Tornado Cash-ontwikkelaar veroordeeld voor maken criminele tool, niks neutrale privacytool

Photo by BilliTheCat on Pixabay

“Met oogkleppen op, geheel voorbijgaand aan het misbruik dat via en door Tornado Cash plaatsvond, is verdachte doorgegaan met het ontwikkelen en exploiteren van Tornado Cash.” Dat laat aan duidelijkheid niets te over: de rechtbank veroordeelt de maker van deze cryptocurrency-tumbler tot 64 maanden cel – niks neutrale privacytool.

Het verhaal begint enigszins dramatisch op 23 maart 2022:

De dag waarop de Lazarus Group zichzelf onrechtmatig toegang bleek te hebben verschaft tot Axie Infinity, een ontwikkelaar van online games op de Ethereum blockchain. Op die bewuste dag wordt door de Lazarus Group ETH, met een waarde van 625 miljoen USD, gestolen. Volgens het OM is een aanzienlijk deel van deze ETH, met een waarde van in totaal bijna 450 miljoen USD, via Tornado Cash witgewassen.
Witwassen is een strafbaar feit, als volgt gedefinieerd in de wet (art. 420bis Sr):
hij die van een voorwerp de werkelijke aard, de herkomst, de vindplaats, de vervreemding of de verplaatsing verbergt of verhult, dan wel verbergt of verhult wie de rechthebbende op een voorwerp is of het voorhanden heeft, terwijl hij weet dat het voorwerp – onmiddellijk of middellijk – afkomstig is uit enig misdrijf;
De betreffende Ether was afkomstig uit misdrijven, en werd via Tornado Cash verhuld. Het doel van dergelijke systemen – ook wel tumblers geheten – is om het moeilijk te maken de afkomst van het geld dat eruit komt te achterhalen. Dit gebeurt door allerlei munten met elkaar te mengen en te splitsen, vandaar de term.

Ik probeer dit zo neutraal mogelijk te beschrijven. Zoals ik bij de arrestatie van deze meneer blogde:

Maar als ik heel eerlijk ben, ik heb grote moeite een legitieme toepassing hiervoor te bedenken. Want ja ik vind dan “het is een neutrale tool waarmee je je privacy beschermt” toch een tikje te generiek als verweer. Of nou ja: naïef. Zeker als ik dan lees dat “minimaal één miljard dollar” (FIOD) van de zeven miljard doorvloeiend cryptogeld vrij zeker crimineel is (14%, andere bronnen komen bij 25%). Dan verwacht je iets meer in de reactie dan obligate opmerkingen over grondrechten.
Meer dan die obligate opmerkingen kwamen niet los tijdens de rechtszaak:
De intentie van de ontwikkelaars van [crypto-systeem] was nooit het overtreden van de wet of het faciliteren van criminele activiteiten, maar was het bieden van een legitieme privacy oplossing voor een groeiende behoefte in de cryptogemeenschap. [crypto-systeem] is daarmee een privacy tool die in een legitieme behoefte wil voorzien. Het is aan de gebruiker om deze software niet te misbruiken voor illegale doeleinden.
De rechter gelooft hier dus geen bal van. De iets juridischer discussie is wie er precies witwast – de persoon die er uit misdrijf verkregen munten in stopt en wit geld terugkrijgt, of de operator van de dienst? Die was niet triviaal, omdat het systeem opgezet is met smart contracts, zelfstandig opererende computerprogramma’s.

