Mais do que apenas o Ooki DAO: Lições para empresas Web3 sobre controle após bZx

Em setembro, a Commodity Futures Trading Commission (CFTC) moveu duas ações contra a bZeroX, seus dois cofundadores e a organização autônoma descentralizada (DAO) Ooki por violações do Commodity Exchange Act e regulamentações subjacentes.

Embora a ação da comissão contra a Ooki DAO seja, sem dúvida, um marco significativo, há outros aspectos importantes dessas ações de execução que também merecem atenção especial, inclusive pelo que nos ensinam sobre como os reguladores veem o controle dos protocolos Web3 para contornar obstáculos técnicos e responsabilizar os operadores.

David J. Kappos é sócio do departamento corporativo da Cravath, Swaine & Moore e copresidente da prática de propriedade intelectual da empresa. Evan Mehran Norris é sócio do departamento de contencioso da Cravath, Swaine & Moore e membro da prática de investigações e execução regulatória da empresa. Daniel M. Barabander é associado do departamento corporativo da Cravath, Swaine & Moore.

Nos últimos anos, ouvimos repetidamente de participantes da indústria que a aplicação contra plataformas Web3 é improvável, ou mesmo impossível, porque as regulamentações existentes têm incompatibilidades arquitetônicas com a funcionalidade da plataforma Web3, tornando o conceito de conformidade inapropriado. Essa visão deve finalmente ser colocada de lado. Como o Departamento do Tesouro dos EUA (Tornado Cash) e agora a CFTC demonstraram, os reguladores podem e farão argumentos agressivos para manobrar em torno de potenciais barreiras à aplicação apresentadas pela Tecnologia Web3.

A área onde vemos repetidamente reguladores BLUR a linha entre a realidade técnica e seus objetivos regulatórios é em torno do controle de um protocolo descentralizado. O protocolo bZx, como todos os protocolos baseados em Ethereum, é construído usando contratos inteligentes, cuja característica definidora é que eles não exigem um operador centralizado para executar seu código; eles são executados de forma autônoma. Este é um desafio que a Tecnologia blockchain apresenta aos reguladores em geral – como responsabilizar pessoas por código que não exige pessoas identificáveis ​​para ser executado?

A ação de execução do bZx demonstra como pelo menos um regulador importante está pensando no controle dos protocolos Web3 para responsabilizar os operadores: examinando o controle técnico e comercial para traçar a linha entre pessoas identificáveis ​​e protocolos executados de forma autônoma.

Controle técnico

Controle técnico se refere aos mecanismos técnicos que os desenvolvedores de protocolo usam para controlar seu protocolo no nível de contrato inteligente, geralmente definindo funções “somente admin” que podem ser chamadas somente por partes específicas. O controle técnico está no cerne da análise da CFTC. Na verdade, é o determinante dos dois períodos de tempo que a CFTC estabelece – o “Período Relevante bZx” e o “Período Relevante DAO”.

Dentro desses dois períodos de tempo, a CFTC se concentra em quatro alavancas de controle – funcionalidades somente de administração retidas pela bZeroX e os cofundadores e, posteriormente, o DAO: (1) atualizar os contratos inteligentes do protocolo; (2) pausar ou suspender a negociação; (3) pausar ou suspender contribuições ou retiradas de ativos e resgates; e (4) direcionar a disposição dos fundos mantidos nos contratos inteligentes do protocolo.

O principal veículo da CFTC para apontar casos em que essas partes de fato exerceram tal controle está relacionado a duas explorações. Primeiro, ele cita um hack de US$ 55 milhões que o protocolo sofreu em novembro de 2021 após um “ataque de spearfishing contra um desenvolvedor bZx DAO”.

Em resposta à violação, o DAO exerceu seu controle sobre os fundos do tesouro, “votando para utilizar fundos do Tesouro do bZx DAO para compensar certos membros do bZx DAO e outros usuários do Protocolo bZx que perderam fundos em conexão com” o incidente.

Em segundo lugar, a comissão cita uma exploração de empréstimo de margem de fevereiro de 2020 que teve como alvo o bZx e levou a uma perda de 1.300 ETH encapsulados. Para interromper a hemorragia, “o bZeroX utilizou suas Chaves para pausar negociações e retiradas, e para implementar correções no código do contrato inteligente, para lidar com as perdas existentes ou potenciais para o Protocolo bZx” causadas pelo incidente.

