Tornado Cash e i “mixer”: la lotta tra censura e privacy
Di Davide Grammatica
Il caso Tornado Cash ha aperto a un dibattito fondamentale: si può rinunciare alla privacy per fermare attività illecite? Per rispondere occorre andare a fondo della questione
Cosa sono i “mixer” di coin
I “mixer” di coin sono comunemente intesi come uno strumento necessario per proteggere l’anonimato. Sono “miscelatori di monete”, il cui utilizzo è principalmente in funzione della tutela della privacy, ma che collateralmente è anche sfruttato da chi si è impegnato in operazioni di riciclaggio di denaro. E, da questo punto di vista, sono proprio i funzionari di governo ad aver sviluppato un occhio particolarmente critico nei confronti di questo strumento, che negli anni ha visto passare miliardi di dollari in criptovalute.
È proprio per questo motivo che i mixer sono entrati nell’occhio del ciclone, dopo la recente sanzione, per mano del Dipartimento del Tesoro degli Stati Uniti, nei confronti di Tornado Cash, una delle principali piattaforme di mixing attiva nell’ecosistema Ethereum. Di fatto, l’utilizzo della piattaforma è stato vietato per tutti i cittadini americani.
Tornado Cash
Ma come funziona, esattamente, un servizio come Tornado Cash (preso ad esempio in quanto uno dei principali attori di questo settore)? E, più in generale, perché qualcuno dovrebbe voler usare questi miscelatori di token? La risposta sta nella tecnologia alla base dei mixer, declinata nei suoi utilizzi legittimi e illegittimi, a seconda dei casi.
Tornado Cash è un protocollo sviluppato su blockchain Ethereum per l’invio e la ricezione di transazioni anonime, lanciato nel 2019. Da quando è in attività, secondo alcune società di analisi di dati on-chain, sarebbero circa 7 i miliardi di dollari in criptovaluta passati dalla piattaforma, di cui il 20% sarebbe, effettivamente, legato ad attività illecite.
Come ogni mixer, Tornado Cash è quindi un servizio che consente agli utenti di “offuscare” l’origine e la destinazione delle transazioni. In pratica, un utente può inviare il quantitativo di token di cui ha disponibilità alla piattaforma, la quale “mescola” la somma inviata con quella di altri utenti, inviando poi la quantità equivalente di token “misti” all’indirizzo di un destinatario, nascondendo così la connessione con il mittente.
L’ultilizzo di questo servizio è, di per sé, non solo legittimo, ma anche in qualche modo “dovuto”, per chi volesse tutelare la propria privacy. Proprio come è un diritto acquisito il fatto che qualcuno non possa avere modo di conoscere i dettagli intimi di ogni transazione bancaria (o con carta di credito) di qualcun altro, così dovrebbe essere anche per quanto riguarda ogni transazione crypto, che pure è pubblica sulla blockchain.
"L’ultilizzo di questo servizio è, di per sé, non solo legittimo, ma anche in qualche modo “dovuto”, per chi volesse tutelare la propria privacy"
Tra censura e privacy
Di fatto, con la crescita dei casi d’adozione delle criptovalute, insieme a quella della blockchain, aumentano anche gli utenti (e la loro relativa identità) messi “a nudo” sul registro pubblico, ai quali sono legati qualsiasi acquisto, trasferimento o interazione associati ai loro address. Ed è proprio in questo contesto che entra in gioco la domanda del servizio offerto dai mixer.
Tuttavia, ed è inutile negarlo, i mixer sono progressivamente diventati anche uno strumento utile per criminali informatici, diventando di conseguenza anche un obbiettivo delle forze dell’ordine. Queste piattaforme sono quindi sprofondate in una zona d’ombra, che viaggia tra il favoreggiamento alle attività di riciclaggio e la tutela del diritto alla privacy, e che deve essere presa in giudizio, per forza di cose, dagli enti politici, perché possa essere ridefinita.
E questo, tutelandone comunque l’utilizzo virtuoso, legato alla domanda di chi vuole appropriarsi della privacy aggiuntiva fornita dal mixer, a causa della natura trasparente della blockchain.
Per questi sostenitori, i mixer sono non solo particolarmente utili, ma necessari. Basti pensare, ad esempio, a tutti quei casi in cui l’attività di un utente richiede di per sé un livello di privacy adeguato, come potrebbe essere quella di un giornalista o un caso di disobbedienza civile.
Tuttavia, è anche naturale, per certi versi, che le agenzie governative vedano i mixer come la soluzione perfetta per un criminale che ha come obbiettivo quello di riciclare denaro tramite crypto, sfruttando una piattaforma dal facile utilizzo come Tornado Cash per nascondere l’origine dei fondi sporchi.
È stato proprio il Dipartimento del Tesoro degli Usa, infatti, ad aver affermato come le realtà criminali abbiano sfruttato Tornado Cash nell’ordine di miliardi di dollari (1,5, per la precisione). E in particolare, sempre secondo il Tesoro, sono 103,8 i milioni di dollari rubati tra giugno e agosto dall’Horizon Harmony Bridge e dal Nomad Token Bridge, per mano del Lazarus Group, ovvero un gruppo di hacker al soldo della Corea del Nord.
I casi d’uso di un mixer
In generale, i mixer come Tornado Cash utilizzano degli smart contract per accettare dei depositi di token da un address e consentirne il prelievo da uno diverso. Questi smart contract, di fatto, sono da intendersi come una sorta di pool di liquidità, in cui però il collegamento tra la fonte e la destinazione viene interrotto, rendendo così anonima la transazione.
Basta collegare il proprio wallet alla piattaforma, e selezionare la rete desiderata scegliendo se depositare o prelevare. A seconda della scelta, il protocollo prevede di generare una “nota privata”, che svolge le funzioni di una classica chiave privata, ma per poi in seguito consentire agli utenti di prelevare i loro fondi.
L’utente non deve che fornire un indirizzo del destinatario, e la piattaforma, a seguito di una “prova”, consente di ritirare i fondi precedentemente depositati. Il tutto, in un sistema totalmente decentralizzato, che generalmente non vede l’adozione di wallet custodial o di terze parti, ma semplicemente smart contract.
Questo garantisce neutralità e affidabilità, ma allo stesso modo offre la possibilità a una realtà criminale di ritrovare uno strumento allettante, come è stato per il già citato Larazus Group.
Ma d’altra parte, offre la possibilità anche per ulteriori operazioni di stampo virtuoso, come potrebbero essere finanziamenti per realtà legate a contesti di tensione politica (Ucraina, per esempio), senza che però questi siano rintracciabili.
Lo scenario, del resto, non è così inverosimile, tanto che lo stesso Vitalik Buterin ha fatto ricorso proprio a questo esempio, dopo che il Dipartimento del Tesoro ha sanzionato Tornado Cash.
Lia Holland, direttore delle comunicazioni di Fight for the Future, ha addirittura dichiarato: “Siamo chiari, hacker e criminali informatici, così come coloro che li supportano, sono deplorevoli e dovrebbero essere fermati, ma non in un modo che comprometta i diritti umani”.