De rechtbank oordeelt toch dat je dit aan de verdachte kunt toewrijven:

[V]erdachte, [medeverdachte 1] en [medeverdachte 2] zijn de bedenkers, de makers en de uitvoerders van [crypto-systeem]. Daarmee zijn zij ook verantwoordelijk voor de (gevolgen van de) werking van deze tool. Het autonome, onveranderlijke en niet te stoppen karakter van de smart contracts werkt in dit verband niet disculperend. Dat is immers geen toevallige omstandigheid. Deze eigenschappen zijn het gevolg van bewuste keuzes van de ontwerpers. [crypto-systeem] werkt zoals het is bedacht. Naar het oordeel van de rechtbank kan verdachte daarom worden aangemerkt als pleger van de door [crypto-systeem] uitgevoerde witwashandelingen.
In december 2020 verschoof het beheer naar een zogeheten DAO: een Decentralized Autonomous Organisation, oftewel de gemeenschap van enthousiastelingen rondom de software. Daarbij werd er gedecentraliseerd gestemd, zij het dat bepaalde dingen onveranderlijk vastlagen in die smart contracts. Bovendien had de verdachte met zijn medeverdachten zo’n 30% van de stemmen, zodat hij hoe dan ook nog een forse vinger in de pap hield bij wat de software deed.

Blijft over of de verdachte dit alles opzettelijk deed – dus opzet op het witwassen.

Gelet op dit alles was het naar het oordeel van de rechtbank vanaf het begin voorzienbaar dat in [crypto-systeem] uit misdrijf afkomstige Ether zouden worden gestort, vanwege het verhullende effect van [crypto-systeem] . Dit is ook daadwerkelijk veelvuldig en in grote mate gebeurd. Verhullen is de facto steeds een kernactiviteit van [crypto-systeem] geweest. De kans dat de in [crypto-systeem] gestorte Ether van misdrijf afkomstig zouden zijn, was dan ook aanmerkelijk.
Zoals juristen dat zeggen, het aanvaarden van een aanmerkelijke kans is een vorm van opzet – voorwaardelijke opzet, om precies te zijn.

Het helpt natuurlijk niet als in de pers je dienst veelvuldig neergezet wordt als witwasdienst, en als de politie met enige regelmaat in de chat hangt vanwege criminele transacties en wat je daaraan gaat doen. En nee, dat is geen bewijs dat je crimineel wilde handelen, maar als je zulke dingen weet en je doet vervolgens niets om het criminele handelen van je klanten te stoppen, dan komt er een punt dat de rechter denkt, eigenlijk vond je het wel prima, je aanvaardde die situatie. En dan ga je voor de bijl.

Arnoud

 

10 reacties

  1. Ik moet zeggen dat de rechter een uitgebreid vonnis heeft geveld en dat de verdachte het “geluk” heeft om in Nederland veroordeeld te worden.

    Met Arnoud eens dat de juridische vraag wie het witwassen uitvoert in geval van “autonome contracten” nog niet definitief beantwoord is. (In hoeverre mag je de maker van een apparaat dat cash stortingen en opnames toestaat verantwoordelijk houden voor het misbruik van deze hardware?)

    Voor mij rest ook de vraag in hoeverre allerlei bancaire toezichtnormen (retroactief en extraterritoriaal) toepasselijk verklaard kunnen worden op cryptovaluta. Ik zie beroep aangetekend worden tegen dit vonnis.

    1. Welk geluk? Hij moest via een tolk zijn motieven uitleggen, terwijl de rechters gewoon Engels spreken. Daarbij de citeerde de rechter zijn eigen verklaringen, maar die waren dus eerst van het Engels naar Nederlands vertaald en vervolgens door de tolk weer terug naar het Engels (soms Russisch). Zo’n tolk weet niks was cryptocurrency, dus de rechter en advocaat waren continu vertaalfouten aan het corrigeren.

      En zoek maar eens een Nederlands sprekende advocaat met grondig verstand van cryptocurrency, witwaswetgeving (strafrecht én Wwft). Ik ken er nul. In de VS zijn ze ook zeldzaam, maar er zijn er een handje vol.

      Verder mag hij i.t.t. Nederlanders zijn hoger beroep niet in vrijheid afwachten, want hij is automatisch vluchtgevaar. Ondanks dat hij het afgelopen jaar met een enkelband prima had kunnen vluchten en toch gewoon kan opdagen voor dat vonnis.

