Più di un semplice Ooki DAO: lezioni per le aziende Web3 sul controllo dopo bZx

A settembre, la Commodity Futures Trading Commission (CFTC) ha intentato due azioni legali contro bZeroX, i suoi due co-fondatori e l'organizzazione autonoma decentralizzata (DAO) Ooki per violazioni del Commodity Exchange Act e delle normative sottostanti.

Sebbene la mossa della Commissione contro l’Ooki DAO rappresenti senza dubbio una pietra miliare significativa, vi sono altri aspetti importanti di queste azioni di controllo che meritano anch’essi molta attenzione, incluso ciò che ci insegnano su come i regolatori vedono il controllo dei protocolli Web3 per aggirare gli ostacoli tecnici e ritenere gli operatori responsabili.

David J. Kappos è un partner del dipartimento aziendale di Cravath, Swaine & Moore e co-presidente della pratica di proprietà intellettuale dello studio. Evan Mehran Norris è un partner del dipartimento contenzioso di Cravath, Swaine & Moore e membro della pratica di investigazioni e applicazione normativa dello studio. Daniel M. Barabander è un associato del dipartimento aziendale di Cravath, Swaine & Moore.

Negli ultimi anni, abbiamo ripetutamente sentito dai partecipanti del settore che l'applicazione delle norme sulle piattaforme Web3 è improbabile, o addirittura impossibile, perché le normative esistenti presentano incompatibilità architettoniche con la funzionalità della piattaforma Web3, rendendo il concetto di conformità inadatto. Questa visione dovrebbe finalmente essere messa a tacere. Come hanno dimostrato il Dipartimento del Tesoro degli Stati Uniti (Tornado Cash) e ora la CFTC, i regolatori possono e vogliono presentare argomentazioni aggressive per aggirare le potenziali barriere all'applicazione presentate dalla Tecnologie Web3.

L'area in cui vediamo ripetutamente i regolatori BLUR il confine tra realtà tecnica e i loro obiettivi normativi riguarda il controllo di un protocollo decentralizzato. Il protocollo bZx, come tutti i protocolli basati su Ethereum, è costruito utilizzando contratti intelligenti, la cui caratteristica distintiva è che non richiedono un operatore centralizzato per eseguire il loro codice; vengono eseguiti in modo autonomo. Questa è una sfida che la Tecnologie blockchain presenta ai regolatori in generale: come ritenere le persone responsabili per un codice che non richiede persone identificabili per essere eseguito?

L'azione di contrasto di bZx dimostra come almeno ONE importante regolatore stia pensando al controllo dei protocolli Web3 per responsabilizzare gli operatori: esaminando sia il controllo tecnico che quello aziendale per tracciare la linea di demarcazione tra persone identificabili e protocolli gestiti in modo autonomo.

Controllo tecnico

Il controllo tecnico si riferisce ai meccanismi tecnici che gli sviluppatori di protocolli utilizzano per controllare il loro protocollo a livello di smart contract, spesso definendo funzioni "solo amministratore" che possono essere chiamate solo da parti specifiche. Il controllo tecnico è al centro dell'analisi della CFTC. Infatti, è il determinante dei due periodi di tempo stabiliti dalla CFTC: il "periodo rilevante bZx" e il "periodo rilevante DAO".

In quei due periodi di tempo, la CFTC si concentra su quattro leve di controllo: funzionalità di sola amministrazione mantenute da bZeroX e dai co-fondatori e, successivamente, DAO: (1) aggiornamento dei contratti intelligenti del protocollo; (2) sospensione o sospensione delle negoziazioni; (3) sospensione o sospensione dei contributi o prelievi di asset e riscatti; e (4) direzione della disposizione dei fondi detenuti sui contratti intelligenti del protocollo.

Il mezzo principale della CFTC per evidenziare i casi in cui queste parti hanno effettivamente esercitato tale controllo è legato a due exploit. Innanzitutto, cita un hack da 55 milioni di dollari subito dal protocollo nel novembre 2021 dopo un "attacco di spearfishing contro uno sviluppatore DAO di bZx".

In risposta alla violazione, la DAO ha esercitato il suo controllo sui fondi del tesoro, “votando di utilizzare i fondi del Tesoro della bZx DAO per compensare alcuni membri della bZx DAO e altri utenti del protocollo bZx che hanno perso fondi in relazione” all’incidente.

In secondo luogo, la commissione cita un exploit di prestito a margine del febbraio 2020 che ha preso di mira bZx e ha portato a una perdita di 1.300 ETH wrappati. Per fermare l'emorragia, "bZeroX ha utilizzato le sue chiavi per mettere in pausa il trading e i prelievi e per implementare correzioni al codice dello smart contract, per affrontare le perdite esistenti o potenziali del protocollo bZx" causate dall'incidente.

