 여기에 포함된 특정 정보는 16z가 관리하는 펀드의 포트폴리오 회사를 포함하여 제16자 출처에서 얻은 것입니다. 신뢰할 수 있는 출처에서 가져왔지만 16z는 이러한 정보를 독립적으로 확인하지 않았으며 정보의 현재 또는 지속적인 정확성 또는 주어진 상황에 대한 적절성에 대해 어떠한 진술도 하지 않습니다. 또한 이 콘텐츠에는 타사 광고가 포함될 수 있습니다. XNUMXz는 그러한 광고를 검토하지 않았으며 여기에 포함된 광고 콘텐츠를 보증하지 않습니다.

이 콘텐츠는 정보 제공의 목적으로만 제공되며 법률, 비즈니스, 투자 또는 세금 관련 조언에 의존해서는 안 됩니다. 그러한 문제에 관해서는 자신의 고문과 상의해야 합니다. 증권 또는 디지털 자산에 대한 언급은 설명을 위한 것일 뿐이며 투자 추천이나 투자 자문 서비스 제공을 의미하지 않습니다. 또한, 이 콘텐츠는 투자자 또는 예비 투자자를 대상으로 하거나 사용하도록 의도되지 않았으며, 어떤 상황에서도 a16z가 관리하는 펀드에 투자하기로 결정할 때 의존할 수 없습니다. (16z 펀드에 대한 투자 제안은 사모 투자 각서, 청약 계약서 및 해당 펀드의 기타 관련 문서에 의해서만 이루어지며 전체 내용을 읽어야 합니다.) 언급되거나 언급된 모든 투자 또는 포트폴리오 회사 설명된 내용은 16z가 관리하는 차량에 대한 모든 투자를 대표하는 것은 아니며 투자가 수익성이 있거나 미래에 수행되는 다른 투자가 유사한 특성 또는 결과를 가질 것이라는 보장이 없습니다. Andreessen Horowitz가 관리하는 펀드의 투자 목록(발행자가 16z가 공개적으로 공개하도록 허가하지 않은 투자 및 공개적으로 거래되는 디지털 자산에 대한 미고지 투자 제외)은 https://a16z.com/investments에서 볼 수 있습니다. /.

내부에 제공된 차트와 그래프는 정보 제공의 목적으로만 사용되며 투자 결정을 내릴 때 의존해서는 안 됩니다. 과거의 성과는 미래의 결과를 나타내지 않습니다. 내용은 표시된 날짜 현재만 말합니다. 이 자료에 표현된 모든 예측, 추정, 예측, 목표, 전망 및/또는 의견은 예고 없이 변경될 수 있으며 다른 사람이 표현한 의견과 다르거나 반대될 수 있습니다. 추가 중요 정보는 https://a16z.com/disclosures를 참조하십시오.