Можно ли законно получить $53 миллиона через смарт-контракт Ethereum

Оценка юристов компании «Толкачев и партнеры»

Произошедшая 17 июня атака на фонд The DAO вызвала дискуссию о том, насколько «умны» смарт-контракты, допустимо ли производить откат всех транзакций Ethereum для предотвращения атаки и насколько законны действия хакера по выводу средств.

Юристы компании «Толкачев и партнеры» Артем Толкачев и Ксения Осипова подготовили для vc.ru описание событий.

Можно ли законно получить $53 миллиона через смарт-контракт Ethereum

The DAO (Децентрализованная автономная организация) — проект по привлечению капитала от широкого круга инвесторов для реализации бизнес-проектов и последующего возврата инвестиций. Принципиальное отличие The DAO от других площадок краундинвестинга в том, что для оформления всех отношений на площадке используется платформа Ethereum и смарт-контракты. Ключевые характеристики The DAO:

  • Инвесторы анонимны.
  • В качестве капитала используются эфиры (криптовалюта платформы Ethereum).
  • Отношения между инвесторами, а также между инвесторами и проектами регулируются смарт-контрактами (это программный код, обеспечивающий автоматическое исполнение, то есть перевод эфира между участниками).
  • Решения по финансированию конкретного проекта инвесторы принимают голосованием.

Эти характеристики, в особенности первая и последняя, привели к тому, что основной сущностью The DAO стал токен. Несмотря на уведомление на сайте The DAO, что токен не является акцией, объяснить его назначение проще всего как раз через акцию. С одной стороны, токен подтверждает вклад инвестора, с другой — позволяет инвестору голосовать и получать доход от своих инвестиций. Кроме того, токен, совсем как ценную бумагу, можно продать.

Единственное, что мешает поставить знак равенства между токеном и акцией, — отсутствие акционерного общества. The DAO является объединением имущества физических лиц по примеру товарищества или партнерства, только такого, в котором партнеры ничего не знают друг о друге. Таким образом, определение The DAO в качестве программного обеспечения — лукавство. Скорее это промежуточная форма организации между товариществом, акционерным обществом и фондом или, как скромно утверждается на сайте The DAO, «новая форма организации человеческих индивидуумов».

Первоначальный капитал The DAO набрала чуть меньше чем за месяц: продажа токенов началась 30 апреля и закончилась 28 мая (сначала 100 токенов продавалось за ETH 1, затем цена постепенно повысилась до ETH 1,5). В этот день эмиссия токенов была завершена, а все полученные эфиры были аккумулированы на кошельке The DAO и в переводе на доллары США составили $132,7 млн.

Для покупки токенов пользователь использовал Ethereum-кошелек, а перед покупкой ему предлагалось изучить уведомление о рисках. Там, помимо прочего, утверждалось, что программный код The DAO может содержать ошибки, которые могут привести к потере токенов или эфиров с кошелька одного или всех инвесторов. При покупке токенов пользователь принимал условия смарт-контракта, в котором содержались все условия участия в организации (о чем также было прямо сказано на сайте).

Почему стал возможен вывод средств

The DAO создавалась с возможностью выхода для инвестора — причем не путем простой продажи своих токенов (для этого можно использовать специализированную биржу), а путем выделения дочерних организаций. Предполагалось, что это будет способ защиты миноритариев, когда они перестанут соглашаться с решениями, которые принимает большинство. Выйти из The DAO можно в одиночку, назначив себя куратором (публичные лица, которые наблюдают за The DAO и занимаются проверкой тех, кто предлагает проекты для получения инвестиций).

Чтобы создать дочернюю организацию, необходимо подготовить предложение о разделении, которое представляет собой программный код, и вынести его на голосование инвесторов. После этого все проголосовавшие инвесторы могут воспользоваться функцией splitDAO для получения своих вкладов и создания дочерней организации.

Поскольку код в основе Ethereum является рекурсивным, после того как функция разделения The DAO обращается к основному коду для получения выплаты, основной код обращается к функции разделения The DAO, а последняя — опять к основному коду для получения выплаты. Это приводит к тому, что выплата уходящему инвестору происходит несколько раз и потенциально весь эфир может перейти от The DAO к ее «дочке». Уязвимость была обнаружена до вывода средств из The DAO; более того, предлагалось внести в смарт-контракт изменения, чтобы ее исправить.

Что случилось

Именно этой особенностью функции splitDAO и воспользовался анонимный инвестор, 17 июня создавший «дитя DAO», в результате чего с кошелька The DAO было выведено более ETH 3,5 млн (примерно $53 млн). Это событие привело к снижению стоимости токенов на торгующих ими биржах. Сейчас активно обсуждаются методы пресечения дальнейших действий «хакера», благо что согласно смарт-контракту он не сможет воспользоваться полученными средствами в течение 27 дней (то есть до 7 июля).

