2022'de ekonomik yaptırımları uygulayan ABD Hazine birimi OFAC, Tornado Cash'e yaptırım uyguladı, ancak çoğu kişinin düşündüğü şekilde değil. Hazine, bir kişiyi, şirketi veya web sitesini değil, doğrudan dağıtılmış smart-contract kodunu hedef aldı. Bu, herhangi bir hükümetin otonom bir blockchain programını yaptırım listesine aldığı ilk Tornado Cash vakası oldu ve bugün USDC, USDT ve DAI'nin nasıl taranıp dondurulduğunu şekillendiren emsal haline geldi.
Öne çıkanlar
- OFAC, 8 Ağustos 2022'de Tornado Cash'in smart-contract koduna yaptırım uyguladı, ardından bir mahkeme itirazından sonra 2024'te bu işlemi daralttı ve 2025'te blockchain rehberliğini güncelledi.
- Circle ve Tether gibi stablecoin ihraççıları fonları smart-contract düzeyinde dondurabilir, bu yüzden uyumlu front-end'ler, bir işlem kesinleşmeden önce yaptırıma tabi adresleri engeller.
- 'Front-end ve protokol' ayrımı önemlidir: Bir Tornado Cash web sitesini barındırmak yaptırıma tabi olabilir, ancak Fifth Circuit orijinal emri daralttıktan sonra açık kaynak kodu yazmak veya kullanmak yaptırıma tabi değildir.
- 2026'da USDC kullanan bir protokol için OFAC uyumu çoğunlukla uç noktalarda tarama yapmakla, blockchain analizleri ve adres listesi denylist'leri kullanmakla ilgilidir.
OFAC 2022'de Tornado Cash'e gerçekte ne yaptı?
OFAC, ekonomik yaptırım programlarını yöneten ABD Hazine Bakanlığı'nın bir birimi olan Office of Foreign Assets Control'dür. OFAC bir kuruluşu Specially Designated Nationals (SDN) listesine eklediğinde, ABD kişilerin onunla işlem yapması yasaklanır ve ABD yargı alanındaki her türlü mal varlığının bloke edilmesi gerekir.
8 Ağustos 2022'de OFAC, Tornado Cash'i SDN listesine ekledi. Resmi basın açıklaması, protokolün Kuzey Kore devletine bağlı bir hacker birimi olan Lazarus Group tarafından çalınan 455 milyon dolardan fazla tutarın aklanmasındaki rolüne atıf yaptı. Buna Mart 2022 Ronin Bridge hack'inden elde edilen gelirler de dahildi. Tornado Cash ayrıca daha önceki istismarlardan elde edilen fonları aklamak ve non-fungible token (NFT) soygunlarında çalınan ether'in kaynağını gizlemek için de kullanılmıştı.
Alışılmadık adım, hedef seçimiydi. OFAC geliştiricileri isimleriyle listeye eklemedi. On-chain smart-contract adreslerinin kendilerine yaptırım uyguladı: Ethereum üzerindeki yatırma sözleşmesi, doğrulayıcı sözleşme, yönetişim sözleşmesi, proxy sözleşmesi ve birkaç yardımcı havuz. Yaptırım hukukunda bu yeniydi, çünkü SDN listesi daha önce halka açık bir zincirde kendi kendini yürüten kodu değil, kişileri, işletmeleri, gemileri ve uçakları belirlemek için kullanılmıştı.
Hemen ardından iki şey oldu. Dolara endeksli bir stablecoin olan USDC'nin ihraççısı Circle, Tornado Cash havuz adreslerini kendi dahili kara listesine ekledi ve bu sözleşmelerde duran yaklaşık 75.000 dolarlık USDC'yi dondurdu. tornado.cash alan adı, ABD kişilere yönelik rehberlik kapsamında barındırma sağlayıcısı tarafından çevrimdışı bırakıldı ve geliştiricilerden birine ait GitHub organizasyonu askıya alındı. Hollandalı geliştirici Alexey Pertsev, ertesi hafta Hollanda'da tutuklandı. Davası, ABD'deki listelemeyle ayrı olan kara para aklama suçlamalarıyla Avrupa mahkemelerinde hâlâ devam ediyor.
Bu neden yalnızca teknik değil, hukuki bir mücadeleye dönüştü?
