Plus que le Ooki DAO : leçons pour les entreprises Web3 sur le contrôle après bZx

En septembre, la Commodity Futures Trading Commission (CFTC) a intenté deux actions contre bZeroX, ses deux cofondateurs et l'organisation autonome décentralisée (DAO) d'Ooki pour violations de la Commodity Exchange Act et des réglementations sous-jacentes.

Bien que la décision de la commission contre Ooki DAO constitue sans aucun doute une étape importante, d'autres aspects importants de ces mesures coercitives méritent également une attention particulière, notamment pour ce qu'elles nous apprennent sur la façon dont les régulateurs considèrent le contrôle des protocoles Web3 pour contourner les obstacles techniques et responsabiliser les opérateurs.

David J. Kappos est associé au sein du département corporate de Cravath, Swaine & Moore et coprésident du département de propriété intellectuelle du cabinet. Evan Mehran Norris est associé au sein du département contentieux de Cravath, Swaine & Moore et membre du groupe d'enquêtes et d'application de la réglementation du cabinet. Daniel M. Barabander est associé au sein du département corporate de Cravath, Swaine & Moore.

Au cours des dernières années, les acteurs de l’industrie nous ont répété à plusieurs reprises que l’application des mesures contre les plates-formes Web3 est peu probable, voire impossible, car les réglementations existantes présentent des incompatibilités architecturales avec les fonctionnalités des plates-formes Web3, ce qui rend le concept de conformité inadapté. Cette opinion devrait enfin être abandonnée. Comme l’ont démontré le Département du Trésor américain (Tornado Cash) et maintenant la CFTC, les régulateurs peuvent et feront valoir des arguments agressifs pour contourner les obstacles potentiels à l’application présentés par la Technologies Web3.

Le domaine dans lequel nous voyons à plusieurs reprises les régulateurs BLUR la frontière entre la réalité technique et leurs objectifs réglementaires concerne le contrôle d’un protocole décentralisé. Le protocole bZx, comme tous les protocoles basés sur Ethereum, est construit à l'aide de contrats intelligents, dont la particularité est qu'ils ne nécessitent pas d'opérateur centralisé pour exécuter leur code ; ils fonctionnent de manière autonome. Il s’agit d’un défi que la Technologies blockchain présente à tous les régulateurs : comment tenir les personnes responsables d’un code qui ne nécessite pas d’être identifié par des personnes identifiables ?

L'action coercitive de bZx démontre comment au moins un régulateur clé envisage le contrôle des protocoles Web3 afin de responsabiliser les opérateurs : en examinant à la fois le contrôle technique et commercial pour tracer la frontière entre les personnes identifiables et les protocoles gérés de manière autonome.

Le contrôle technique fait référence aux mécanismes techniques que les développeurs de protocoles utilisent pour contrôler leur protocole au niveau des contrats intelligents, souvent en définissant des fonctions « réservées aux administrateurs » qui peuvent être appelées uniquement par des parties spécifiques. Le contrôle technique est au cœur de l'analyse de la CFTC. En fait, c'est le déterminant des deux périodes définies par la CFTC – la « période pertinente bZx » et la « période pertinente DAO ».

Au cours de ces deux périodes, la CFTC se concentre sur quatre leviers de contrôle – les fonctionnalités réservées à l'administration retenues par bZeroX et les co-fondateurs, puis par le DAO : (1) la mise à niveau des contrats intelligents du protocole ; (2) suspendre ou suspendre la négociation ; (3) suspendre ou suspendre les apports ou les retraits d'actifs et les rachats ; et (4) diriger la disposition des fonds détenus sur les contrats intelligents de protocole.

Le principal moyen utilisé par la CFTC pour signaler les cas dans lesquels ces parties ont effectivement exercé un tel contrôle concerne deux exploits. Premièrement, il cite un piratage de 55 millions de dollars que le protocole a subi en novembre 2021 après une « attaque de chasse sous-marine contre un développeur bZx DAO ».

En réponse à cette violation, le DAO a exercé son contrôle sur les fonds du Trésor, en « votant pour utiliser les fonds du Trésor du bZx DAO pour indemniser certains membres du bZx DAO et d'autres utilisateurs du protocole bZx qui ont perdu des fonds en relation avec » le incident.

Deuxièmement, la commission cite un exploit de prêt sur marge de février 2020 qui ciblait bZx et entraînait une perte de 1 300 ETH enveloppés. Pour arrêter l'hémorragie, "bZeroX a utilisé ses clés pour suspendre les transactions et les retraits, et pour mettre en œuvre des correctifs au code du contrat intelligent, afin de remédier aux pertes existantes ou potentielles du protocole bZx" causées par l'incident.

