M-am trezit în dimineața asta cu zeci de notificări de mesaje în succesiune rapidă. The DAO a fost atacat. Mai mult de 50 de milioane de dolari în ether fuseseră deja storși. Cel puțin o soluție tehnică fusese deja propusă.
Unora le-a plăcut, altora nu. Pe lângă remediile tehnice, unii au întrebat de remedii legale care ar putea să fie disponibile împotriva atacatorului DAO.
Ar putea să fie trași la răspundere penal sau civil? Pot fi dați în judecată? Dacă da, cum? Dacă se poate, atunci cine trebuie să îl dea în judecată? Iată câteva idei pe această temă.
Legea penală
Se pune problema statutului infracțional federal, iar aici sunt multe variante.
Se poate începe cu furtul și să se facă iterații pornind de aici. O gamă largă de legi federale se pot aplica în mare pentru a revoca autorizarea accesului la sisteme computerizate care depășesc autorizarea. Pe lângă amenzi, penalități și închisoare, legislația penală aduce și alte remedii pentru părțile afectate și oferă despăgubiri pentru pierderi.
Dacă soluția se află sau nu pe radarul autorităților este o problemă separată. Tot ce spun este că da, legislația s-ar putea să fi fost încălcată.
Există însă posibile căi de apărare pentru hacker? Pot pur și simplu să dea etherii înapoi? Așa cum a comentat cineva pe Twitter, să se returneze etherii ar fi văzut ca un act de mitigare, dar nu servește neapărat ca apărare în cazul de răspundere penală.
Alții au sugerat că atacatorul nu poate fi făcut răspunzător pentru că a făcut un lucru permis de contract. Este un argument interesant, dar, pe scurt, vulnerabilitatea de cod nu reprezintă un consimțământ.
Ca formulă de apărare, este apă chioară. Furtul este furt.
Explorarea unei vulnerabilități a unui cod de card la bancomat nu îți permite să iei bani care nu sunt ai tăi de la bancă.
Legea civilă
În al doilea rând, cum rămâne cu răspunderea civilă? Poate fi hackerul dat în judecată pentru daune sau compensații? Da, se poate.
Faptul că este anonim sau pseudonym nu este neapărat o problemă în prima fază. Dacă poate fi localizat în spatele adresei de contract este o problema care poate fi curând testată. Doar ca problema procedurala, nu trebuie neapărat să știi cine a făcut dauna și unde se alfă pentru a da persoana respective în judecată.
În SUA, un acuzat anonim poate să fie folosit în plângerea inițială (depinde de jurisdicție) și poate servi ca mecanism pentru a începe procesul și încercările de a localiza hackerul. Cu un process pornit, primești mandat, printre altele.
Cine ar putea să dea în judecată atacatorul? Cineva afectat de furt ar putea să dea în judecată hackerul în nume propriu. Ar putea să facă un process comun ca reprezentat al deținătorilor jetoanelor. Cel mai probabil nu DAO ar fi cel care acționează în instanță.
Un proces intentat de DAO ca DAO ar însemna că DAO are o personalitate legală și abilitatea de a lua decizii off-chain despre litigii și de a angaja un avocat. Este neclar dacă The DAO ar putea să fie client. Este vorba de un cod, nu-I așa?
O abordare mai simplă (desi imperfectă) ar fi ideea de reclamanți private care să dea în judecată atacatorul în numele tuturor deținătorilor de jetoane.
Legislația delictuală
Ce acuzații I se pot aduce hackerului? Sunt multe, Din punct de vedere al legislației delictuale, ar fi conversia.
Este un remediu delictual disponibil atunci când cineva fură proprietate de orice fel.
O problema este faptul că conversia ar putea să nu fie disponibilă pentru bani sau monede – în funcție de jurisdicția în care remedierea poate fi disponibilă doar pentru proprietate tangibilă. Este etherul proprietate tangibilă? Asta depinde din nou de jurisdicție.
Multe alte teroii delictuale mai sunt însă disponibile. Furt civil, fraudă, încălcarea proprietății sunt doar câteva exemple. Revendicări implicite ale contractului sunt de asemenea o soluție.
A încălcat hackerul un acord implicit sau o datorie implicită de bună credință și corectitudine? Probleme echitabile ca îmbogățirea injustă ar fi de asemenea o varianta. Acestea sunt doar niște exemple, nu este o analiză exclusivă și exhaustiva.
Cum rămâne cu daunele? Aici se cer niște speculații. Pierderea valorii jetoanelor ar putea să fie o măsură a daunelor. Alte teorii pentru daune ar putea să apară. De exemplu, gândiți-vă la un caz în care manipularea pieței ar fi un motiv.
S-ar putea ca atacatorul să fi anticipat că un furt semnificativ ar putea să cauzeze o scădere a prețului ether și să parieze pe piață în consecință. Dacă acesta este cazul, atunci confiscarea câștigurilor ar putea să fie un remediu posibil.
În concluzie – dacă credeți că hackerul este personajul negativ, remedii legale echitabile sunt posibile. La fel și daunele.
Sursa – avocat Stephen D Palley via CoinDesk