Tornado Cash Zanlısı Geliştirici Tutuklandı. Sıradaki Kişi Sen Misin?

Büyük bir soygun planlayan hırsızlar bu operasyonun organizasyonunu iPhone üzerinden yaptılar diye Tim Cook’u hapse atabilir miyiz? Dünya Ticaret Merkezi’ne çakılan uçaklar nedeniyle Boeing’in CEO’sunu suçlayabilir miyiz? Bomba yapımında da kullanılan düdüklü tencerenin mucidi kriminal bir kişilik midir?

Cuma günü gündeme bomba gibi düşen habere göre Hollandalı yetkililer Ethereum üzerinde çalışan açık kaynak temelli kripto para karıştırıcı Tornado Cash’e geliştirme desteği verdiğini iddia ettikleri birini tutukladılar. Hikâyenin tüm detaylarını bilmemekle birlikte birçok kripto savunucusu burada atfedilen suça dair rahatsızlıklarını dile getirmeye başladılar. 

Tutuklanan kişinin 29 yaşında ve erkek olduğunu ve Amsterdam’da yakalandığını biliyoruz. Tornado Cash’in geçtiğimiz Pazartesi günü ABD’de yaptırımlara konu olduğunu biliyoruz. Hollandalı finansal düzenleyicilerin bu hizmete geçtiğimiz Haziran’da soruşturma açtığını biliyoruz.

Ancak tutuklanan kod uzmanı Tornado Cash’in koduna yardımcı olmak” şüphesiyle” alıkonuluyor. Hollanda Mali Bilgiler ve Araştırmalar Ofisi’ne göre (FIOD) şüpheli, “kriminal finansal akışlara ve kara para aklanmasına yönelik faaliyetlere dahil olma şüphesiyle” göz altına alınmış. 

Bu adımın doğuracağı sonuçları, soruşturmanın ne kadar derinleşeceğini ve bunun kriptonun geleceğine etkisini bugünden kestirmek zor. Hollandalı kurum, “daha fazla tutuklama gündeme gelebilir” diyor. 

İşlerin ne yönde gelişeceğine, Tornado Cash’in kurucularına nasıl davranılacağına ve suçların nereye dayandırılacağına bağlı olarak bu dava dosyasının kripto geliştirme alanında önemli etkileri olabilir. Özellikle de gizliliğe dair projeler üzerinde…

Kripto kod geliştiricileri uzun yıllar boyunca gölgelerin içerisinde gizlendiler. Gerçek anlamda merkeziyetsiz bir programın işleme biçimi ile diğer yazılım projelerinin işleyişi arasında önemli farklar vardır. Ve bu farklar hukuk tarafından tam olarak anlaşılamaz. Ancak bununla birlikte kripto endüstrisinde sahte bir özgüven hissi veren bazı inkâr noktaları da söz konusu. 

Kod yazmaya dair bazı konular son derece kesin ve nettir. En azından ABD’de orijinal bir fikir olduğu sürece kodu Github’da yayınlamak hemen hemen her durumda legal bir işlem olarak görülür. Bunlara hayalet silahlar ve kripto karıştırıcılara dair kodlar da dahildir. Bu, 30 yıl önce cereyan eden ve kriptografi savaşları olarak bilinen dönemin bir mirası. Kod bir dil ise, kriptografi bir ifade biçimidir ve ifade özgürlüğü anayasal bir hak olarak tanınmış ve korunmuştur. 

Ancak kodu yazmanın ötesine geçtiğinizde durum biraz karmaşıklaşır. Siber suçlar ve kripto alanında uzman olan avukat Preston Byrne, Motherboard’a verdiği demeçte, “Tornado Cash özelinde yorum yapmamakla birlikte kodu kullanmayı isteyen birine yardımcı olmak, bir protokole karıştırıcı akıllı sözleşme yüklemek veya kullanıcıların Metamask cüzdanlarına sızabilen bir web uygulaması kullanmak potansiyel olarak kriminal düzlemde değerlendirilebilir” diyor. 

Bu gizlilikle ilgili bir geliştirme yapan bir geliştiricinin tutuklandığı ilk vaka değil. ABD Adalet Bakanlığı geçtiğimiz yıl kripto karıştırıcı Bitcoin Fog’un sahibi ve işleticisi Roman Sterlingov’u kara para aklamaya yardımcı olma iddiasıyla tutuklamıştı. Bu olaydan birkaç ay önce Larry Dean Harmon para transfer uygulaması Helix’i lisanssız biçimde işlettiğini ve bu kripto mikserindeki kara para aklama faaliyetlerini itiraf etmişti. 

(Tornado Cash ile Bitcoin Fog ve Helix arasındaki fark son ikisinin “saklama” odaklı olması yani kullanıcıların fonlarının sahipliğini üstlenmeleridir. Ancak kara para aklama veya para transferi suçlarında bu farkın pek önemi kalmıyor.)

ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi geçen pazartesi  bir adım atarak bir akıllı sözleşmeyi devlete karşı tehdit olarak nitelendirdi. Bu sınıflandırma terörist organizasyonlar veya kötü niyetli devletler için kullanılır. Bu durum, kapatılamayan ve diğer kişilerin kullanmasını engelleyemediğiniz bir robotu tutuklamak gibi bir şey.

