Можно ли законно получить $53 миллиона через смарт-контракт Ethereum
Произошедшая 17 июня атака на фонд The DAO вызвала дискуссию о том, насколько «умны» смарт-контракты, допустимо ли производить откат всех транзакций Ethereum для предотвращения атаки и насколько законны действия хакера по выводу средств.
Юристы компании «Толкачев и партнеры» Артем Толкачев и Ксения Осипова подготовили для vc.ru описание событий.
The DAO (Децентрализованная автономная организация) - проект по привлечению капитала от широкого круга инвесторов для реализации бизнес-проектов и последующего возврата инвестиций. Принципиальное отличие The DAO от других площадок краундинвестинга в том, что для оформления всех отношений на площадке используется платформа Ethereum и смарт-контракты. Ключевые характеристики The DAO:
- Инвесторы анонимны.
- В качестве капитала используются эфиры (криптовалюта платформы Ethereum).
- Отношения между инвесторами, а также между инвесторами и проектами регулируются смарт-контрактами (это программный код, обеспечивающий автоматическое исполнение, то есть перевод эфира между участниками).
- Решения по финансированию конкретного проекта инвесторы принимают голосованием.
Эти характеристики, в особенности первая и последняя, привели к тому, что основной сущностью The DAO стал токен. Несмотря на уведомление на сайте The DAO, что токен не является акцией, объяснить его назначение проще всего как раз через акцию. С одной стороны, токен подтверждает вклад инвестора, с другой - позволяет инвестору голосовать и получать доход от своих инвестиций. Кроме того, токен, совсем как ценную бумагу, можно продать.
Единственное, что мешает поставить знак равенства между токеном и акцией, - отсутствие акционерного общества. The DAO является объединением имущества физических лиц по примеру товарищества или партнерства, только такого, в котором партнеры ничего не знают друг о друге. Таким образом, определение The DAO в качестве программного обеспечения - лукавство. Скорее это промежуточная форма организации между товариществом, акционерным обществом и фондом или, как скромно утверждается на сайте The DAO, «новая форма организации человеческих индивидуумов».
Первоначальный капитал The DAO набрала чуть меньше чем за месяц: продажа токенов началась 30 апреля и закончилась 28 мая (сначала 100 токенов продавалось за ETH 1, затем цена постепенно повысилась до ETH 1,5). В этот день эмиссия токенов была завершена, а все полученные эфиры были аккумулированы на кошельке The DAO и в переводе на доллары США составили $132,7 млн.
Для покупки токенов пользователь использовал Ethereum-кошелек, а перед покупкой ему предлагалось изучить уведомление о рисках. Там, помимо прочего, утверждалось, что программный код The DAO может содержать ошибки, которые могут привести к потере токенов или эфиров с кошелька одного или всех инвесторов. При покупке токенов пользователь принимал условия смарт-контракта, в котором содержались все условия участия в организации (о чем также было прямо указано на сайте).
Почему стал возможен вывод средств
The DAO создавалась с возможностью выхода для инвестора - причем не путем простой продажи своих токенов (для этого можно использовать специализированную биржу), а путем выделения дочерних организаций. Предполагалось, что это будет способ защиты миноритариев, когда они перестанут соглашаться с решениями, которые принимает большинство. Выйти из The DAO можно в одиночку, назначив себя куратором (публичные лица, которые наблюдают за The DAO и занимаются проверкой тех, кто предлагает проекты для получения инвестиций).
Чтобы создать дочернюю организацию, необходимо подготовить предложение о разделении, которое представляет собой программный код, и вынести его на голосование инвесторов. После этого все проголосовавшие инвесторы могут воспользоваться функцией splitDAO для получения своих вкладов и создания дочерней организации.
Поскольку код в основе Ethereum является рекурсивным, после того как функция разделения The DAO обращается к основному коду для получения выплаты, основной код обращается к функции разделения The DAO, а последняя - опять к основному коду для получения выплаты. Это приводит к тому, что выплата уходящему инвестору происходит несколько раз и потенциально весь эфир может перейти от The DAO к ее «дочке». Уязвимость была обнаружена до вывода средств из The DAO; более того, предлагалось внести в смарт-контракт изменения, чтобы ее исправить.
