Mais do que apenas Ooki DAO: lições para empresas Web3 sobre controle após bZx

Em setembro, a Comissão de Negociação de Futuros de Commodities (CFTC) moveu duas ações contra a bZeroX, seus dois cofundadores e a organização autônoma descentralizada (DAO) Ooki por violações da Lei de Bolsa de Commodities e regulamentos subjacentes.

Embora a ação da comissão contra o Ooki DAO seja sem dúvida um marco significativo, há outros aspectos importantes dessas ações de fiscalização que também merecem muita atenção, inclusive pelo que nos ensinam sobre como os reguladores veem o controle dos protocolos Web3 para contornar obstáculos técnicos e responsabilizar os operadores.

David J. Kappos é sócio do departamento corporativo da Cravath, Swaine & Moore e copresidente da prática de propriedade intelectual da empresa. Evan Mehran Norris é sócio do departamento contencioso da Cravath, Swaine & Moore e membro das investigações e prática de aplicação regulatória da empresa. Daniel M. Barabander é associado do departamento corporativo da Cravath, Swaine & Moore.

Nos últimos anos, ouvimos repetidamente dos participantes da indústria que a aplicação das plataformas Web3 é improvável, ou mesmo impossível, porque as regulamentações existentes têm incompatibilidades arquitetônicas com a funcionalidade da plataforma Web3, tornando o conceito de conformidade inapropriado. Essa visão deveria finalmente ser posta de lado. Tal como demonstraram o Departamento do Tesouro dos EUA (Tornado Cash) e agora a CFTC, os reguladores podem e irão apresentar argumentos agressivos para contornar potenciais barreiras à aplicação apresentadas pela Tecnologia Web3.

A área onde vemos repetidamente os reguladores BLUR a linha entre a realidade técnica e os seus objectivos regulamentares é em torno do controlo de um protocolo descentralizado. O protocolo bZx, como todos os protocolos baseados em Ethereum, é construído usando contratos inteligentes, cuja característica definidora é que eles não exigem um operador centralizado para executar seu código; eles funcionam de forma autônoma. Este é um desafio que a Tecnologia blockchain apresenta aos reguladores em todos os níveis – como responsabilizar as pessoas por códigos que não exigem a execução de pessoas identificáveis?

A ação de fiscalização do bZx demonstra como pelo menos um regulador importante está pensando no controle dos protocolos Web3, a fim de responsabilizar os operadores: examinando o controle técnico e comercial para traçar a linha entre pessoas identificáveis ​​e protocolos executados de forma autônoma.

Controle técnico

O controle técnico refere-se aos mecanismos técnicos que os desenvolvedores de protocolos usam para controlar seu protocolo no nível do contrato inteligente, muitas vezes definindo funções “somente de administrador” que podem ser chamadas apenas por partes específicas. O controlo técnico está no centro da análise da CFTC. Na verdade, é o determinante dos dois períodos de tempo estabelecidos pela CFTC – o “Período Relevante bZx” e o “Período Relevante DAO”.

Dentro desses dois períodos de tempo, o CFTC concentra-se em quatro alavancas de controle – funcionalidades somente de administração mantidas pela bZeroX e pelos cofundadores e, posteriormente, pelo DAO: (1) atualização de contratos inteligentes de protocolo; (2) pausar ou suspender a negociação; (3) pausar ou suspender contribuições ou saques de ativos e resgates; e (4) direcionar a disposição dos fundos mantidos em contratos inteligentes de protocolo.

O principal veículo da CFTC para apontar casos em que estas partes exerceram de facto tal controlo relacionam-se com duas explorações. Primeiro, ele cita um hack de US$ 55 milhões sofrido pelo protocolo em novembro de 2021, após um “ataque de caça submarina contra um desenvolvedor bZx DAO”.

Em resposta à violação, o DAO exerceu seu controle sobre os fundos do tesouro, “votando para utilizar fundos do Tesouro bZx DAO para compensar certos membros do bZx DAO e outros usuários do Protocolo bZx que perderam fundos em conexão com” o incidente.

Em segundo lugar, a comissão cita uma exploração de empréstimo de margem de fevereiro de 2020 que teve como alvo o bZx e levou a uma perda de 1.300 ETH embrulhados. Para estancar a hemorragia, “bZeroX utilizou suas chaves para pausar negociações e retiradas e para implementar correções no código do contrato inteligente, para lidar com as perdas existentes ou potenciais no protocolo bZx” causadas pelo incidente.