Koda yaptırım uygulanması bariz bir soruyu gündeme getirdi: Listeleme öncesinde Tornado Cash'e fon yatırmış, ancak çekimlerinin engellendiğini veya fonlarının kilitli kaldığını gören binlerce kullanıcı ne olacaktı? Coinbase, Kraken ve diğerleri bu çekimleri işlerlerse uyum riskini üstlenmek durumunda kalacaktı. Bir kullanıcı grubu, Coinbase'in fonlama kolu ve kripto savunuculuk grubu Coin Center'ın desteğiyle dava açtı.
Davacılar özünde, bir smart contract'ın yaptırıma tabi bir taraf değil, bir araç olduğunu savundu. Hazine'nin otonom kodu kara listeye almasına izin vermenin, OFAC'a yasa dışı fonlara temas eden herhangi bir açık kaynak yazılımı fiilen yaptırıma tabi tutma imkânı vereceği uyarısında bulundular. Van Loon v. Department of the Treasury davası, Teksas'taki bir federal bölge mahkemesinden geçti ve Fifth Circuit Court of Appeals'a ulaştı.
Kasım 2023'te bölge mahkemesi OFAC'ın yetkisini aştığına hükmetti ve değiştirilemez bir smart contract'ın olağan anlamda bir yabancı uyruklunun mal varlığı olmadığına karar verdi. OFAC temyize gitti ve Kasım 2024'te Fifth Circuit, değiştirilemez Tornado Cash sözleşmelerinin OFAC'ın kullandığı yasa olan International Emergency Economic Powers Act (IEEPA) kapsamında 'mal varlığı' olarak bloke edilemeyeceğini onadı. Ancak mahkeme, bu kararın protokolü veya kullanıcılarını onayladığı anlamına gelmediğini dikkatle belirtti. Karar yalnızca bir hukuki teoriyi daralttı.
2024 kararı ve 2025 rehberi gerçekte neyi değiştirdi
Fifth Circuit kararına yanıt olarak OFAC, Mart 2025'te orijinal Tornado Cash smart-contract adreslerini SDN listesinden çıkardı. Ancak 'SDN listesinde değil' demek 'temiz' demek değildir. OFAC liste güncellemelerini sürdürür ve Lazarus Group, Rus yaptırımlarından kaçınma hizmetleri ve uzun bir cyber-crime varlıkları kuyruğuyla ilişkili adresleri işaretlemeye devam eder. Tornado Cash'in kendisi, özellikle European Union içinde kendi yaptırım çerçevesi aracılığıyla, diğer yargı alanlarında inceleme altında kalmaya devam ediyor.
Buna paralel olarak OFAC, digital-asset sektörü için uyum rehberini yeniledi. Virtual currency uyumuna ilişkin 2021 rehberinin bir uzantısı olan 2025 güncellemesi, büyük ölçüde blockchain analytics'e dayandı. Treasury artık kapsamdaki kuruluşların karşı tarafları izlemek ve belirlemek, yüksek riskli akışlarda fonların kaynağını belgelemek ve bir analytics güven skoru iç eşikleri aştığında işlemleri reddetmek için 'ticari olarak makul' analytics araçları kullanmasını bekliyor. Kesin eşikler yayımlanmıyor. Bu da OFAC'ın bakış açısından bilinçli bir özelliktir; firmalardan kendi risk modellerini ayarlamaları ve ardından denetimler sırasında bu modelleri savunmaları beklenir.
2025 rehberi, Tornado Cash emsali ile stablecoin kullanan bir protocol'ün günlük işi arasındaki pratik köprüdür. 2022'den önce birçok uyum ekibi blockchain adreslerini opak dizeler olarak görüyordu. 2022'den sonra bu adresler birinci sınıf risk vektörlerine dönüştü: her biri için sahibinin kim olduğu, fonların nereden geldiği ve bir ilişkinin baştan izinli olup olmadığı konusunda bir değerlendirme gerekir.
Front-end ile protocol ayrımı, sade bir dille
Tornado Cash'in iki ayrı bileşeni vardır ve US yaptırım hukuku bunları farklı şekilde ele alır. Protocol, Ethereum mainnet'e dağıtılmış smart contract kümesidir. Herkes kodun bir kopyasını farklı bir chain'e dağıtabilir, GitHub repository'sini fork'layabilir veya orijinal contracts'ı doğrudan bir node üzerinden çağırabilir. Front-end, para yatırma ve çekme akışını tek tıklamalı bir arayüze indirgeyen tornado.cash adlı web sitesiydi.
