Plus que le DAO Ooki : leçons pour les entreprises du Web3 sur le contrôle après bZx

En septembre, la Commodity Futures Trading Commission (CFTC) a intenté deux actions contre bZeroX, ses deux cofondateurs et l'organisation autonome décentralisée Ooki (DAO) pour violation du Commodity Exchange Act et des réglementations sous-jacentes.

Bien que la décision de la commission contre l’Ooki DAO soit sans aucun doute une étape importante, d’autres aspects importants de ces mesures d’application méritent également une attention particulière, notamment pour ce qu’ils nous apprennent sur la façon dont les régulateurs envisagent le contrôle des protocoles Web3 pour contourner les obstacles techniques et tenir les opérateurs responsables.

David J. Kappos est associé au sein du département Droit des sociétés de Cravath, Swaine & Moore et co-responsable du département Propriété intellectuelle. Evan Mehran Norris est associé au sein du département Contentieux de Cravath, Swaine & Moore et membre du département Enquêtes et Application de la réglementation. Daniel M. Barabander est collaborateur au sein du département Droit des sociétés de Cravath, Swaine & Moore.

Ces dernières années, les acteurs du secteur nous ont répété à maintes reprises qu'une application de la loi contre les plateformes Web3 était improbable, voire impossible, en raison des incompatibilités architecturales des réglementations existantes avec les fonctionnalités de ces plateformes, rendant le concept de conformité inadapté. Cette opinion devrait enfin être abandonnée. Comme l'ont démontré le Département du Trésor américain (Tornado Cash) et maintenant la CFTC, les régulateurs peuvent et vont déployer des arguments agressifs pour contourner les obstacles potentiels à l'application de la loi présentés par la Technologies Web3.

Le domaine dans lequel nous voyons régulièrement les régulateurs BLUR la frontière entre réalité technique et objectifs réglementaires concerne le contrôle d'un protocole décentralisé. Le protocole bZx, comme tous les protocoles basés sur Ethereum, repose sur des contrats intelligents, dont la caractéristique principale est de ne pas nécessiter d'opérateur centralisé pour exécuter leur code ; ils fonctionnent de manière autonome. C'est un défi que la Technologies blockchain pose aux régulateurs dans leur ensemble : comment tenir les personnes responsables d'un code dont l'exécution ne nécessite pas de personnes identifiables ?

L'action coercitive de bZx démontre comment au moins un régulateur clé envisage le contrôle des protocoles Web3 afin de tenir les opérateurs responsables : en examinant à la fois le contrôle technique et commercial pour tracer la ligne entre les personnes identifiables et les protocoles exécutés de manière autonome.

Contrôle technique

Le contrôle technique désigne les mécanismes techniques utilisés par les développeurs de protocoles pour contrôler leur protocole au niveau des contrats intelligents, souvent en définissant des fonctions réservées aux administrateurs, qui ne peuvent être appelées que par des parties spécifiques. Le contrôle technique est au cœur de l'analyse de la CFTC. Il détermine d'ailleurs les deux périodes définies par la CFTC : la « période pertinente bZx » et la « période pertinente DAO ».

Au cours de ces deux périodes, la CFTC se concentre sur quatre leviers de contrôle : les fonctionnalités réservées aux administrateurs conservées par bZeroX et les cofondateurs, puis la DAO : (1) la mise à niveau des contrats intelligents du protocole ; (2) la suspension ou la mise en pause des échanges ; (3) la suspension ou la mise en pause des contributions ou des retraits d'actifs et des rachats ; et (4) la direction de la disposition des fonds détenus sur les contrats intelligents du protocole.

Le principal moyen utilisé par la CFTC pour signaler les cas où ces parties ont effectivement exercé un tel contrôle concerne deux exploits. Premièrement, elle cite un piratage de 55 millions de dollars subi par le protocole en novembre 2021 après une « attaque de spearfishing » contre un développeur de bZx DAO.

En réponse à la violation, la DAO a exercé son contrôle sur les fonds du Trésor, en « votant pour utiliser les fonds du Trésor de la DAO bZx pour indemniser certains membres de la DAO bZx et d'autres utilisateurs du protocole bZx qui ont perdu des fonds en rapport avec » l'incident.

Deuxièmement, la commission cite une faille de prêt sur marge survenue en février 2020, qui a ciblé bZx et entraîné une perte de 1 300 ETH enveloppés. Pour stopper l'hémorragie, « bZeroX a utilisé ses clés pour suspendre les transactions et les retraits, et pour mettre en œuvre des correctifs au code du contrat intelligent, afin de remédier aux pertes existantes ou potentielles du protocole bZx » causées par l'incident.