Что случилось
Именно этой особенностью функции splitDAO и воспользовался анонимный инвестор, 17 июня создавший «дитя DAO», в результате чего с кошелька The DAO было выведено более ETH 3,5 млн (примерно $53 млн). Это событие привело к снижению стоимости токенов на торгующих ими биржах. Сейчас активно обсуждаются методы пресечения дальнейших действий «хакера», благо что согласно смарт-контракту он не сможет воспользоваться полученными средствами в течение 27 дней (то есть до 7 июля).
В качестве ответных мер предлагалось, например, приостановить торговлю токенами и эфиром на биржах и направлять спам в виде пустых транзакций на адрес The DAO, чтобы приостановить выплату эфира. Помимо таких временных методов, обсуждается более глобальное решение - внесение изменений в действующий код, чтобы отменить транзакции и вернуть эфир на счета The DAO (soft fork), а затем и на счета инвесторов (hard fork).
Данные действия рассматриваются неоднозначно - в первую очередь потому, что противоречат основным принципам Ethereum: неизменности транзакций и децентрализации. На это противоречие указывает и сообщение, опубликованное якобы «хакером»: он утверждает, что получил эфир на основе смарт-контракта, а значит, законно. Попытки отменить эти транзакции он полагает возможным оспорить в суде.
Юридическая оценка ситуации
Вряд ли действия бывшего инвестора можно назвать правомерными, хотя функция, которой он воспользовался, предусмотрена самим смарт-контрактом. Любой договор, даже с приставкой «смарт», нужно толковать исходя из цели, с которой его заключали. Цель функции splitDAO - вовсе не обогатить уходящего инвестора за счет остающихся, а вернуть то, что уходящий инвестор вложил, а также закрепить за ним права в будущем получать доходы от проектов, которые были одобрены до разделения The DAO.
На наш взгляд, использование «хакером» функции splitDAO можно трактовать как злоупотребление правом. Например, в российском гражданском праве предусмотрен запрет на недобросовестное осуществление гражданских прав. Последствия такого недобросовестного поведения - отказ в судебной защите и возмещение убытков потерпевшей стороне.
Именно поэтому вероятность того, что «хакер» выиграет, если обратиться с иском в суд, кажется довольно низкой. Удовлетворение требований о возмещении убытков, которые причинил hard fork другим инвесторам, более вероятно, но в этом случае потенциальный истец столкнется с проблемой: кому предъявлять иск, если у The DAO нет представителя?
Хотя понятие недобросовестности относится к оценочным, это, пожалуй, именно то, чего не хватает в случившейся истории и в ее восприятии обществом. Отметим, что презумпция добросовестности и запрет на недобросовестное поведение универсальны для различных правовых систем и применяются в том числе в США, на чье право содержалась ссылка в сообщении. (Концепция The Implied Covenant of Good Faith in Contract Interpretation закреплена как судебными прецедентами, так и кодифицированными источниками права.)
Рекомендации
Краудинвестинг - в целом довольно рискованное предприятие, однако атака на The DAO показала, что беспристрастные смарт-контракты не всегда гарантируют инвестору защиту. Учитывая, что у The DAO не хватило устойчивости, чтобы выдержать атаку, а получение компенсации от анонима (тем более из другого государства) вряд ли будет быстрым и успешным, к вопросу об участии в этих проектах стоит подходить всерьез. Нужна будет помощь не только юриста, но и опытного разработчика, а лучше хакера: пусть за деньги найдет вам уязвимость.
Условия смарт-контракта стоит изложить в юридическом документе: это не предотвратит его автоматическое исполнение, но позволит использовать дополнительный источник для толкования цели договора исходя из воли сторон. Кроме того, это затруднит легализацию полученных хакерами средств.