Tornado Cash Nedir?
Tornado Cash, Ethereum blockchain’i üzerinde inşa edilmiş merkezi olmayan bir gizlilik çözümüdür. Sıfır bilgi ispatlarını (zero knowledge proof) kullanarak, kullanıcıları zincir üzerindeki işlemler arasındaki bağlantıları kesmeye ve mevduat ve çekim için kullanılan adresler arasındaki işlem gizliliğini artırmaya olanak tanır.
Bir kullanıcı Tornado’ya kripto para yatırdığında, gizli bir karma oluşturulur. Bu mevduat, ilgili karma ile birlikte sahipliği belirleyen bir süreç olan taahhüt işlemine tabi tutulur. Çekim işlemi sırasında, kullanıcı, zincir üzerindeki faaliyetlerini anonim tutarken sahiplik kanıtı olarak gizli karmayı sağlamak zorundadır.
Tornado Cash, topluluk odaklı bir girişim olarak faaliyet gösterir. Mayıs 2020’de, Tornado’nun geliştiricileri Güvenilir Kurulum Töreni olarak bilinen bir sözleşme güncellemesiyle protokolün çoklu imza cüzdanı üzerindeki kontrolü bıraktılar. Sonuç olarak, kurucular artık Tornado üzerinde yetkiye sahip değiller ve tamamen merkeziyetsiz bir protokol ortaya çıktı.
Tornado Cash’in yerel para birimi TORN, maksimum 10 milyar token arzına sahip bir ERC-20 tokenidir. TORN, token sahiplerinin protokole yönelik önerilerde bulunmasına ve değişikliklere oy vermesine olanak sağlar. Ayrıca, TORN sahipleri protokolü kullandıkça Anonimlik Puanları biriktirir ve bunları güvenli bir hesaba yatırabilir ve TORN tokenlarıyla değiştirebilir.
Tornado Cash Nasıl Kullanılır?
Tornado Protokolü’nü kullanarak, Ethereum gibi bir genel ağda gizliliğinizi artırabilir ve blok zinciri işlem bağlantınızı belirsizleştirebilirsiniz. Bu, varlıkları protokole yatırmanıza ve daha sonra web3 cüzdanınıza çekmenize olanak sağlar.
Örneğin, Ali’nin blok zincirindeki 100 ETH işlemini gizlemek istediğini düşünelim. Bunun için Ali, tokenları Tornado Protokolüne gönderebilir, burada likidite havuzlarında karıştırılır. Ardından Ali, protokolün yardımıyla blok zincirinde anonimliği sağlamak için karıştırılmış tokenları ayrı bir adrese çekebilir.
Ancak, protokol tarafından sağlanan anonimliğin sadece kısmi olduğunu unutmamak önemlidir, çünkü yukarı akış ve aşağı akışta ek önlemler uygulanmadığı takdirde anonimlik sağlanamaz.
Gizliliği en üst düzeye çıkarmak için, Tornado Cash, Tornado Cash kullanımınızı tanımlayan üçüncü tarafları önlemek için VPN kullanma, tarama geçmişini silme, karıştırma işleminden sonra adres ilişkilendirmesini önlemek için varlık çekiminde sabırlı olma ve birden fazla adres kullanma gibi belirli önlemler önermektedir.
Tornado Cash’i kullanmak isterseniz, hizmetlerinden faydalanmak için aşağıdaki basit adımları izleyebilirsiniz:
- Tornado Cash web sitesini ziyaret edin.
- Web3 cüzdanınızı bağlayın ve karıştırmak istediğiniz varlığı seçin.
- Paralarınızı yatırın ve özel anahtarınızı güvenli bir şekilde kopyalayın.
- İşlemi tamamlayın ve imzalayın.
- Varlıklarınızı çekmeden önce bir süre birden fazla adres kullanarak bekleyin.
Uyarı: Bunu kullanırken cüzdanınızın bazı kurum ve siteler tarafından banlanacağını göz önünde bulundurunuz. Mevcut kullandığınız bir cüzdanla bağlantısı olan bir cüzdanı kullanmak riskinizi artıracaktır.
Tornado Cash Nasıl Çalışır?
Tornado Cash, mevduat ve çekim adresleri arasındaki bağlantıyı keserek zincir üstü (on-chain) faaliyetlerin gizliliğini önemli ölçüde artırır.
Akıllı sözleşmelerden yararlanarak Tornado Cash, Ethereum (ETH) mevduatlarını kabul eder ve kullanıcıların birden fazla adres kullanarak nakit çekmelerine olanak sağlar. Ayrıca, bir Yönlendirici’nin kullanımı, ETH bakiyesi olmayan bir adrese çekim yapılmasını sağlayarak gizliliği daha da güçlendirir.
Tornado Cash, zkSNARKs ispatlarının uygulanmasıyla zincir üstü faaliyetlerin anonimliğini korumak için bir karıştırıcı olarak işlev görür. Bu ispatlar, iki tarafı içerir:
İspatlayıcı: Bir hipotezi doğrulamayı amaçlayan kişi.
Doğrulayıcı: İspatlayıcının iddialarının meşruiyetini doğrulamaktan sorumlu kişi.
Anonimlik madenciliği, Tornado Cash’in başka bir özelliğidir. Bu özellik, Tornado’nun likidite madenciliği yoluyla proje operasyonlarını destekleyen kullanıcılara ödül vermesini sağlar. Tornado, iki aşamalı bir korumalı likidite madenciliği yaklaşımı kullanarak madencilik sürecinde bile gizliliği sağlar.
