Больше, чем просто Ooki DAO: уроки для компаний Web3 о контроле после bZx

В сентябре Комиссия по торговле товарными фьючерсами (CFTC) возбудила два иска против bZeroX, двух ее соучредителей и децентрализованной автономной организации (DAO) Ooki за нарушения Закона о товарных биржах и соответствующих нормативных актов.

Хотя действия комиссии против Ooki DAO, несомненно, являются важной вехой, есть и другие важные аспекты этих мер принудительного характера, которые также заслуживают пристального внимания, в том числе то, чему они нас учат относительно того, как регулирующие органы рассматривают контроль над протоколами Web3, чтобы обходить технические препятствия и привлекать операторов к ответственности.

Дэвид Дж. Каппос — партнер корпоративного отдела Cravath, Swaine & Moore и сопредседатель практики интеллектуальной собственности фирмы. Эван Мехран Норрис — партнер судебного отдела Cravath, Swaine & Moore и член практики расследований и нормативного правоприменения фирмы. Дэниел М. Барабандер — ассоциированный сотрудник корпоративного отдела Cravath, Swaine & Moore.

За последние несколько лет мы неоднократно слышали от участников отрасли, что принудительное исполнение против платформ Web3 маловероятно или даже невозможно, поскольку существующие правила имеют архитектурную несовместимость с функциональностью платформы Web3, что делает концепцию соответствия неподходящей. Эту точку зрения следует окончательно опровергнуть. Как продемонстрировали Министерство финансов США (Tornado Cash), а теперь и CFTC, регуляторы могут и будут выдвигать агрессивные аргументы, чтобы обойти потенциальные барьеры для принудительного исполнения, создаваемые Технологии Web3.

Область, в которой мы постоянно видим, как регуляторы BLUR границу между технической реальностью и их регуляторными целями, касается контроля децентрализованного протокола. Протокол bZx, как и все протоколы на основе Ethereum, построен с использованием смарт-контрактов, определяющей особенностью которых является то, что им не требуется централизованный оператор для запуска их кода; они работают автономно. Это вызов, который Технологии блокчейна ставит перед регуляторами по всем направлениям — как привлечь лиц к ответственности за код, который не требует идентифицируемых лиц для запуска?

Действия по обеспечению соблюдения правил bZx демонстрируют, что по крайней мере ONE ключевой регулирующий орган рассматривает возможность контроля протоколов Web3 с целью привлечения операторов к ответственности: путем изучения как технического, так и делового контроля, чтобы провести границу между идентифицируемыми лицами и автономно работающими протоколами.

Технический контроль

Технический контроль относится к техническим механизмам, которые разработчики протоколов используют для управления своим протоколом на уровне смарт-контрактов, часто определяя функции «только для администраторов», которые могут вызываться исключительно определенными сторонами. Технический контроль лежит в основе анализа CFTC. Фактически, он определяет два временных периода, которые устанавливает CFTC — «соответствующий период bZx» и «соответствующий период DAO».

В течение этих двух периодов времени CFTC фокусируется на четырех рычагах контроля — исключительно административных функциях, сохраненных bZeroX и соучредителями, а впоследствии и DAO: (1) обновление протоколов смарт-контрактов; (2) приостановка или приостановление торговли; (3) приостановка или приостановление взносов или изъятий активов и погашений; и (4) управление распоряжением средствами, хранящимися в протоколах смарт-контрактов.

Основной инструмент CFTC для указания случаев, в которых эти стороны фактически осуществляли такой контроль, относится к двум эксплойтам. Во-первых, он ссылается на взлом на 55 миллионов долларов, которому протокол подвергся в ноябре 2021 года после «атаки с использованием целевого фишинга против разработчика bZx DAO».

В ответ на нарушение DAO воспользовалась своим контролем над казначейскими средствами, «проголосовав за использование средств из казначейства bZx DAO для компенсации определенным членам bZx DAO и другим пользователям протокола bZx, которые потеряли средства в связи с» инцидентом.

