Більше, ніж просто Ooki DAO: уроки для компаній Web3 про контроль після bZx

У вересні Комісія з торгівлі товарними ф’ючерсами (CFTC) подала два позови проти bZeroX, двох його співзасновників і децентралізованої автономної організації (DAO) Ooki за порушення Закону про товарні біржі та основних нормативних актів.

Хоча крок комісії проти Ooki DAO, безсумнівно, є важливою віхою, є інші важливі аспекти цих примусових дій, які також заслуговують на пильну увагу, зокрема тому, що вони вчать нас про те, як регулятори бачать контроль над протоколами Web3 для обходу технічних перешкод і притягнення операторів до відповідальності.

Девід Дж. Каппос є партнером у корпоративному відділі Cravath, Swaine & Moore та співголовою практики інтелектуальної власності фірми. Еван Мехран Норріс є партнером відділу судових спорів компанії Cravath, Swaine & Moore, а також співробітником відділу розслідувань і правозастосування фірми. Деніел М. Барабандер є юристом корпоративного відділу Cravath, Swaine & Moore.

Протягом останніх кількох років ми неодноразово чули від учасників індустрії, що застосування заходів проти платформ Web3 є малоймовірним або навіть неможливим, оскільки існуючі правила мають архітектурну несумісність із функціональністю платформи Web3, що робить концепцію відповідності непридатною. Цю точку зору слід нарешті покласти край. Як продемонстрували Міністерство фінансів США (Tornado Cash), а тепер і CFTC, регулятори можуть і будуть наводити агресивні аргументи, щоб маневрувати навколо потенційних перешкод для примусового виконання, створених Технології Web3.

Сфера, де ми неодноразово бачимо, як регулятори BLUR межу між технічною реальністю та їхніми регуляторними цілями, стосується контролю над децентралізованим протоколом. Протокол bZx, як і всі протоколи на основі Ethereum, побудований за допомогою смарт-контрактів, визначальною особливістю яких є те, що вони не вимагають централізованого оператора для запуску коду; вони працюють автономно. Це виклик, який ставить перед регулюючими органами Технології блокчейн: як притягнути людей до відповідальності за код, для запуску якого не потрібні особи, які можна ідентифікувати?

Примусова дія bZx демонструє, як принаймні ONE ключовий регулятор думає про контроль над протоколами Web3, щоб притягнути до відповідальності операторів: досліджуючи як технічний, так і бізнес-контроль, щоб провести межу між ідентифікованими особами та автономно керованими протоколами.

Технічний контроль

Технічний контроль стосується технічних механізмів, які розробники протоколів використовують для керування своїм протоколом на рівні смарт-контракту, часто шляхом визначення функцій «лише для адміністратора», які можуть викликатися виключно певними сторонами. Технічний контроль є основою аналізу CFTC. Фактично, це визначник двох періодів часу, визначених CFTC – «Відповідний період bZx» і «Відповідний період DAO».

Протягом цих двох періодів часу CFTC зосереджується на чотирьох важелях контролю – функціях лише для адміністратора, збережених bZeroX та співзасновниками, а згодом і DAO: (1) оновлення смарт-контрактів протоколу; (2) призупинення або призупинення торгівлі; (3) призупинення або призупинення внесків або вилучення активів і викупів; і (4) управління розпорядженням коштами, які зберігаються за смарт-контрактами протоколу.

Основний засіб CFTC для вказівки на випадки, коли ці сторони справді здійснювали такий контроль, стосувався двох експлойтів. По-перше, у ньому йдеться про злом протоколу вартістю 55 мільйонів доларів у листопаді 2021 року після «підводної атаки на розробника bZx DAO».

У відповідь на порушення DAO застосував свій контроль над казначейськими коштами, «проголосувавши за використання коштів з казначейства bZx DAO для компенсації певним членам bZx DAO та іншим користувачам протоколу bZx, які втратили кошти у зв’язку з» інцидентом.

По-друге, комісія посилається на експлойт маржинального кредитування в лютому 2020 року, спрямований на bZx і призвів до втрати 1300 загорнутих ETH. Щоб зупинити кровотечу, «bZeroX використовував свої ключі, щоб призупинити торгівлю та зняття коштів, а також застосувати виправлення в коді смарт-контракту, щоб усунути існуючі або потенційні втрати для протоколу bZx», спричинені інцидентом.

