Cómo demandar al hacker de DAO

Stephen D Palley es un abogado con práctica privada en Washington, DC, donde se enfoca en construcción, seguros y desarrollo de software, incluidos blockchain y contratos inteligentes.

Las opiniones expresadas en este artículo son únicamente de Palley, no pretenden ser asesoramiento legal y no pueden ser compartidas por clientes pasados, presentes o futuros ni por ninguna empresa con la que esté asociado.

Esta mañana me desperté con el sonido de docenas de notificaciones de mensajes en rápida sucesión. El DAOhabía sido atacadoYa se habían drenado más de 50 millones de dólares en ether. Al menos un técnico... soluciónYa había sido propuesto.

A algunos les gusta, a otros no. Además de las soluciones técnicas, algunos han preguntado sobre los recursos legales disponibles contra el hacker de The DAO.

¿Podrían ser penal o civilmente responsables? ¿Podrían ser demandados? De ser así, ¿cómo? Y, de ser así, ¿quién los demandaría? A continuación, Síguenos algunas reflexiones sobre este tema.

Derecho penal

Los estatutos penales estatales y federales podrían estar en cuestión.

Hay muchos. ONE podría empezar con algo como roboy iterar. Una variedad deleyes federalesTambién puede aplicarse ampliamente al acceso no autorizado a sistemas informáticos o al acceso que excede la autorización. Además de multas, sanciones y penas de prisión, las leyes penales también pueden ofrecer reparaciones integrales a las partes perjudicadas y contemplar daños y perjuicios.

Si esto está en el radar de las fuerzas del orden es otra cuestión. Simplemente señalo que, sí, es posible que se hayan infringido leyes penales.

¿Existen posibles defensas para el hacker? ¿Podrían simplemente devolver el éter? Como señaló un comentarista. en TwitterDevolver el éter puede ser apreciado como un acto de contrición o mitigación, pero no sirve necesariamente como defensa ante la responsabilidad penal.

Otros han sugerido que el hacker no puede ser responsable ya que sólo hizo lo que el contrato permitidoEs un argumento interesante pero, dicho de forma sencilla, la vulnerabilidad del código no equivale a consentimiento.

Como defensa, es bastante floja. El robo es robo, con o sin cadena.

Explotar una vulnerabilidad conocida en el código de una tarjeta ATM no le da derecho a tomar dinero que no es suyo de un banco.

Derecho civil

En segundo lugar, ¿qué pasa con la responsabilidad civil? ¿Se puede demandar al hacker por daños y perjuicios o por medidas cautelares? Sí, se puede.

Que sean anónimos o seudónimos no es necesariamente un problema al principio. Su posible localización tras la dirección del contrato podría ser algo que se comprobará pronto. Sin embargo, como cuestión procesal, no es necesario saber quién es alguien ni dónde se encuentra para demandarlo.

En EE. UU., un acusado John Doe puede utilizarse en una demanda inicial (según la jurisdicción) y servir como mecanismo para iniciar el proceso de localización del hacker. Con una demanda en trámite, se obtiene el poder de citación, entre otras cosas.

¿Quién podría demandar al demandante? Alguien perjudicado por el robo podría demandar en su propio nombre. También podría presentar una demanda colectiva en representación de otros tenedores de tokens. La DAO o una DAO probablemente no sería el demandante.

Una demanda de la DAO en su calidad de DAO significaría que la DAO tenía personalidad jurídica y la capacidad de tomar decisiones fuera de la cadena sobre litigios (y de contratar a un abogado). No está claro si "La DAO" podría ser realmente un cliente. Es un código, ¿verdad?

Un enfoque más simple (aunque ciertamente imperfecto) podría ser que los demandantes privados presenten una demanda como supuestos representantes de la clase en nombre de todos los titulares de tokens en situaciones similares.

Derecho de agravios

¿Qué reclamaciones podrían presentarse contra el atacante? Hay muchas. Desde la perspectiva del derecho de responsabilidad civil, me viene a la mente la conversión.

Es un recurso de responsabilidad civil disponible cuando alguien toma una propiedad que no es suya.

Un inconveniente es que la conversión puede no estar disponible para efectivo o divisas: dependiendo de la jurisdicción, este recurso podría estar disponible solo para bienes tangibles. (¿Se considera un bien tangible? Esto también depende de la jurisdicción).

Sin embargo, existen muchas otras teorías de responsabilidad civil. El hurto civil, el fraude y la intrusión son algunos ejemplos. También podrían existir demandas contractuales implícitas.

¿Incumplió el hacker un acuerdo implícito o un deber implícito de buena fe y trato justo? También podrían presentarse demandas equitativas, como el enriquecimiento injusto. También podrían solicitarse medidas cautelares. Estos son solo ejemplos y no pretenden ser un análisis exhaustivo ni exclusivo.

¿Qué hay de los daños? Esto requiere cierta especulación. La pérdida de valor simbólico podría ser una medida de los daños. Podrían surgir otras teorías sobre los daños. Por ejemplo, considere un caso en el que la manipulación del mercado fuera un motivo.

El atacante podría haber anticipado que un robo significativo provocaría una caída en el precio del ether y, en consecuencia, apostar en el mercado. De ser así, la restitución de las ganancias ilícitas también podría ser una posible solución.

En resumen: si cree que el hacker es una mala persona, es posible que existan recursos legales y equitativos a su disposición, y también daños y perjuicios.

Imagen de la ley vía Shutterstock