Come dimostrano questi due incidenti, il controllo tecnico è al centro degli exploit Web3 perché (a) presenta punti di errore centralizzati e quindi un vettore di attacco attraente nei sistemi decentralizzati e (b) esiste per consentire a un protocollo di rispondere rapidamente alle emergenze. Le risposte a questi attacchi rendono facile per i regolatori dimostrare il controllo tecnico e, quindi, operatori identificabili del protocollo.

Controllo aziendale

La CFTC sottolinea inoltre ripetutamente l’esistenza di “controlli aziendali” più soft per dimostrare che gli intervistati avevano il controllo del protocollo bZx e, pertanto, dovrebbero essere ritenuti responsabili.

La Commissione si concentra in modo particolarmente chiaro sul fatto che gli intervistati hanno “progettato, distribuito, commercializzato e fatto richieste” in merito al protocollo bZx.

In primo luogo, è chiaro che la CFTC considera la gestione di un sito web front-end per interagire con il protocollo bZx come una forma di controllo aziendale. La CFTC cita il front-end come un veicolo "per commercializzare, sollecitare ordini e facilitare l'accesso al protocollo bZx" perché "ha consentito agli utenti, tramite il clic di pochi pulsanti, di trasferire asset e aprire posizioni sul protocollo bZx".

In secondo luogo, e come discusso sopra, la CFTC cita le dichiarazioni pubbliche e il marketing degli intervistati come esempi di controllo aziendale. Ad esempio, la commissione sottolinea che i co-fondatori "hanno rilasciato dichiarazioni pubbliche, sono apparsi in interviste, hanno scritto articoli, hanno condotto chiamate con membri della comunità che sono pubblicamente disponibili su YouTube e hanno altrimenti pubblicizzato e sollecitato membri del pubblico a utilizzare il protocollo bZx" prima e dopo il passaggio del controllo tecnico al DAO, il tutto come una forma di controllo aziendale.

In terzo luogo, la partecipazione attiva a una DAO è vista come una forma di controllo aziendale. La CFTC rileva nell'ordine di conciliazione che i co-fondatori erano attivi in ​​questioni di governance di Ooki DAO. Inoltre, ONE fondatore è citato per il suo "lavoro di sviluppo del protocollo e marketing ... per conto di Ooki DAO durante il periodo rilevante di DAO", mentre un altro è citato per il suo "lavoro di pianificazione aziendale e di budget e marketing ... per conto di Ooki DAO durante il periodo rilevante di DAO" per Ooki DAO dopo aver ottenuto il controllo tecnico.

La CFTC descrive la partecipazione attiva dei co-fondatori all'Ooki DAO per dimostrare perché sono ritenuti personalmente responsabili delle azioni della DAO. Ciò è particolarmente interessante perché la definizione di appartenenza alla DAO della CFTC richiede solo di esprimere un voto, quindi non dovrebbe esserci bisogno di dimostrare il coinvolgimento attivo dei co-fondatori nella DAO per stabilire la loro appartenenza alla DAO come base per ritenerli personalmente responsabili delle azioni dell'associazione non costituita a scopo di lucro. L'attenzione della commissione su tale partecipazione, nonostante appaia superflua alla luce della definizione di appartenenza alla DAO della CFTC, indica che considera tale partecipazione come probatoria dal punto di vista del controllo aziendale.

Queste azioni di applicazione rafforzano la necessità per gli operatori dei protocolli Web3 di avere una Politiche di conformità migliore di "infattibilità tecnologica della conformità, quindi nessuna conformità". L'analisi approfondita della CFTC del controllo tecnico e aziendale lo dimostra chiaramente. Anche se il protocollo bZx funziona in modo autonomo, ciò non impedirà ai regolatori di cercare di identificare gli operatori per ritenerli responsabili. Mentre l'analisi technology-first è uno strumento importante che può essere utilizzato per supportare le valutazioni del rischio legale, le azioni bZx chiariscono che le distinzioni puramente tecniche non possono giustificare una strategia di conformità legale distaccata dalle realtà pratiche.

Finché le azioni di coercizione da parte delle agenzie di regolamentazione federali rimarranno l'approccio dominante allo sviluppo Politiche nel campo del Web3, dobbiamo guardare a quelle azioni per comprendere lo stato in evoluzione del panorama normativo e cosa potrebbe succedere in seguito. Le mosse della CFTC contro il protocollo bZx dimostrano che i regolatori vedono i punti di controllo come fili da Seguici per il burattinaio.