Як показують ці два інциденти, технічний контроль лежить в основі експлойтів Web3, оскільки він (а) представляє централізовані точки збоїв і, отже, привабливий вектор атаки в децентралізованих системах, і (б) існує, щоб дозволити протоколу швидко реагувати на надзвичайні ситуації. Відповіді на ці атаки дозволяють регуляторам легко продемонструвати технічний контроль і, таким чином, операторів протоколу, які можна ідентифікувати.

Контроль господарської діяльності

CFTC також неодноразово вказує на більш м’який «контроль бізнесу», щоб показати, що респонденти мали контроль над протоколом bZx і, отже, повинні нести відповідальність.

Комісія найбільш чітко зосереджується на тому факті, що респонденти «розробили, розгорнули, продали та зробили запити» щодо протоколу bZx.

По-перше, зрозуміло, що CFTC розглядає роботу зовнішнього веб-сайту для взаємодії з протоколом bZx як форму контролю бізнесу. CFTC називає інтерфейс як засіб «виведення на ринок, отримання замовлень і полегшення доступу до протоколу bZx», оскільки він «дозволяв користувачам за допомогою кількох кнопок передавати активи та відкривати позиції за протоколом bZx».

По-друге, як обговорювалося вище, CFTC наводить публічні заяви респондентів і маркетинг як приклади контролю над бізнесом. Наприклад, комісія зазначає, що співзасновники «робили публічні заяви, з’являлися в інтерв’ю, писали статті, проводили телефонні розмови з членами спільноти, які є загальнодоступними на YouTube та іншим чином публічно рекламувалися, і закликали представників громадськості використовувати протокол bZx» до і після перенесення технічного контролю на DAO, і все це як форма контролю бізнесу.

По-третє, активна участь у DAO розглядається як форма контролю бізнесу. CFTC вважає в порядку врегулювання, що співзасновники брали активну участь у питаннях управління Ooki DAO. Крім того, ONE засновник згадується за його «розробку протоколу та маркетингову роботу … від імені Ooki DAO протягом Відповідного періоду DAO», тоді як інший згадується за його «бізнес-планування та бюджетне планування та маркетингову роботу … від імені Ooki DAO протягом Відповідного періоду DAO» для Ooki DAO після отримання технічного контролю.

CFTC описує активну участь співзасновників в Ooki DAO, щоб показати, чому вони несуть особисту відповідальність за дії DAO. Це особливо цікаво, оскільки визначення CFTC членства в DAO вимагає лише голосування, тому немає потреби демонструвати активну участь співзасновників у DAO, щоб підтвердити їх членство в DAO як підставу для притягнення їх до особистої відповідальності за дії комерційної некорпоративної асоціації. Зосередженість комісії на такій участі – незважаючи на те, що вона виглядає зайвою у світлі визначення CFTC членства в DAO – вказує на те, що вона вважає таку участь доказовою з точки зору контролю бізнесу.

Ці примусові дії підсилюють необхідність для операторів протоколів Web3 мати кращу Політика відповідності, ніж «технологічна нездійсненність відповідності, тому немає відповідності». Поглиблений аналіз технічного та бізнес-контролю CFTC це чітко демонструє. Незважаючи на те, що протокол bZx працює автономно, це не завадить регуляторам намагатися ідентифікувати операторів, щоб притягнути їх до відповідальності. Хоча аналіз перш за все технологій є важливим інструментом, який можна використовувати для підтримки оцінки юридичних ризиків, дії bZx чітко показують, що суто технічні відмінності не можуть виправдати стратегію відповідності законодавству, відірвану від практичних реалій.

Поки примусові дії федеральних регуляторних органів залишаються домінуючим підходом до розробки Політика у сфері Web3, ми повинні дивитися на ці дії, щоб зрозуміти, як розвивається нормативний ландшафт і що може бути далі. Рухи CFTC проти протоколу bZx демонструють, що регулятори розглядають точки контролю як струни, за якими маріонетист повинен Соціальні мережі .