שוברת קודיםהמעצר שמסעיר את שוק הקריפטו: האם כותב קוד אחראי לשימוש שנעשה בו?
שוברת קודים
המעצר שמסעיר את שוק הקריפטו: האם כותב קוד אחראי לשימוש שנעשה בו?
המעצר של מפתח טורנדו קאש, מערבל מטבעות וירטואליים, בחשד לסיוע בפשעים פיננסיים מבהיר: מפתח קוד אינו יכול לברוח מאחריות במקרה שגורמים פליליים ניצלו לרעה את הפלטפורמה שהמציא
האם מפתח שכותב קוד בו משתמשים רבים אחרים אחראי לשימוש שעושים בו? שאלה זו עומדת בלב פעילות אכיפה שמעסיקה את שוק הקריפטו בשבועות האחרונים.
באוגוסט אחד ממפתחי "טורנדו קאש", פלטפורמה פתוחה שנועדה להגביר את פרטיות המשתמשים, נעצר באמסטרדם על ידי סוכנות מקומית (FIOD) שנלחמת בפשעים פיננסיים. הבחור בן ה־29 חשוד ב"מעורבות בהסתרת תנועות פיננסיות פליליות וסיוע בהלבנת הון". אך האם חלה עליו אחריות כשאנשים השתמשו באופן פלילי בקוד הפתוח שכתב?
טעות נפוצה אחת על שוק הקריפטו היא שהוא שומר על פרטיות המשתמשים בקנאות. טעות היסטורית זו מתבקשת למדי, שהרי עולם זה כולו התפתח ממאמץ מאורגן לפתח אמצעי העברת ערך מוצפנים ומנותקים ממערכות קיימות, כך שמדינות וגופים ממשלתיים ופרטיים ריכוזיים אחרים לא יוכלו להפעיל על אמצעי זה שליטה או לכפות עליו חוקים.
אך האמת היא שבשוק הקריפטו אין הרבה פרטיות. בשל טבעו השקוף ניתן לייחס ארנקים דיגיטליים, ולכן פעילות פיננסית, למשתמשים ספציפיים. מציאות זו הביאה לכך שמי שמנסה לשמור על פרטיות פיננסית בשוק הקריפטו צריך להלבין לעצמו את הכסף.
הכירו את טורנדו קאש, מערבל מטבעות וירטואליים שפותח ב־2019 והוא אחד מיני רבים. הפלטפורמה מקבלת מטבעות קריפטו ממגוון עסקאות ומערבבת אותן יחדיו לפני שמעבירה אותן לנמענים הספציפיים שלהם. פעולה זו מערפלת את מקור ויעד הנכסים כמו גם את הצדדים המשתתפים בעסקאות. מטרת השירות היא להגן על פרטיות משתמשים, ובהם שחקנים רעים שמשתמשים בו להלבנת כספים שנשדדו או שימשו לעסקאות לא חוקיות.
טורנדו קאש עצמו הוא קוד פתוח, והפעולות שמתרחשות בו מתבצעות באמצעות "חוזה חכם", תוכנה שמופעלת אוטומטית בהינתן תנאים מסוימים. מלבד הקוד שנכתב, אין מעורבות "אדם" או ישות מוגדרת ספציפית שאחראית לפעילות.
משרד האוצר האמריקאי העריך לאחרונה שמאז שהוקם ועד היום עברו בשירות נכסים בשווי 7 מיליארד דולר. חברת ניתוח הבלוקצ'יין Elliptic מצאה כי לפחות 1.5 מיליארד דולר מתוכם מקורם בפשעים כמו מתקפות כופר, פריצות והונאה שהולבנו בפלטפורמה. בין הנכסים גם 445 מיליון דולר שנגנבו במרץ האחרון על ידי לזארוס, קבוצת האקרים בשירות צפון קוריאה. הקבוצה הצליחה לנצל חולשה ברשת שתומכת במשחק הקריפטו Axie Infinity ולגנוב ממנה נכסים בשווי 625 מיליון דולר.
מיקסר כינוי לשירות בשוק הקריפטו אליו מוזרמים מטבעות כדי שיתערבבו אחד עם השני, ואז מוזרמים לנמענים המקוריים במטרה לטשטש את מקור ויעד הנכסים
באוגוסט החליטו הרשויות האמריקאיות להוסיף את טורנדו קאש לרשימה שחורה תוך שהם מציינים את פריצת העתק של קבוצת לזארוס. משמעות הסנקציות היא חסימת רכוש הפרויקט (בעת ההודעה היו עליו כ־400 מיליון דולר בנכסים), איסור להשתמש בו ואיסור לתרום לפלטפורמה כסף, משאבים או שירותים.
"למרות הבטחות ציבוריות, טורנדו קאש נכשל שוב ושוב בהטלת בקרות אפקטיביות שנועדו למנוע הלבנת כספים עבור גורמי סייבר זדוניים על בסיס קבוע וללא אמצעים בסיסיים לטיפול בסיכונים של השירות", כתבו בהודעה.