Como mostram estes dois incidentes, o controlo técnico está no centro das explorações da Web3 porque (a) apresenta pontos de falha centralizados e, portanto, um vector de ataque atraente em sistemas descentralizados e (b) existe para permitir que um protocolo responda rapidamente a emergências. As respostas a estes ataques facilitam a demonstração de controlo técnico pelos reguladores e, portanto, de operadores identificáveis ​​do protocolo.

Controle de negócios

A CFTC também aponta repetidamente para “controles comerciais” mais suaves para mostrar que os entrevistados tinham controle do protocolo bZx e, portanto, deveriam ser responsabilizados.

A comissão centra-se mais claramente no facto de os inquiridos “projetarem, implementarem, comercializarem e fazerem solicitações” relativas ao protocolo bZx.

Em primeiro lugar, está claro que a CFTC considera a operação de um site front-end para interagir com o protocolo bZx como uma forma de controle comercial. A CFTC cita o front-end como um veículo “para comercializar, solicitar ordens e facilitar o acesso ao Protocolo bZx” porque “permitiu aos usuários, através do clique de alguns botões, transferir ativos e abrir posições no Protocolo bZx”.

Em segundo lugar, e conforme discutido acima, a CFTC cita as declarações públicas e o marketing dos entrevistados como exemplos de controlo empresarial. Por exemplo, a comissão aponta que os cofundadores “fizeram declarações públicas, apareceram em entrevistas, escreveram artigos, conduziram ligações com membros da comunidade que estão disponíveis publicamente no YouTube e de outra forma comercializaram publicamente e solicitaram aos membros do público que utilizassem o Protocolo bZx ”controle técnico pré e pós-mudança para o DAO, tudo como forma de controle de negócios.

Terceiro, a participação ativa numa DAO é vista como uma forma de controlo empresarial. A CFTC conclui na ordem de liquidação que os cofundadores eram ativos nas questões de governança do Ooki DAO. Além disso, um fundador é citado por seu “desenvolvimento de protocolo e trabalho de marketing… em nome do Ooki DAO durante o período relevante do DAO”, enquanto outro é citado por seu “planejamento de negócios e orçamento e trabalho de marketing… em nome do Ooki DAO durante o DAO Período Relevante” para Ooki DAO após obter o controle técnico.

A CFTC descreve a participação ativa dos cofundadores no Ooki DAO para mostrar por que eles estão sendo pessoalmente responsabilizados pelas ações do DAO. Isto é particularmente interessante porque a definição da CFTC de adesão ao DAO exige apenas a emissão de um voto, pelo que não deveria haver necessidade de mostrar o envolvimento activo dos co-fundadores no DAO para estabelecer a sua adesão ao DAO como base para responsabilizá-los pessoalmente. pelas ações da associação sem personalidade jurídica com fins lucrativos. O foco da comissão em tal participação – apesar de parecer supérflua à luz da definição de membro do DAO da CFTC – indica que ela vê tal participação como probatória do ponto de vista do controlo empresarial.

Estas ações de fiscalização reforçam a necessidade de os operadores de protocolos Web3 terem uma Política de conformidade melhor do que “inviabilidade tecnológica de conformidade, portanto, nenhuma conformidade”. A análise aprofundada do controlo técnico e empresarial efectuada pela CFTC mostra-o claramente. Embora o protocolo bZx funcione de forma autónoma, isso não impedirá os reguladores de procurarem identificar os operadores para os responsabilizar. Embora a análise que prioriza a tecnologia seja uma ferramenta importante que pode ser usada para apoiar avaliações de riscos jurídicos, as ações da bZx deixam claro que distinções puramente técnicas não podem justificar uma estratégia de conformidade legal desligada das realidades práticas.

Enquanto as ações de fiscalização por parte das agências reguladoras federais continuarem a ser a abordagem dominante para o desenvolvimento de Política no campo da Web3, devemos olhar para essas ações para compreender o estado em evolução do cenário regulatório e o que poderá vir a seguir. Os movimentos da CFTC contra o protocolo bZx demonstram que os reguladores vêem os pontos de controlo como cordas a Siga até ao marionetista.