Más que solo Ooki DAO: Lecciones para las empresas de la Web3 sobre el control después de bZx

En septiembre, la Comisión de Comercio de Futuros de Productos Básicos (CFTC) presentó dos acciones contra bZeroX, sus dos cofundadores y la organización autónoma descentralizada (DAO) Ooki por violaciones de la Ley de Intercambio de Productos Básicos y las regulaciones subyacentes.

Si bien la acción de la comisión contra Ooki DAO es sin duda un hito significativo, hay otros aspectos importantes de estas acciones de cumplimiento que también merecen mucha atención, incluso por lo que nos enseñan sobre cómo los reguladores ven el control de los protocolos Web3 para sortear obstáculos técnicos y responsabilizar a los operadores.

David J. Kappos es socio del departamento corporativo de Cravath, Swaine & Moore y copresidente del área de propiedad intelectual de la firma. Evan Mehran Norris es socio del departamento de litigios de Cravath, Swaine & Moore y miembro del área de investigaciones y cumplimiento normativo de la firma. Daniel M. Barabander es asociado del departamento corporativo de Cravath, Swaine & Moore.

En los últimos años, hemos escuchado repetidamente de los participantes de la industria que la aplicación de la ley contra las plataformas Web3 es improbable, o incluso imposible, debido a que las regulaciones existentes presentan incompatibilidades arquitectónicas con la funcionalidad de la plataforma, lo que hace que el concepto de cumplimiento sea inadecuado. Esta opinión debería desecharse definitivamente. Como lo han demostrado el Departamento del Tesoro de EE. UU. (Tornado Cash) y ahora la CFTC, los reguladores pueden y presentarán argumentos contundentes para sortear las posibles barreras a la aplicación que presenta la Tecnología Web3.

El área donde vemos repetidamente a los reguladores BLUR la línea entre la realidad técnica y sus objetivos regulatorios es el control de un protocolo descentralizado. El protocolo bZx, como todos los protocolos basados ​​en Ethereum, se construye mediante contratos inteligentes, cuya característica distintiva es que no requieren un operador centralizado para ejecutar su código; se ejecutan de forma autónoma. Este es un desafío que la Tecnología blockchain presenta a los reguladores en general: ¿cómo exigir responsabilidades a las personas por un código que no requiere la identificación de personas para su ejecución?

La acción de cumplimiento de bZx demuestra cómo al menos un regulador clave está pensando en el control de los protocolos Web3 con el fin de exigir responsabilidades a los operadores: examinando tanto el control técnico como el comercial para trazar la línea entre personas identificables y protocolos ejecutados de forma autónoma.

Control técnico

El control técnico se refiere a los mecanismos técnicos que utilizan los desarrolladores de protocolos para controlar su protocolo a nivel de contrato inteligente, a menudo mediante la definición de funciones exclusivas para administradores que solo pueden ser invocadas por partes específicas. El control técnico es fundamental para el análisis de la CFTC. De hecho, determina los dos períodos que la CFTC establece: el «Período Relevante de bZx» y el «Período Relevante de DAO».

Durante esos dos períodos de tiempo, la CFTC se centra en cuatro palancas de control (funcionalidades solo de administración retenidas por bZeroX y los cofundadores, y posteriormente, la DAO): (1) actualizar los contratos inteligentes de protocolo; (2) pausar o suspender las operaciones; (3) pausar o suspender las contribuciones o retiros de activos y reembolsos; y (4) dirigir la disposición de los fondos mantenidos en los contratos inteligentes de protocolo.

El principal mecanismo de la CFTC para señalar casos en los que estas partes sí ejercieron dicho control se relaciona con dos exploits. En primer lugar, cita un hackeo de 55 millones de dólares que sufrió el protocolo en noviembre de 2021 tras un "ataque de pesca submarina contra un desarrollador de bZx DAO".

En respuesta a la violación, la DAO ejerció su control sobre los fondos de la tesorería, al “votar para utilizar fondos de la Tesorería de la DAO bZx para compensar a ciertos miembros de la DAO bZx y otros usuarios del Protocolo bZx que perdieron fondos en relación con” el incidente.

En segundo lugar, la comisión cita una vulnerabilidad de préstamo de margen en febrero de 2020 dirigida a bZx y que provocó la pérdida de 1300 ETH envueltos. Para detener la pérdida, bZeroX utilizó sus claves para pausar las operaciones y los retiros, e implementar correcciones en el código del contrato inteligente para abordar las pérdidas existentes o potenciales del protocolo bZx causadas por el incidente.