      Dus ja, in Nederland krijgt hij een lagere straf dan in de VS. Maar dit was geen eerlijk proces te noemen.

      1. Dank voor jouw extra informatie, dat geeft mij wel een idee waar het verschil in de vonnissen (240 uur taakstraf vs. ruim 5 jaar cel) vandaan komt. Het maakt ook mijn vragen over de jurisdictie van de Nederlandse rechter nog indringender.

  2. Wat ik me nu afvraag, als die systemen blijven doordraaien, en doorgaan met geautomatiseerd witwassen, of dan je iedere keer weer opnieuw een strafzaak tegen deze personen kunt beginnen. Dat lijkt me dan uiteindelijk aardig excessief te worden, of kunnen we alle partijen die zo’n smart contract ondersteunen op hun nodes de opdracht geven daarmee te stoppen (waarmee je dus de facto het hele systeem stil legt, omdat je die niet meer los kunt weken van de rest van het mechanisme.)

    1. Da’s een leuke. Een analogie verzinnen is ontzettend ingewikkeld hier, en vooral: bij zo ongeveer alles ligt fysiek ingrijpen en alles ontmantelen voor de hand. Denk aan een seriemoordenaar die een automatisch schietend geweer monteert in een kerktoren, of een handlanger die elke week een nieuwe smaadbrief naar de krant stuurt. Dat is het allemaal niet, en bovendien kun je dan gewoon ergens ingrijpen.

      Intuïtief zeg ik dat offline halen van deze strafbare content moet kunnen onder de DSA, maar met software is dit nog nooit getest en ik denk dat je een apart vonnis nodig hebt dat de software als zodanig strafbaar is, en dan weet ik even niet het strafwetsartikel.

      Als ik de officier van justitie was in deze zaak, dan nam ik de auteursrechten op die software in beslag en ging ik gewoon notice/action doen op basis van het nu bij de Staat rustende auteursrecht. Die OSS licentie die er op zat, gaat niet mee bij zo’n overdracht van auteursrecht dus iedereen die een node draait, pleegt dan ineens auteursrechtinbreuk.

      1. Dank voor delen van je gedachtegang. Wat ik me in beslag nemen van auteursrechten dan weer afvraag: de jurisdictie van de staat beperkt zich tot Nederland, dus als je dan bij een buitenlandse partij aankomt, kan die gewoon reageren, leuk dat je het Nederlandse auteursrecht in beslag hebt genomen, maar over het auteursrecht in mijn land heb je niets te zeggen, die ligt gewoon nog bij de oorspronkelijke houder, dus toedeledokie met je inbreukclaim, ik heb gewoon een geldige licentie.

        (Een vergelijkbare zaak ging over een berucht boek van een berucht Duits dictator, waarvan de deelstaat Beieren het auteursrecht in beslag had genomen: daar ging een Zweedse rechter niet in mee: die stelde dat het Zweedse auteursrecht op dat werk niet bij de deelstaat Beieren lag, maar bij een verder onbekende partij, waardoor de deelstaat in Zweden niet ontvankelijk was voor een inbreukclaim.)

      2. dan nam ik de auteursrechten op die software in beslag en ging ik gewoon notice/action doen op basis van het nu bij de Staat rustende auteursrecht. Die OSS licentie die er op zat, gaat niet mee bij zo’n overdracht van auteursrecht

        Whoa, werkt dat zo? Dus als de Linux foundation de auteursrechten overdraagt, kan daarmee plotseling al het gebruik van Linux illegaal worden? Ik dacht dat eenmaal vergeven licenties niet zonder meer ingetrokken kunnen worden, ook al is er geen administratie van die licenties. Waarom zou dat anders zijn als de auteursrechtenhouder toevallig de officier van justitie is?