Tornado Cash açık kaynaklı bir protokol yani isteyen herkes koduna müdahale edebilir veya alıp kullanabilir. Saklama ve tutma hizmeti de vermiyor yani kullanıcıların paralarını sahiplenmiyor veya uygulamayı kullanan birinin yaptıkları üzerinde bir kontrolü ve hakimiyeti de yok. Uygulamacının kurucuları platform üzerindeki anonim işlemleri deşifre etmeye yarayan anahtarları da yakmış durumdalar.

Bu, kurucuların kendilerinden talep edildiğinde düzenlemelere uymadıkları anlamına da gelmiyor. Tornado Nisan ayında blok zinciri analiz şirketi Chainalysis ile işbirliğine giderek OFAC tarafından yasaklanan adresleri bloklamıştı. Bu adresler Kuzey Kore ile ilişkilendirilen Lazarus Group’un geniş çaplı saldırısıyla bağlantılı görülüyorlardı. Ancak protokolün ön yüzünü oluşturan web sitesini tarama dışında elden gelen fazla bir şey de yok. 

Bir akıllı sözleşme Ethereum’a atıldıktan sonra değiştirilemez hale gelir. Kripto savunucularının Tornado’ya yönelik aksiyonlara dair tepkilerinin temelinde de bu gerçek yer alıyor. MakerDAO’dan Rune Christensen bu yaptırımları “işe yaramaz” olarak nitelerken haklı. Zira koddan biraz anlayan ve kanundan hiç anlamayan herhangi biri işlem yapabilir. 

Diğer bir deyişle Tornado otonom olarak işleyen bir sistem. Yani aslında iPhone, uçak veya düdüklü tencere gibi kullanılmak üzere dünyaya getirilmiş bir araç. Peki mucitler ürünleri veya sistemleri kötü amaçla kullanıldığında suçlanmalılar mı? Mike Dudas’ında belirttiği gibi Mastercard veya SWIFT protokolü üzerinde de her gün şüpheli birçok işlem gerçekleşiyor. 

Ancak bu argümanlar yeterli olmuyor. Kanun güçlerine ikiyüzlü diyerek bir yere varılamaz. Tornado’nın suç dışında başka birçok alanda kullanıldığı bir gerçek olsa da (Elliptic ve Chainalysis sistemde 2019’da geçirilen 9 milyar dolarlık işlemin en fazla 1 milyar dolarlık kısmı bir hack veya şüpheli işlemle ilişkilendirilebilir) bu sistemin bazı işlemleri düzenleyicilerin görüş alanından çıkarmak için tasarlandığı gerçeğini de kabul etmek gerekir. 

Ve kanun güçleri bu durumdan hoşlanmaz çünkü finansal akışların bilgileri dışında karıştırılması söz konusu. Kripto kullanıcıları paralarını nasıl kullandıklarının kanun güçlerini ilgilendirmediğini söyleyebilir ancak dünyanın düzeni böyle değil. Dünyanın düzeni bu tür sistemlerin neden ve nasıl işlediğiyle ilgilenmez. 

ABD Hazine Bakanlığı Tornado Cash’in 7 milyar dolarlık kripto paranın aklanmasında kullanıldığını söylüyor. Bu son derece abartılmış bir rakam. Yani ya verileri umursamıyorlar ya da kendi görüş alanları dışında akan her türlü paranın aklanma işlemi olduğundan eminler. 

Burada kod geliştiriciler için soru nerede durulacağı olabilir. Yani gizliliği koruyucu bir uygulamanın hangi noktada kara para aklama sistemi olarak görülebileceğini kestirmek önemli. Örneğin Bitcoin’in Taproot kısmına dahil olmak kara para aklamaya destek midir? Peki ya Monero’nun bir sonraki güncellemesine destek vermek?

Bloomberg’den Matt Levine “her şey menkul kıymet yolsuzluğu olabilir” diyor. Zira ABD’de Sermaye Piyasaları Kurumu (SEC) çok geniş bir tanım çerçevesinde görev yapabiliyor. SEC Başkanı Gary Gensler “ördek testi” olarak nitelendirdiği bir yöntemle suçu belirlediğini söylüyor. Aslında bu içgüdüsel bir testten başka bir şey değil. Aynı durum iletişim ve bilgi teknolojileri kullanarak işlenen finansal suçlar için de geçerli. 

Yine belirtelim ki bu şüpheli Tornado kod geliştiricisinin neden tutuklandığını tam olarak bilmiyoruz. Kriminal yapılar veya düşman devletler ile işbirliği içerisinde bazı paraların Tornado’ya yönlendirilmesine yardımcı oluyor olabilir. Ya da Kuzey Kore’ye seyahat ettiği ve herkese açık bazı bilgileri bir konferansta paylaştığı için cezalandırılmaya çalışılan Ethereum Foundation geliştiricisi Virgil Griffith pozisyonuna düşmüş olabilir. 

Ancak Griffith, bu seyahat öncesi ABD yetkilileri tarafından uyarılmış ve buna rağmen Kuzey Kore’ye gitmişti. Belki Ethereum’a dair çok bilinen ve temel bilgileri anlattı. Ancak bu bilgilerin yaptırımları delmek için kullanılabileceği de bir gerçek. 

Kripto karıştırıcılara bakıldığında ortadaki uyarı son derece net. Birinin bir uygulamayı yayınlaması, çalıştırması ve daha sonra ellerini yıkayarak hiçbir sorumluluk almaması artık çok zor. Uygulamayı nasıl kullanacakları kullanıcıların elinde olsa da, kodun bir geliştiricisi olduğu gerçeği değişmiyor. Bu geliştiriciler isimlerini açıklamasa daha iyi olacak gibi sanki…