2022'deki listelemeden sonra OFAC, US persons'ın yaptırım uygulanan contracts ile etkileşime girmesine yardımcı olan bir front-end işletmenin başlı başına yaptırıma tabi bir hizmet olduğunu açıkça belirtti. Orijinal .cash domain'inin ele geçirilmesinin, topluluk tarafından işletilen mirror'ların kaldırılmasının ve barındırılan bir UI sunan US merkezli bir geliştiricinin enforcement riskiyle karşılaşmasının nedeni budur. Buna karşılık Fifth Circuit, GitHub dahil olmak üzere temel kodu yazmanın ve yayımlamanın, söz konusu özel kararda First Amendment kapsamında korunan ifade olduğuna hükmetti. Bunun US'ye özgü anayasal bir argüman olduğunu ve otomatik olarak diğer hukuk sistemlerine aktarılmadığını unutmayın.
İki buçuk yıl sonra pratik sonuç, uyum ekiplerinin her gün kullandığı temel ayrımdır. 2026'da hukuki risk nadiren koddur. Asıl risk dağıtımdır. Kullanıcıların fonları yaptırım uygulanan adresler üzerinden yönlendirmesine yardımcı olan bir hizmeti işletmek, barındırmak veya pazarlamak, 'eğitici' bir front-end olsa bile, OFAC'ın harekete geçmeye istekli olduğu alandır.
Circle, Tether ve DAI fonları gerçekte nasıl dondurur
Stablecoin'ler iki uyum türüne ayrılır. İlki merkezi yapıdadır ve baskın olan budur: Circle tarafından çıkarılan USDC, Tether tarafından çıkarılan USDT ve borsaların ihraç ettiği token'ların çoğu. Bu token'ların contract içinde, tek tek adresleri blacklist'te tutabilen veya aktarabilen bir admin rolü vardır. Circle bir adresi blacklist'e aldığında, o adresteki hiçbir USDC hareket edemez ve contract gelen tüm transferleri reddeder. Dondurulan USDC süresiz olarak orada kalır; teoride yalnızca bir mahkeme kararı veya Circle içi bir süreç onu çözebilir.
Mekanik önemlidir. Stablecoin dondurma listeleri chain üzerinde herkese açık event'lerdir. Ethereum node çalıştıran herkes contract'ın blacklist storage slot'unu okuyabilir ve uyum ekipleri de bunu yapar. Dondurmalar smart-contract düzeyinde gerçekleştiği için müdahaleye dayanıklıdır: merkezi bir borsa blacklist'e alınmış bir kullanıcıya hizmet vermeye devam etmek istese bile bunu yapamaz, çünkü USDC'nin kendisi kullanıcının wallet'ından çıkmayı reddeder.
Tether tarafından çıkarılan USDT aynı modeli kullanır. Tether, hack'ler ve yaptırımlarla bağlantılı yüz milyonlarca dolarlık USDT'yi, bazen kamuya açıklama yapmadan dondurmuştur. Eleştirmenler, hangi adreslerin neden engellendiği konusunda Tether'in Circle'dan daha az şeffaf olduğunu, bunun da USDT'yi uyuma duyarlı bağlamlarda kullanmayı zorlaştırdığını savunur.
MakerDAO protocol tarafından işletilen DAI farklı bir yol izler. DAI, Maker vault'ları üzerinden çıkarılan, aşırı teminatlandırılmış crypto-backed stablecoin'dir ve dondurma mekanizması merkezi bir admin key yerine MKR token oylaması yoluyla topluluk tarafından yönetilir. Pratikte Maker, belirli vault'ların 'emergency oracle' kapatmaları yoluyla US kolluk kuvvetleriyle iş birliği yapmıştır ve bireysel DAI sahipleri, karşı tarafları yaptırım kapsamındaysa yaptırıma tabi hale gelebilir. DAI'nin uyum duruşu governance'a bağlıdır. Bu, merkeziyetsizlik savunucuları için bir özellik, düzenlemeye tabi kurumlar için ise bir risktir.
