Мэттью Грин (Matthew Green), профессор университета Джонса Хопкинса, при поддержке правозащитной организации Electronic Frontier Foundation (EFF), выступил с инициативой возвращения публичного доступа к коду проекта Tornado Cash, репозитории которого были удалены в начале августа компанией GitHub после попадания сервиса в санкционные списки Управления по контролю над иностранными активами США (OFAC).
Проект Tornado Cash развивал технологию для создания децентрализованных сервисов анонимизации криптовалютных транзакций, существенно усложняющих отслеживания цепочек переводов и мешающих определению связи отправителя и получателя перевода в сетях с публично доступными транзакциями. Технология основана на разбиении перевода на множество мелких частей, многоэтапном перемешиванием этих частей с частями переводов других участников и передачей получателю необходимой суммы в форме серии небольших переводов от разных случайных адресов из общего пула сервиса.
Наиболее крупный анонимизатор на базе Tornado Cash был развёрнут на базе сети Ethereum и до своего закрытия обработал более 151 тысяч переводов от 12 тысяч пользователей на общую сумму 7.6 миллиарда долларов. Сервис был признан угрозой национальной безопасности США и попал в санкционный список, запрещающий финансовые операции для граждан и компаний из США. Основной причиной блокировки стало использование Tornado Cash для отмывания средств, заработанных преступным путём, в том числе через данный сервис были отмыты 455 млн долларов, украденных группой Lazarus.
После добавления Tornado Cash и связанных с ним криптовалютных кошельков в санкционные списки компания GitHub заблокировала все учётные записи разработчиков проекта и удалила его репозитории. Под удар попали в том числе экспериментальные системы на базе Tornado Cash, которые не применялись в рабочих внедрениях. Пока не ясно, входило ли ограничение доступа к коду в число санкционных целей или удаление произведено без прямого давления по инициативе GitHub для минимизации рисков.
Позиция EFF сводится к тому, что запрет распространяется на применение работающих сервисов для отмывания средств, но сама технология анонимизации транзакций является лишь методом обеспечения конфиденциальности, который может применяться не только в преступных целях. В ранее проводившихся судебных разбирательствах было признано, что исходный код подпадает под действие Первой поправки к Конституции США, гарантирующей свободу слова. Cам по себе код с реализацией технологии, а не готовый продукт, пригодный для развёртывания в преступных целях, не может рассматриваться как объект запрета, поэтому EFF считает, что повторное размещение ранее удалённого кода является правомерным и не должно блокироваться GitHub.
Профессор Мэттью Грин известен своими исследованиями в области криптографии и соблюдения конфиденциальности, в том числе он является одним из создателей анонимной криптовалюты Zerocoin и участником группы, выявившей бэкдор в генераторе псевдослучайных чисел Dual EC DRBG, разработанном в Агентстве национальной безопасности США. К основным видам деятельности Мэттью относится изучение и усовершенствование технологий, обеспечивающих конфиденциальность, а также обучение студентов подобным технологиям (Мэттью ведёт в университете Джонса Хопкинса курсы по компьютерным наукам, прикладной криптографии и анонимным криптовалютам).
Анонимизаторы, подобные Tornado Cash, являются примером успешной реализации технологий обеспечения конфиденциальности, и, по мнению Мэттью, их код должен оставаться доступным для изучения и дальнейшего развития технологии. Кроме того, пропадание эталонного репозитория приведёт к неразберихе и неопределённости в том, каким из форков можно доверять (злоумышленники могут начать распространять форки с вредоносными изменениями). Удалённые репозитории воссозданы Мэттью под новой организацией tornado-repositories на GitHub, чтобы подчеркнуть, что указанный код имеет ценность для научных исследователей и студентов, а также для проверки гипотезы о том, что GitHub удалил репозитории, выполняя предписание по выполнению санкций, и санкции использованы для запрета публикации кода.