Como demuestran estos dos incidentes, el control técnico es fundamental en los exploits de Web3 porque (a) presenta puntos de fallo centralizados y, por lo tanto, un vector de ataque atractivo en sistemas descentralizados, y (b) existe para permitir que un protocolo responda rápidamente a emergencias. Las respuestas a estos ataques permiten a los reguladores demostrar fácilmente el control técnico y, por lo tanto, la identificación de los operadores del protocolo.

Control empresarial

La CFTC también señala repetidamente “controles comerciales” más suaves para demostrar que los encuestados tenían el control del protocolo bZx y, por lo tanto, deberían ser responsables.

La comisión se centra más claramente en el hecho de que los encuestados “diseñaron, implementaron, comercializaron y realizaron solicitudes” en relación con el protocolo bZx.

En primer lugar, es evidente que la CFTC considera la operación de un sitio web front-end para interactuar con el protocolo bZx como una forma de control empresarial. La CFTC cita el front-end como un vehículo para comercializar, solicitar órdenes y facilitar el acceso al Protocolo bZx, ya que permitía a los usuarios, con solo pulsar unos botones, transferir activos y abrir posiciones en el Protocolo bZx.

En segundo lugar, y como se mencionó anteriormente, la CFTC cita las declaraciones públicas y el marketing de los encuestados como ejemplos de control empresarial. Por ejemplo, la comisión señala que los cofundadores «hicieron declaraciones públicas, participaron en entrevistas, escribieron artículos, dirigieron llamadas con miembros de la comunidad disponibles públicamente en YouTube y, de otro modo, promocionaron y solicitaron públicamente al público que utilizara el Protocolo bZx» antes y después de transferir el control técnico a la DAO, todo ello como una forma de control empresarial.

En tercer lugar, la participación activa en una DAO se considera una forma de control empresarial. La CFTC determina en la orden de conciliación que los cofundadores participaron activamente en asuntos de gobernanza de Ooki DAO. Además, se cita a un fundador por su "labor de desarrollo de protocolos y marketing... en nombre de Ooki DAO durante el Periodo Relevante de la DAO", mientras que a otro se le cita por su "labor de planificación empresarial y presupuestaria, y marketing... en nombre de Ooki DAO durante el Periodo Relevante de la DAO" para Ooki DAO después de que esta obtuviera el control técnico.

La CFTC describe la participación activa de los cofundadores en la Ooki DAO para demostrar su responsabilidad personal por las acciones de la DAO. Esto resulta especialmente interesante, ya que la definición de la CFTC de membresía en la DAO solo exige el voto, por lo que no debería ser necesario demostrar la participación activa de los cofundadores en la DAO para establecer su membresía como base para responsabilizarlos personalmente por las acciones de la asociación con fines de lucro no constituida. El enfoque de la comisión en dicha participación, a pesar de que parezca superflua a la luz de la definición de la CFTC de membresía en la DAO, indica que la considera probatoria desde la perspectiva del control empresarial.

Estas medidas de cumplimiento refuerzan la necesidad de que los operadores de protocolos Web3 cuenten con una Regulación de cumplimiento más sólida que la de la "inviabilidad tecnológica del cumplimiento, lo que implica la inexistencia de cumplimiento". El análisis exhaustivo de la CFTC sobre el control técnico y empresarial lo demuestra claramente. Si bien el protocolo bZx funciona de forma autónoma, esto no impedirá que los reguladores busquen identificar a los operadores para exigirles responsabilidades. Si bien el análisis que prioriza la tecnología es una herramienta importante que puede utilizarse para respaldar las evaluaciones de riesgos legales, las medidas bZx dejan claro que las distinciones puramente técnicas no pueden justificar una estrategia de cumplimiento legal desvinculada de la realidad práctica.

Mientras las medidas de cumplimiento de las agencias reguladoras federales sigan siendo el enfoque dominante para el desarrollo de Regulación en el ámbito de la Web3, debemos analizar dichas medidas para comprender la evolución del panorama regulatorio y el futuro. Las medidas de la CFTC contra el protocolo bZx demuestran que los reguladores ven los puntos de control como cuerdas que el titiritero debe Síguenos .