Borsalar ve protocol'ler stablecoin akışlarını nasıl tarar
Uyum çalışması bir stablecoin ağının içinde değil, kenarında gerçekleşir. Bir kullanıcı merkezi bir borsaya USDC yatırdığında, para yatırma adresi milisaniyeler içinde çalışan bir tarama hattından geçer. Tipik adımlar:
- Adres taraması. Para yatırma adresi ticari denylist'lere (Chainalysis, TRM Labs, Elliptic, Merkle Science) ve proprietary risk skorlarına karşı kontrol edilir. Temiz bir adres geçer; yüksek riskli bir adres manuel incelemeyi tetikler.
- Fon kaynağı izleme. Daha yüksek değerli veya daha yüksek riskli yatırımlar için borsa fonları iki ila on hop geriye doğru izler, mixer'lara, sanctions cluster'larına veya bilinen exploit gelirlerine dolaylı maruziyetleri işaretler.
- Hedef taraması. Para çekme sırasında alıcı adresi aynı şekilde kontrol edilir. Bazı borsalar, birkaç hop sonrasında bile yakın bir zaman aralığında yaptırım uygulanan bir kaynaktan fon almış adreslere para çekme işlemlerini reddeder.
- Travel rule verileri. Yargı alanına bağlı olarak yaklaşık $3,000 ile $1,000 üzerindeki transferler originator ve beneficiary bilgilerini taşımalıdır. Crypto'da bu, üçüncü taraf protocol'ler aracılığıyla uygulanır, çünkü chain üzerindeki USDC transferinin kendisi kimlik bilgisi taşımaz.
- Periyodik yeniden tarama. Para yatırma anında temiz olan bir adres, altta yatan sahibi yaptırıma tabi olduğunda daha sonra riskli hale gelebilir. Borsalar taramayı sürekli olarak yeniden çalıştırır ve hesapları sonradan dondurur.
Decentralized protocol'ler için tablo daha belirsizdir. Aave veya Compound gibi borrowing ve lending için yaygın kullanılan DeFi protocol'leri olan bir lending market, governance oylaması olmadan yaptırım uygulanan adresleri kolayca engelleyemez ve o durumda bile yalnızca belirli işlevler (front-end hosting, oracle feed'leri, interface listing'leri) hedeflenebilir. Smart contract'lar sizin kim olduğunuzu bilmez. Düzenleyici odağın front-end katmanında kalmasının nedeni budur: tanımlanabilir operator'lara sahip olan katman odur.
2026'da USDC kullanan bir protokol için ABD yaptırım maruziyeti nasıl görünür?
ABD merkezli bir ekibin USDC mevduat kabul eden, rezervleri çok imzalı bir cüzdanda tutan ve ABD dışındaki kullanıcılara getiri ödeyen bir protokol yürüttüğünü varsayalım. Yığının her parçasının kendine özgü bir OFAC risk profili vardır.
Cüzdan katmanı: ABD kişileri tarafından tutulan bir multisig, yaptırım uygulaması için en kolay hedeftir. Treasury, bu imzacılardan yaptırım uygulanan adreslere yönelik işlemleri onaylamamalarını isteyebilir ve bu girişimleri tespit etmeye yarayan analiz araçları olgunlaşmıştır. Fiili beklenti, ABD'li imzacıları olan her multisig'in imzalamadan önce bir tarama adımı yürütmesidir.
Uygulama katmanı: front-end, işaretlenmiş kümelerle temas eden mevduat adresleri oluşturmayı veya çekim akışları başlatmayı reddetmelidir. Düzenlemeye tabi ekiplerin çoğu artık kullanıcıların kayıt sırasında yaptırım taramasından geçmesini ve periyodik olarak yeniden taranmasını şart koşuyor.
Hazine katmanı: protokolün kendi stablecoin rezervleri gözden kaçabilen bir risktir. Protokol yaptırım uygulanan bir kaynaktan USDC alırsa, Circle bu fonları varış anında dondurur. Yani protokoldeki hiç kimse yanlış bir şey yapmamış olsa bile protokol sermayeyi kaybeder. Yaygın geçici çözüm, gelen transferleri gerçek zamanlı izlemek, lekeli fonları manuel olarak iade etmek ve nadir zarar yazma durumlarını karşılamak için hukuki bir rezerv tutmaktır.