Comme le montrent ces deux incidents, le contrôle technique est au cœur des exploits Web3 car il (a) présente des points de défaillance centralisés et donc un vecteur d'attaque attrayant dans les systèmes décentralisés et (b) existe pour permettre à un protocole de répondre rapidement aux urgences. Les réponses à ces attaques permettent aux régulateurs de démontrer facilement un contrôle technique et, par conséquent, des opérateurs identifiables du protocole.

La CFTC souligne également à plusieurs reprises des « contrôles commerciaux » plus souples pour montrer que les personnes interrogées contrôlaient le protocole bZx et devraient donc en être responsables.

La commission se concentre plus clairement sur le fait que les répondants « ont conçu, déployé, commercialisé et fait des sollicitations » concernant le protocole bZx.

Premièrement, il est clair que la CFTC considère l’exploitation d’un site Web frontal pour interagir avec le protocole bZx comme une forme de contrôle commercial. La CFTC cite le front-end comme un moyen « de commercialiser, de solliciter des commandes et de faciliter l'accès au protocole bZx » car il « permet aux utilisateurs, en cliquant sur quelques boutons, de transférer des actifs et d'ouvrir des positions sur le protocole bZx ».

Deuxièmement, et comme indiqué ci-dessus, la CFTC cite les déclarations publiques et le marketing des défendeurs comme exemples de contrôle commercial. Par exemple, la commission souligne que les cofondateurs « ont fait des déclarations publiques, sont apparus dans des interviews, ont écrit des articles, mené des appels avec des membres de la communauté qui sont accessibles au public sur YouTube et ont autrement commercialisé publiquement et sollicité des membres du public pour qu'ils utilisent le protocole bZx. » le contrôle technique pré et post-transfert vers le DAO, le tout comme une forme de contrôle métier.

Troisièmement, la participation active à un DAO est considérée comme une forme de contrôle commercial. La CFTC constate dans l'ordonnance de règlement que les co-fondateurs étaient actifs sur les questions de gouvernance d'Ooki DAO. En outre, un fondateur est cité pour son « travail de développement de protocole et de marketing… au nom de l'Ooki DAO pendant la période pertinente du DAO », tandis qu'un autre est cité pour son « travail de planification commerciale et budgétaire et de marketing… au nom de l'Ooki DAO pendant la DAO. Période pertinente »pour Ooki DAO après avoir obtenu le contrôle technique.

La CFTC décrit la participation active des cofondateurs au Ooki DAO pour montrer pourquoi ils sont tenus personnellement responsables des actions du DAO. Ceci est particulièrement intéressant car la définition de la CFTC de l'adhésion au DAO nécessite uniquement de voter, il ne devrait donc pas être nécessaire de démontrer l'implication active des cofondateurs dans le DAO pour établir leur adhésion au DAO comme base pour les tenir personnellement responsables. pour les actions de l’association non constituée en société à but lucratif. L'accent mis par la commission sur une telle participation – bien qu'elle semble superflue à la lumière de la définition de l'adhésion à la DAO donnée par la CFTC – indique qu'elle considère cette participation comme probante du point de vue du contrôle commercial.

Ces mesures coercitives renforcent la nécessité pour les opérateurs de protocoles Web3 d’avoir une meilleure Juridique de conformité que « l’infaisabilité technologique de la conformité, donc pas de conformité ». L’analyse approfondie du contrôle technique et commercial réalisée par la CFTC le montre clairement. Même si le protocole bZx fonctionne de manière autonome, cela n’empêchera pas les régulateurs de chercher à identifier les opérateurs afin de les responsabiliser. Bien que l’analyse axée sur la technologie soit un outil important qui peut être utilisé pour soutenir les évaluations des risques juridiques, les actions bZx montrent clairement que les distinctions purement techniques ne peuvent justifier une stratégie de conformité juridique détachée des réalités pratiques.

Tant que les mesures coercitives prises par les agences de régulation fédérales restent l’approche dominante de l’élaboration de Juridique dans le domaine du Web3, nous devons nous tourner vers ces actions pour comprendre l’évolution du paysage réglementaire et ce qui pourrait suivre. Les mesures prises par la CFTC contre le protocole bZx démontrent que les régulateurs considèrent les points de contrôle comme des cordes à Réseaux sociaux pour le marionnettiste.