Во-вторых, комиссия ссылается на эксплойт маржинального кредитования в феврале 2020 года, нацеленный на bZx и приведший к потере 1300 завернутых ETH. Чтобы остановить утечку, «bZeroX использовал свои ключи для приостановки торговли и вывода средств, а также для внедрения исправлений в код смарт-контракта, чтобы устранить существующие или потенциальные потери протокола bZx», вызванные инцидентом.

Как показывают эти два инцидента, технический контроль лежит в основе эксплойтов Web3, поскольку он (a) представляет централизованные точки отказа и, таким образом, привлекательный вектор атаки в децентрализованных системах и (b) существует для того, чтобы позволить протоколу быстро реагировать на чрезвычайные ситуации. Ответы на эти атаки дают регуляторам легкий повод продемонстрировать технический контроль и, таким образом, идентифицируемых операторов протокола.

Контроль над бизнесом

CFTC также неоднократно указывает на более мягкие меры «бизнес-контроля», чтобы показать, что ответчики контролировали протокол bZx и, следовательно, должны нести ответственность.

Комиссия наиболее четко акцентирует внимание на том факте, что респонденты «разрабатывали, внедряли, продвигали на рынке и делали предложения» относительно протокола bZx.

Во-первых, очевидно, что CFTC рассматривает работу веб-сайта front-end для взаимодействия с протоколом bZx как форму контроля над бизнесом. CFTC называет front-end средством «для маркетинга, получения заказов и облегчения доступа к протоколу bZx», поскольку он «позволяет пользователям, нажимая несколько кнопок, переводить активы и открывать позиции по протоколу bZx».

Во-вторых, как обсуждалось выше, CFTC приводит публичные заявления и маркетинг респондентов в качестве примеров контроля над бизнесом. Например, комиссия указывает, что соучредители «делали публичные заявления, появлялись в интервью, писали статьи, проводили телефонные разговоры с членами сообщества, которые были публично доступны на YouTube, и иным образом публично рекламировали и призывали членов общественности использовать протокол bZx» до и после передачи технического контроля DAO, все это было формой контроля над бизнесом.

В-третьих, активное участие в DAO рассматривается как форма контроля над бизнесом. CFTC в постановлении об урегулировании указывает, что соучредители принимали активное участие в вопросах управления Ooki DAO. Кроме того, ONE из основателей упоминается за его «разработку протокола и маркетинговую работу… от имени Ooki DAO в течение соответствующего периода DAO», а другой упоминается за его «планирование бизнеса и бюджета, а также маркетинговую работу… от имени Ooki DAO в течение соответствующего периода DAO» для Ooki DAO после того, как она получила технический контроль.

CFTC описывает активное участие соучредителей в Ooki DAO, чтобы показать, почему они несут личную ответственность за действия DAO. Это особенно интересно, поскольку определение членства в DAO CFTC требует только голосования, поэтому не должно быть необходимости показывать активное участие соучредителей в DAO, чтобы установить их членство в DAO как основание для привлечения их к личной ответственности за действия коммерческой некорпоративной ассоциации. Внимание комиссии к такому участию — несмотря на то, что оно кажется излишним в свете определения членства в DAO CFTC — указывает на то, что она рассматривает такое участие как доказательное с точки зрения контроля над бизнесом.

Эти меры принудительного характера усиливают необходимость для операторов протоколов Web3 иметь лучшую Политика соответствия, чем «технологическая невозможность соответствия, поэтому никакого соответствия». Глубокий анализ технического и делового контроля CFTC ясно показывает это. Даже несмотря на то, что протокол bZx работает автономно, это не остановит регуляторов от попыток идентифицировать операторов, чтобы привлечь их к ответственности. Хотя технологический анализ является важным инструментом, который может использоваться для поддержки оценки правовых рисков, действия bZx ясно показывают, что чисто технические различия не могут оправдать стратегию правового соответствия, оторванную от практических реалий.

Пока действия по обеспечению соблюдения федеральными регулирующими органами остаются доминирующим подходом к разработке Политика в области Web3, мы должны обращать внимание на эти действия, чтобы понять развивающееся состояние нормативного ландшафта и то, что может произойти дальше. Действия CFTC против протокола bZx показывают, что регулирующие органы рассматривают точки контроля как веревочки, за которыми нужно Социальные сети марионетке.