В качестве ответных мер предлагалось, например, приостановить торговлю токенами и эфиром на биржах и направлять спам в виде пустых транзакций на адрес The DAO, чтобы приостановить выплату эфира. Помимо таких временных методов, обсуждается более глобальное решение — внесение изменений в действующий код, чтобы отменить транзакции и вернуть эфир на счета The DAO (soft fork), а затем и на счета инвесторов (hard fork).

Данные действия рассматриваются неоднозначно — в первую очередь потому, что противоречат основным принципам Ethereum: неизменности транзакций и децентрализации. На это противоречие указывает и сообщение, опубликованное якобы «хакером»: он утверждает, что получил эфир на основе смарт-контракта, а значит, законно. Попытки отменить эти транзакции он полагает возможным оспорить в суде.

Юридическая оценка ситуации

Вряд ли действия бывшего инвестора можно назвать правомерными, хотя функция, которой он воспользовался, предусмотрена самим смарт-контрактом. Любой договор, даже с приставкой «смарт», нужно толковать исходя из цели, с которой его заключали. Цель функции splitDAO — вовсе не обогатить уходящего инвестора за счет остающихся, а вернуть то, что уходящий инвестор вложил, а также закрепить за ним права в будущем получать доходы от проектов, которые были одобрены до разделения The DAO.

На наш взгляд, использование «хакером» функции splitDAO можно трактовать как злоупотребление правом. Например, в российском гражданском праве предусмотрен запрет на недобросовестное осуществление гражданских прав. Последствия такого недобросовестного поведения — отказ в судебной защите и возмещение убытков потерпевшей стороне.

Именно поэтому вероятность того, что «хакер» выиграет, если обратиться с иском в суд, кажется довольно низкой. Удовлетворение требований о возмещении убытков, которые причинил hard fork другим инвесторам, более вероятно, но в этом случае потенциальный истец столкнется с проблемой: кому предъявлять иск, если у The DAO нет представителя?

Хотя понятие недобросовестности относится к оценочным, это, пожалуй, именно то, чего не хватает в случившейся истории и в ее восприятии обществом. Отметим, что презумпция добросовестности и запрет на недобросовестное поведение универсальны для различных правовых систем и применяются в том числе в США, на чье право содержалась ссылка в сообщении. (Концепция The Implied Covenant of Good Faith in Contract Interpretation закреплена как судебными прецедентами, так и кодифицированными источниками права.)

Рекомендации

Краудинвестинг — в целом довольно рискованное предприятие, однако атака на The DAO показала, что беспристрастные смарт-контракты не всегда гарантируют инвестору защиту. Учитывая, что у The DAO не хватило устойчивости, чтобы выдержать атаку, а получение компенсации от анонима (тем более из другого государства) вряд ли будет быстрым и успешным, к вопросу об участии в этих проектах стоит подходить всерьез. Нужна будет помощь не только юриста, но и опытного разработчика, а лучше хакера: пусть за деньги найдет вам уязвимость.

Условия смарт-контракта стоит изложить в юридическом документе: это не предотвратит его автоматическое исполнение, но позволит использовать дополнительный источник для толкования цели договора исходя из воли сторон. Кроме того, это затруднит легализацию полученных хакерами средств.

10 комментариев

потрясающее описание: предельно детально, точно и человеческим языком. вау.

ps.
большая часть сми, не вдаваясь в механику системы, смешала Etherium и DAO. в итоге новость прозвучала так: Etherium fucked. что совсем не так.

7

Спасибо, старались. Что до Эфира, думаю, это довольно хорошее испытание для всей системы. Если будет принято решение о форке, то приведенный вами тезис будет выглядеть вполне обоснованным :)

2

Вот эталонная статья! Понятно, точно, доступно и информативно. Спасибо

2

Сами разработчики Ethereum теперь уже проводят "белую атаку" на The DAO http://ethereumforum.ru/viewtopic.php?pid=68#p68

1

Присоединяюсь к комментаторам, писающим от восторга.
Первый нормальный обзор ситуации, где учтена и техническая и юридическая часть.

1

У меня такой вопрос(я не в теме) - в результате "кражи" этих эфиров на $53 млн, уменьшилось ли количество эфиров у других владельцев? Или хакер так сказать намайнил дополнительные эфиры, вызвав инфляцию в системе и снизив тем самым стоимость каждого эфира?

1