        1. Dat hoort niet te kunnen nee. Op zijn minst pleegt de overdrager contractbreuk naar de licentie nemers. De rechter kan hem dan bevelen het recht terug te halen of een licentie te kopen.

          Het lijkt niet geregeld dat een licentie vanzelf meegaat bij verkoop van het recht. Dit is anders dan bij huur van zaken, daar staat dat in de wet (koop breekt geen huur).

          Specifiek hier zie ik het wel werken omdat het geen verkoop of weggeven is maar een inbeslagname. Zeer speciaal geval dus.

  3. ik heb grote moeite een legitieme toepassing hiervoor te bedenken

    Weet je zeker dat je niet bedoelt dat je cryptocurrency nutteloos vindt? Ik vind Ethereum zelf ook een vrij onzinnig project. Maar gegeven dat er mensen zijn die het wél gebruiken, snap ik niet hoe je kan stellen dat die mensen geen recht op privacy hebben. En als die mensen dat recht wel hebben, dan is Tornado Cash de enige manier om dat recht te genieten.

    Anders gezegd: als een bedrijf personeel uitbetaalt op Ethereum, kan iedereen het salaris van hun collega’s zien. En klanten kunnen dat ook zien, omdat de geldstroom van klant naar bedrijf naar salaris (naar bekende hypotheek vertrekker) triviaal te volgen is. Veel makkelijker dan bij Bitcoin omdat in Ethereum adressen herbruikt worden (balans model vs. utxo model).

    Volgens mij overtreedt zo’n werkgever de AVG als die geen mixer gebruikt. Maarja, de AVG is tandloos en verliest altijd van anti-witwas wetgeving.

    De verdediging heeft salaris expliciet als argument ingebracht, de ontwikkelaars werden gevraagd door Silicon Valley bedrijven om een pot van 100 ETH te maken (toen minder dan een week salaris voor dat soort banen). De rechter negeerde dit, en wel meer. En omdat de Nederlandse rechtspraak ontransparant is weten alleen mensen die bij de zitting waren dat.

    De rechter en het OM doen alsof er een compromis mogelijk is tussen privacy en het surveillance belang van de staat. Maar ze noemen geen enkele oplossing. Die is er ook niet, voor zover ik weet, wie weet verzint iemand ooit iets. Privacy met een achterdeur werkt niet bij chat, ook niet bij geld.

    Pertsev koos hier voor privacy. Daar mag je het mee oneens zijn, maar de rechter moet dan wel eerlijk zijn over die keuze en de consequenties. En het niet afdoen als enkel ‘ideologie’.

    (het verhaal over de DAO en tokens is puur afleiding, ik had liever gezien dat ze dat niet gedaan hadden)

    1. Ik zie zeker maatschappelijke voordelen voor digitaal contant geld. Cryptocurrencies zijn zeker een innovatie geweest, en het is jammer dat deze niet meer tractie heeft gekregen. Net te vroeg gepiekt vrees ik, of mogelijk veel tegenwerking van de traditionele geldinstellingen.

      Ik zie het specifieke nut niet van het mixen van geld, en algemene kreten over je praaivacie veranderen daar niets aan. Het primaire doel van contant geld is niet dat je volledig privé en anoniem kunt betalen, maar dat je direct en zonder middleman kunt betalen. Het paper van Satoshi (dus niet van Craig Wright) benoemt dit letterlijk in haar eerste zin. Privacy komt pas in sectie 10 en die sectie legt nota bene uit dat je geen privacy moet verwachten in een systeem met een publiek grootboek en dat je via je sleutel te herleiden bent.

      Verder heb je als zakelijke actor altijd te maken met een complex aan belangen, en het is jouw taak daar een balans in te vinden. Je kunt niet zeggen “ik sta voor privacy, consequences be damned”, zeker niet als jij een centrale spil bent in misstanden. Dat is niet de maatschappij die wij hebben, noch die wij willen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.