Ekip katmanı: 2026'da OFAC'ın beklentileri insan tarafına da uzanır. Kurucular, çalışanlar ve önemli token sahipleri kendileri de yaptırım uygulanan taraflar haline gelebilir, bu nedenle temel inceleme; geçmiş kontrollerini, katkıda bulunanların yaptırım taramasını ve yatırımcı cüzdanlarının sürekli izlenmesini içerir.
OFAC'ın stablecoin yaptırım uygulamalarını eleştirel okuyun
Stablecoin yaptırımlarının uygulanması hızla ilerliyor ve etrafındaki haber akışı da öyle. Hangi adreslerin yaptırıma tabi olduğunu, hangi protokollerin soruşturma altında bulunduğunu ve hangi yaptırım işlemlerinin uzlaşmayla sonuçlandığını takip etmek tam zamanlı bir iştir. Zippfeed, OFAC güncellemeleri, Tornado Cash takip gelişmeleri, stablecoin dondurmaları ve DAO yönetişim çağrıları dahil olmak üzere düzenleme başlıklarını, duygu puanlaması (bullish, neutral veya bearish) ve önem derecelendirmesiyle öne çıkarır. Böylece sinyali gürültüden ayırabilir, protokolünüz veya portföyünüz bir sonraki manşet olmadan önce harekete geçebilirsiniz.
SSS
Tornado Cash hâlâ yasaklı mı?
Tornado Cash smart-contract adresleri, Fifth Circuit'in bunların IEEPA kapsamında mülk olarak yaptırıma tabi tutulamayacağına hükmetmesinin ardından Mart 2025'te OFAC'ın SDN listesinden çıkarıldı. Protokolün kendisi bugün sözleşme düzeyinde aktif olarak yaptırıma tabi değildir, ancak OFAC ilişkili adresleri işaretlemeye devam ediyor, birkaç Avrupa düzenleyicisi onu yaptırıma tabi bir varlık olarak görüyor ve geliştirici Alexey Pertsev Hollanda'da yargılanmaya devam ediyor.
Circle USDC'mi herhangi bir nedenle dondurabilir mi?
Circle, kara listesine giren herhangi bir adresteki USDC'yi dondurabilir. Bu genellikle söz konusu adresin bir yaptırım tanımlamasıyla, bilinen bir istismarla veya mahkeme emriyle bağlantılı olması durumunda olur. Dondurulan USDC adreste kalır; yok edilmez veya yakılmaz ve çözülme teorik olarak mümkün olsa da nadirdir. Pratikte bir bireysel kullanıcının dondurulmasının en yaygın nedeni dolaylı maruziyettir: kullanıcı, kendisi de yaptırım uygulanan bir kaynaktan fon almış bir cüzdandan USDC almıştır.
dApp'imde stablecoin adreslerini taramam gerekiyor mu?
dApp'inizin ABD kişileriyle herhangi bir temas noktası varsa, buna ABD merkezli ekip üyeleri, ABD'de barındırılan front-end'ler veya ABD yargı alanındaki kullanıcılar dahilse, ihtiyatlı cevap evettir. Front-end'de tarama, OFAC'ın kullandığı pratik uygulama sınırıdır ve bunu kurmak daha sonra dava etmekten çok daha ucuzdur. ABD ile bağlantısı olmayan, yalnızca merkeziyetsiz protokol projelerinin deneme yapmak için daha fazla alanı vardır, ancak UI'ı kimin çalıştırdığı sorusu sonunda gündeme gelir.
OFAC geliştiriciler yerine neden bir smart contract'ı yaptırıma tabi tuttu?
OFAC'ın 2022 tanımlaması Tornado Cash'i sanal para aklayan bir 'siber destekli faaliyet' olarak çerçeveledi, bu nedenle kesintiyi en üst düzeye çıkarmak için dağıtılmış sözleşmeleri doğrudan yaptırıma tabi tuttu. Bu tercih, değiştirilemez kodun yabancı bir vatandaşın 'mülkü' olmadığı gerekçesiyle derhal hukuki itirazlara yol açtı. Fifth Circuit 2024'te bunu kabul etti. OFAC'ın 2025'te sözleşmeleri listeden çıkarmasının, ancak pratik yaptırım ağırlığını adreslere, operatörlere ve front-end'lere kaydırmasının nedeni budur.