Se interpuso una novedosa acción de clase ante un tribunal estadounidense contra una DAO por negligencia. Un desarrollador perdió las claves de acceso por un correo con phishing, lo que derivó en el hackeo de U$S 50 millones. Varios usuarios consideraron a los fundadores e inversores de la misma como una "sociedad general", que operaba desde California con fines de lucro.
Novedosa acción de clase presentada ante un tribunal estadounidense reclama contra una DAO (decentralized autonomous organization), es decir una “organización autónoma descentralizada” la pérdida de millones de dólares debido a un hackeo del protocolo “bZx” utilizado como plataforma descentralizada de préstamos DeFi y operaciones de margen y apalancamiento.
Las DAO permiten dirigir un proyecto usando la tecnología blockchain (que registra toda la información) y mediante contratos inteligentes o protocolos de consenso que permiten mayor transparencia, así como autonomía y seguridad. En forma resumida, se programan acciones que pueden ejecutarse según algunos parámetros (Smart contracts) o bien las decisiones se toman entorno al consenso generado por los que participan de ella. Pudiendo generarse tokens (intercambiables) que sirvan para dar derecho a voto.
Uno de los desarrolladores cayo en un caso de “phishing” y así perdió las claves de acceso que permitió que los cibercriminales vaciaran las cuentas de los actores.
En el caso, varios usuarios de la plataforma denunciaron la negligencia de la empresa, ya que ni siquiera se trató de una vulnerabilidad del protocolo o un hackeo complejo, sino que uno de los desarrolladores cayo en un caso de “phishing” y así perdió las claves de acceso que permitió que los cibercriminales vaciaran las cuentas de los actores. Peticionaban daños y perjuicios para los miembros de la clase, más daño punitivo y costas.
Manifestaron que los propios demandados (bZx DAO, KYLE KISTNER, TOM BEAN, HASHED INTERNATIONAL LLC, AGE CRYPTO LLC, OOKI DAO, LEVERAGEBOX LLC, and bZeroX LLC) reconocieron el hecho al ofrecer un “plan de compensaciones” al que calificaron de inadecuado y que “no había una esperanza real de cobro”, y que, si bien se trataba de una DAO, bajo la ley de ese país, este tipo de acuerdo se denominan “sociedades generales” y ello hace responsables solidarios a todos sus socios.
En ese senda, entendieron que el Tribunal tenía jurisdicción personal específica sobre todos los demandados porque ellos entraron intencionadamente en una sociedad general controlada desde California, siendo socios con al menos un miembro que ha llevado a cabo negocios de la sociedad en California y han dirigido al menos algunas de sus actividades de sociedad en California y explicaron que “los protocolos DeFi se gobiernan casi siempre como "Organizaciones Autónomas Descentralizadas", o "DAO"”.
En las DAO, “no hay una estructura corporativa formal, ni protección de responsabilidad explícita, ni distinción entre, por ejemplo, gerentes y directores, o entre socios generales y limitados. En su lugar, los titulares de tokens específicos -como el token BZRX en cuestión- tienen derechos de gobernanza que permiten a los titulares sugerir acciones que la DAO asociada tomará”
Entendiendo que, en las DAO, “no hay una estructura corporativa formal, ni protección de responsabilidad explícita, ni distinción entre, por ejemplo, gerentes y directores, o entre socios generales y limitados. En su lugar, los titulares de tokens específicos -como el token BZRX en cuestión- tienen derechos de gobernanza que permiten a los titulares sugerir acciones que la DAO asociada tomará”
“Estas sugerencias se votan y se ponen en práctica si el número requerido de titulares de tokens apoya las acciones. Las acciones incluyen muchas de las que suelen realizar los directivos, los consejos de administración o los empleados de las empresas, como gastar los fondos de la tesorería para contratar a personas, cambiar los objetivos y las políticas de la organización e incluso distribuir los activos de la tesorería a los titulares de los tokens, al igual que las empresas pueden autorizar los dividendos. Los poseedores de tokens de gobernanza pueden, por tanto, participar en la gobernanza de un protocolo, tienen un derecho potencial sobre sus beneficios y comparten la responsabilidad de sus obligaciones”.
El texto, al que accedió Diario Judicial, señaló que en el caso el protocolo ofrecía dos productos “Fulcrum” y “Torque”, siendo el primero el utilizado por los actores para prestar sus criptomonedas en forma descentralizada y ganar con ello intereses.
Para los reclamantes el protocolo en su web afirmaba que era seguro porque se manejaba con “Audited Smart Contracts” (contratos inteligentes auditados”) y un fondo de seguro, todo ello bajo el lema “Security Is Our Priority”, es decir “La seguridad es nuestra prioridad”. Que además la compañía expresaba que los usuarios no debían preocuparse porque los fondos fueran robados o los intercambios hackeados.
De igual modo, los accionantes precisaron que el plan de compensación que voto la DAO, implicaba en una etapa pagar uno a uno los tokens perdidos tomando tokens de la cuenta compartida de la DAO, algo así como la caja fuerte general, y para algunos usuarios, sustituyendo los tokens perdidos por una versión del token BZRX que se adquiriría completamente con el tiempo. En la segunda etapa, se abonaba tokens de deuda que prometía pagar con el 30% de las ganancias que fuera generando la DAO en el futuro, hasta reembolsar todas las pérdidas, lo que según los actores tardaría cientos de años.
Con posterioridad al Hackeo la DAO alentó a los usuarios a migrar hacía una nueva DAO denominada Ooki, “sucesora directa de la red”.
En la demanda se alegó que “dada su estructura y funcionamiento, las DAOs bZx y Ooki son asociaciones generales de los tokenholders y los inversores, para llevar a cabo como copropietarios (de las DAOs de bZx y Ooki, con el control compartido de los fondos de la tesorería de bZx y Ooki, entre otros activos), un negocio con ánimo de lucro (los protocolos de bZx y Ooki y los productos relacionados construidos sobre ellos, siendo los beneficios el derecho a los fondos mantenidos en las respectivas tesorerías).”
Invoca que tanto Kyle Kistner como Tom Bean fueron cofundadores del protocolo y operaban desde California, donde eran tomadores de decisiones dentro de la empresa, que Hashed International LLC y AGE Crypto GP, LLC eran inversores del proyecto y participaban en la toma de decisiones, y que AGE si bien tenía oficinas en Nevada era controlada desde California.
Tanto bZx (antes bZeroX LLC) como Ooki eran DAOs que generaron una sociedad general y sus miembros dirigieron la gobernanza del protocolo. En tanto Leveragebox LLC opera la plataforma Fulcrum.
Se acusó de negligencia en el mantenimiento de la seguridad de la red, así como en la supervisión de sus desarrolladores, ya que un solo programador no podía tener las contraseñas de acceso que pongan en riesgo a toda la red.
Se acusó de negligencia en el mantenimiento de la seguridad de la red, así como en la supervisión de sus desarrolladores, ya que un solo programador no podía tener las contraseñas de acceso que pongan en riesgo a toda la red.