Kullanıcılar Tornado Protokolüne fon yatırdıklarında, korumalı hesaplarda Anonimlik Puanları alırlar. Bu hesaplar, kullanıcıların hesap bakiyelerini, adreslerini veya sahip oldukları varlık türlerini açığa çıkarmaz. Kullanıcılar minimum gereken Anonimlik Puanı sayısına ulaştıklarında, Tornado Cash’in Otomatik Piyasa Yapıcısı (AMM) aracılığıyla bunları TORN tokenlarına dönüştürebilirler.
Vurgulamak önemlidir ki, Anonimlik Puanları yalnızca kullanılan Tornado Cash notları için talep edilebilir. Bu nedenle, ödül süreci, Anonimlik Puanlarının uygun tahsisini belirlemek için protokolde sıfır bilgi ispatının sunulmasını gerektirir.
ABD Yaptırımı
Tornado Cash, bir kripto para protokolü olarak, 7 Ağustos 2022 tarihinde ABD Hazinesi tarafından yaptırımlara tabi tutulmuştur. Hazine, protokolün kötü niyetli siber aktörler adına kara para aklamayı önlemek için etkili kontrolleri uygulamada başarısızlık gösterdiğini iddia etmektedir. Sonuç olarak, ABD’li kripto kullanıcıları ve işletmeleri, Tornado Cash ile ilişkilenmeyi yasaklanmıştır.
Hazine’ye göre, Tornado Cash, 2019 yılında başlatılmasından bu yana, 7 milyar doların üzerinde kripto para biriminin kara para aklanmasına olanak sağladı. Ancak, kripto para analiz firması Elliptic’in bir raporu, sadece fidye yazılımları, hack’ler ve dolandırıcılık yoluyla elde edilen 1,5 milyar dolarlık fonun Tornado Protokolü kullanılarak kara para aklama işlemlerinden geçirildiğini belirterek bu iddiayı çürütmektedir. Hazine tarafından aktarılan 7 milyar dolarlık rakamın, meşru kullanıcıların finansal gizlilik arayanlar da dahil olmak üzere Tornado Cash tarafından işlenen toplam kripto para miktarını temsil ettiği söylenmektedir.
Aklanan varlıklar arasında, 445 milyon dolarlık miktarın, zaten ABD yaptırımları altında olan tanınmış bir Kuzey Kore merkezli hackleme grubu olan Lazarus Grubu tarafından çalındığı belirtilmektedir. Hazine, hacker’ların Tornado Cash’i çalınan varlıkları aklamak için kullandığı örnekleri de vurgulamıştır. Bu örnekler arasında, yakın zamandaki Nomad soygunundan 7,8 milyon dolarlık miktar yer almaktadır. Saldırganlar, 100 milyon dolarlık kripto para birimini çalmak için ciddi bir hata kullanmışlardır.
Hazine, protokolün hacker’ların para aklama faaliyetlerinde kullanmasını önlemek için yetersiz önlemler aldığını belirtmektedir. Suçlulara para aklamada yardımcı olan karıştırıcıları yaptırım altına alma konusundaki taahhütlerini vurgulamaktadırlar.
Mayıs 2023 Tornado Cash DAO Hack Olayı
Saldırgan(lar), geçtiğimiz hafta sonu boyunca Tornado Cash’in işlemlerini yöneten merkezi olmayan özerk organizasyonun (DAO) kontrolünü etkili bir şekilde ele geçirdi.
Bu durumda, saldırgan, sahte oylar elde etmeyi sağlayan kod işlevini gizleyen kötü niyetli bir öneri sundu. Bu oylar Tornado Cash’in belirli yönlerini manipüle etmek için kullanılabilir, örneğin ana sözleşmede tutulan torn (TORN) tokenlarının yönetimi veya kilitli torn tokenlarının çekilmesi gibi.
Saldırgan, daha önceki bir sürümü andıran ancak kötü niyetli bir kod içeren bir öneri sunarak bunu başardı. Bu kod, yönetim mantığının güncellenmesine olanak tanıyarak saldırgana tüm yönetim oylarına erişim sağladı. Önemli bir nokta olarak belirtmek gerekir ki, bu saldırı Tornado Cash protokolünün gerçek işleyişini etkilemez. Protokol, kullanıcıların fonları ve kripto adresleri Tornado Cash hizmetiyle geçirirken hareketlerini gizlemelerini sağlar. Saldırı, Tornado Cash’in temel işlevselliğiyle ilişkili herhangi bir akıllı sözleşme veya teknolojiyi kullanmamıştır.
Sonuç olarak, protokolün yönetimi kontrolü saldırganın eline geçti.
Ancak, beklenmedik bir gelişme olarak, saldırgan, Tornado Cash’in orijinal token sahiplerine yönetim kontrolünü geri vermeyi öneren bir plan önerdi.
Bu beklenmedik hamle, kripto topluluğunda merak uyandırdı ve önerinin arkasındaki niyetlere dalmalarına neden oldu.
Yönetim önerisi 26 Mayıs’ta başarıyla onaylandı ve lehte 517.000 oy kullanılırken aleyhte hiç oy kullanılmadı. Hack doğrudan protokolü etkilemedi, ancak kötü niyetli aktör önemli miktarda tokenı çalmayı başardı. İlginç bir şekilde, çalınan ETH’nin bazıları Tornado Cash üzerinden aklanmış, işlemlere ek bir karmaşıklık katılmıştır.