Como esses dois incidentes mostram, o controle técnico está no cerne das explorações do Web3 porque ele (a) apresenta pontos centralizados de falha e, portanto, um vetor de ataque atraente em sistemas descentralizados e (b) existe para permitir que um protocolo responda rapidamente a emergências. As respostas a esses ataques tornam um caso fácil para os reguladores demonstrarem controle técnico e, portanto, operadores identificáveis do protocolo.

Controle de negócios

A CFTC também aponta repetidamente para “controles comerciais” mais suaves para mostrar que os entrevistados tinham controle do protocolo bZx e, portanto, deveriam ser responsabilizados.

A comissão se concentra mais claramente no fato de que os entrevistados “projetaram, implantaram, comercializaram e fizeram solicitações” relacionadas ao protocolo bZx.

Primeiro, está claro que a CFTC vê a operação de um site front-end para interagir com o protocolo bZx como uma forma de controle de negócios. A CFTC cita o front-end como um veículo “para comercializar, solicitar ordens e facilitar o acesso ao Protocolo bZx” porque ele “permitiu que os usuários, por meio do clique de alguns botões, transferissem ativos e abrissem posições no Protocolo bZx”.

Segundo, e como discutido acima, a CFTC cita as declarações públicas e o marketing dos respondentes como exemplos de controle empresarial. Por exemplo, a comissão aponta que os cofundadores “fizeram declarações públicas, apareceram em entrevistas, escreveram artigos, lideraram chamadas com membros da comunidade que estão publicamente disponíveis no YouTube e, de outra forma, comercializaram publicamente e solicitaram que membros do público utilizassem o Protocolo bZx” antes e depois da mudança do controle técnico para a DAO, tudo como uma forma de controle empresarial.

Terceiro, a participação ativa em uma DAO é vista como uma forma de controle empresarial. A CFTC descobre na ordem de liquidação que os cofundadores eram ativos em questões de governança da Ooki DAO. Além disso, um fundador é citado por seu “trabalho de desenvolvimento de protocolo e marketing … em nome da Ooki DAO durante o Período Relevante da DAO”, enquanto outro é citado por seu “trabalho de planejamento de negócios e orçamento e marketing … em nome da Ooki DAO durante o Período Relevante da DAO” para a Ooki DAO após obter o controle técnico.

A CFTC descreve a participação ativa dos cofundadores na Ooki DAO para mostrar por que eles estão sendo responsabilizados pessoalmente pelas ações da DAO. Isso é particularmente interessante porque a definição da CFTC de filiação à DAO exige apenas o voto, então não deve haver necessidade de mostrar o envolvimento ativo dos cofundadores na DAO para estabelecer sua filiação à DAO como base para responsabilizá-los pessoalmente pelas ações da associação não incorporada com fins lucrativos. O foco da comissão em tal participação — apesar de parecer supérfluo à luz da definição da CFTC de filiação à DAO — indica que ela vê tal participação como probatória do ponto de vista do controle empresarial.

Essas ações de execução reforçam a necessidade de operadores de protocolos Web3 terem uma Política de conformidade melhor do que "inviabilidade tecnológica de conformidade, então nenhuma conformidade". A análise aprofundada da CFTC sobre controle técnico e comercial mostra isso claramente. Embora o protocolo bZx seja executado de forma autônoma, isso não impedirá os reguladores de buscar identificar operadores para responsabilizá-los. Embora a análise de tecnologia em primeiro lugar seja uma ferramenta importante que pode ser usada para dar suporte a avaliações de risco legal, as ações bZx deixam claro que distinções puramente técnicas não podem justificar uma estratégia de conformidade legal separada das realidades práticas.

Enquanto as ações de execução por agências reguladoras federais continuarem sendo a abordagem dominante para o desenvolvimento de Política no campo Web3, precisamos olhar para essas ações para entender o estado em evolução do cenário regulatório e o que pode vir a seguir. Os movimentos da CFTC contra o protocolo bZx demonstram que os reguladores veem os pontos de controle como cordas a Siga para o marionetista.