Comme le montrent ces deux incidents, le contrôle technique est au cœur des exploits Web3 car il (a) présente des points de défaillance centralisés et constitue donc un vecteur d'attaque attractif dans les systèmes décentralisés et (b) permet à un protocole de réagir rapidement aux urgences. Les réponses à ces attaques permettent aux régulateurs de démontrer facilement le contrôle technique et, par conséquent, d'identifier les opérateurs du protocole.

Contrôle des affaires

La CFTC souligne également à plusieurs reprises des « contrôles commerciaux » plus souples pour montrer que les répondants avaient le contrôle du protocole bZx et, par conséquent, devraient être responsables.

La commission met clairement l’accent sur le fait que les répondants ont « conçu, déployé, commercialisé et fait des sollicitations » concernant le protocole bZx.

Premièrement, il est clair que la CFTC considère l'exploitation d'un site web frontal permettant d'interagir avec le protocole bZx comme une forme de contrôle commercial. La CFTC cite ce site comme un outil « de commercialisation, de sollicitation d'ordres et de facilitation de l'accès au protocole bZx », car il « permet aux utilisateurs, en quelques clics, de transférer des actifs et d'ouvrir des positions sur le protocole bZx ».

Deuxièmement, comme indiqué précédemment, la CFTC cite les déclarations publiques et le marketing des défendeurs comme exemples de contrôle commercial. Par exemple, la commission souligne que les cofondateurs ont « fait des déclarations publiques, participé à des interviews, rédigé des articles, mené des appels avec des membres de la communauté, accessibles au public sur YouTube, et ont par ailleurs fait de la promotion publique et sollicité le public pour utiliser le protocole bZx » avant et après le transfert du contrôle technique à la DAO, le tout constituant une forme de contrôle commercial.

Troisièmement, la participation active à une DAO est considérée comme une forme de contrôle commercial. La CFTC constate, dans l'ordonnance de transaction, que les cofondateurs étaient actifs sur les questions de gouvernance de la DAO Ooki. De plus, un fondateur est cité à comparaître pour son « travail de développement de protocole et de marketing… pour le compte de la DAO Ooki pendant la période concernée », tandis qu'un autre est cité à comparaître pour son « travail de planification commerciale et budgétaire et de marketing… pour le compte de la DAO Ooki pendant la période concernée » pour la DAO Ooki après l'obtention du contrôle technique.

La CFTC décrit la participation active des cofondateurs à la DAO d'Ooki afin de démontrer pourquoi ils sont tenus personnellement responsables des actes de la DAO. Ceci est particulièrement intéressant car la définition de l'adhésion à une DAO par la CFTC ne requiert qu'un vote. Il ne devrait donc pas être nécessaire de démontrer la participation active des cofondateurs à la DAO pour établir leur appartenance à cette dernière comme base de leur responsabilité personnelle pour les actes de l'association à but lucratif non constituée en société. L'accent mis par la commission sur cette participation – bien qu'elle paraisse superflue au regard de la définition de l'adhésion à une DAO par la CFTC – indique qu'elle la considère comme probante du point de vue du contrôle des affaires.

Ces mesures d'application renforcent la nécessité pour les opérateurs de protocoles Web3 d'adopter une Juridique de conformité plus rigoureuse que « l'impossibilité technologique de se conformer, donc l'absence de conformité ». L'analyse approfondie du contrôle technique et commercial réalisée par la CFTC le démontre clairement. Même si le protocole bZx fonctionne de manière autonome, cela n'empêchera pas les régulateurs de chercher à identifier les opérateurs afin de les tenir responsables. Si l'analyse axée sur la technologie est un outil important pour étayer les évaluations des risques juridiques, les mesures prises par bZx montrent clairement que des distinctions purement techniques ne peuvent justifier une stratégie de conformité juridique détachée des réalités pratiques.

Tant que les mesures coercitives prises par les agences fédérales de régulation demeurent l'approche dominante en matière d'élaboration des Juridique dans le domaine du Web3, nous devons nous pencher sur ces mesures pour comprendre l'évolution du paysage réglementaire et les perspectives à venir. Les actions de la CFTC contre le protocole bZx démontrent que les régulateurs considèrent les points de contrôle comme des ficelles à Réseaux sociaux .