בהתאם מטבע הקריפטו שמייצג את הפרויקט, TORN, התרסק מכ־30 דולר למטבע לכ־8 דולר. הקוד של הפרויקט נמחק מ־GitHub (אף שמדובר בפעולה חסרת משמעות לפעילות), וכך גם חשבון GitHub של אחד ממייסדי טורנדו קאש רומן סמנוב. "חשבון @GitHub שלי הושהה זה עתה", כתב במחאה. "האם כתיבת קוד פתוח אינה חוקית כעת?". כמה ימים אחרי ההודעה הודיעו הרשויות בהולנד כי עצרו את אחד ממפתחי השירות בשל מעורבותו ב"הלבנת הון" וקשריו ל"תנועות פיננסיות פליליות".
בשנות התשעים התחיל להתבסס הרעיון כי כתיבת קוד מוגנת באמצעות הזכות לדיבור. באותה העת פעלה ממשלת ארצות הברית להגביל את היכולות של קריפטוגרפים לפרסם את עבודתם באופן חופשי, בטענה שמדובר בפיתוחים טכנולוגיים מהותיים לביטחון הלאומי של המדינה, וכי קוד (במקרה מהדובר היה קוד הצפנה) שקול ל"תחמושת" עליה חלים מגבלות יצוא וחובות של רישוי.
בפסיקה משפטית ייחודית נקבע כי קוד אינו שקול לתחמושת, אלא מייצג שפת מחשב ולכן שקול לדיבור, ומגבלות מסוג אלו מפרות את זכותו החוקתית של המפתח. "אין הבדל משמעותי בין שפת מחשב, במיוחד שפות ברמה גבוהה... לבין גרמנית או צרפתית", נכתב בפסיקה, "כמו מוזיקה ומשוואות מתמטיות, שפת מחשב היא בדיוק שפה והיא מעבירה מידע למחשב או למי שיכול לקרוא אותו". בית משפט פדרלי אישרר את הפסיקה בערעור ופסק כי קוד "הוא אמצעי אקספרסיבי לחילופי מידע ורעיונות".
במובנים אלו נראה כאילו הקוד של טורנדו קאש הוא יצירה אקספרסיבית ופוליטית במיוחד, שמבטאת רעיון להגן על פרטיות משתמשים. מה שפושעי סייבר ואחרים עושים עם המוצר שפיתח אותו אדם לא בהכרח מייצג את עמדותיו, ואין לראות בו אחראי לפעולותיהם.
"לממשלה אולי יש דאגות לגיטימיות לגבי נגע תוכנות הכופר והנזקים שמציגים המשטר הלא דמוקרטי בצפון קוריאה", כתבה בעמדתה על מקרה טורנדו קאש קרן החזית האלקטרונית (EFF), מהשחקנים הבולטים בהגנת זכויות הפרט בעידן המידע, "אך הנזק מהעברות כספים אינו נובע מהיצירה, הפרסום והלימוד של קוד המקור של טורנדו קאש עבור טכנולוגיות להגנה על הפרטיות".
אף שב־EFF צודקים הם אינם צודקים לגמרי. ההקבלה לדיבור התקבלה לא אחת, אך גם עוררה בהצלחה לא פחות, וככל שמגזר הטכנולוגיה ממשיך ומתפתח כך גם מתפתח המאמץ להבחין בין הגנה אחת לשנייה.
ההקבלה בין קוד מחדש ודיבור מפתה, שני הצדדים מורכבים מתווים שחיבורם בצורה ייחודית מאפשר תקשורת, זוהי תקשורת שמוגבלת למחשבים. ההגנה על דיבור לא מעניקה את הזכות לדבר בחופשיות מוחלטת, אלא שואלת האם, אם בכלל, הממשלה צריכה לפקח, להסדיר או להגביל את הדיבור, כל דיבור שלא יהיה. האם היא צריכה למשל לצנזר עיתונים או לאסור על פורנוגרפיה? הזכות אינה מגנה על היכולת הפיזית לדבר, ולכן אינה מגנה גם על היכולת לכתוב קוד. לו היתה מוגנת באופן כזה, חברות טכנולוגיה היו פועלות ללא כל רגולציה.
ב־2019 רעיונות אלו נבחנו שוב על ידי הרגולטורים. אז חסמה רשות ני"ע האמריקאית בורסת קריפטו שכמו טורנדו קאש הופעלה רק באמצעות קוד. הרשות סגרה את השירות וקנסה את המפתח ב־300 אלף דולר משום שלטענתה הוא "כתב ופרס" את הקוד ש"היה צריך לדעת" שיתרום להפרת חוקים.
השאלה שנשאלת היום היא אם הגבלה של קוד מסוים מאיימת על ערכי חופש הביטוי? האם כתיבת הקוד של טורנדו קאש היא דיבור, ועוד דיבור מוגן? האם אפשר להניח שהמפתח היה צריך לדעת שהמוצר שלו יביא להפרת חוקים נגד הלבנת הון? ייתכן. האם זה אומר שהוא אחראי לשימוש לרעה שנעשה בקוד? נראה שהרגולטורים חושבים שכן.