”Code is Law” är en princip som diskuteras hett i det internationella kryptosamfundet. Frågan är vem som är ansvarig vid felaktig användning eller utnyttjande av programvara som ligger öppet och kan användas av vem som helst, men som leder till ekonomisk förlust?
Mads Ribe is an associated partner and leads EY's focus on Digital Law & AI in Norway. Mads is a leading business lawyer specializing in new technologies such as blockchain, digital assets, and artificial intelligence. He has assisted key players in the Norwegian blockchain community, including growth companies and more established players.
Norska mjukvaruföretag i DeFi går igenom en oförutsägbar tid inför implementeringen av MiCA, skriver advokat Mads Ribe i ett nytt blogginlägg. Teman har tagits upp i samband med ett franskt domstolsbeslut, och som Mads Ribe kommenterar i detta blogginlägg.
Är vissa former av hacking likvärdiga med att utnyttja en spelautomat för att extrahera extra vinster? En fransk domstol beslutade just om detta.
I december behandlade en fransk domstol ett ärende som har skapat stor kontrovers i kryptosamhället. Fallet handlade om två bröder som hackade Platypus Finance, ett DeFi-protokoll (decentraliserad finans). Genom att utnyttja en svaghet i koden kunde bröderna extrahera 8,5 miljoner dollar. De försvarade sig med principen ”Code is Law”, som dikterar att utnyttjande av en svaghet i koden inte är stöld, utan ett lagligt utnyttjande av koden till dess fördel. De godkändes för det.
”Code is Law” är en princip som diskuteras hett i det internationella kryptosamfundet. Termen är relaterad till branschens många decentraliserade protokoll, där vem som helst kan använda öppna program för att utföra olika kryptotransaktioner. Ett av de första och mest kända protokollen är MakerDAO. Här kan vem som helst använda sin programvara med öppen källkod/öppen programvara för att ta lån och tillhandahålla hypotekssäkerhet i kryptovaluta. Programmet består av en uppsättning smarta kontrakt, dvs automatiskt kodade åtgärder (som vanligtvis regleras i ett avtal), som överför, ger lån, pantsätter och låser upp kryptovaluta beroende på användaren.
Även om MakerDAO har skapat programmet har de avvisat juridiskt ansvar för att använda det. De motiverar det med det faktum att det ligger i det fria och kan användas av vem som helst. Frågan blir vem som är ansvarig vid felaktig användning eller utnyttjande av programvaran som leder till ekonomisk förlust från en användares sida?
Detta är vad de franska bröderna gjorde genom att utnyttja en svaghet i koden för en öppen programvara. I ett sådant sammanhang innebär principen ”Code is Law” att koden kan användas fritt, men på användarens risk. Om det finns en svaghet i koden som kan utnyttjas måste användare acceptera detta utan att kunna kräva ersättning från hackare. Koden utför de åtgärder som är möjliga och på användarens risk. Koden är alltså den centrala ramen för lagen och inte annan lagstiftning — ”kod är lag”.
Många människor är emot detta, och tror att all programvara och dess exploatering inte fungerar i ett vakuum utanför vanlig lagstiftning. Hacking är stöld och måste därför också likställas med stöld, både i straffrätt och skadeståndsrätt. Detta kan innebära att utvecklarna av koden, även om den är öppen och användbar av vem som helst, kan vara ansvariga för både svagheter och användning.
Övervägandet av att förhindra missbruk och skydda en omedveten användare som inte nödvändigtvis förstår koden och riskerna med dess användning måste därför vägas mot förutsägbarheten för den som har utvecklat och gjort koden tillgänglig till förmån för marknaden.
Den franska domstolen jämförde utnyttjandet av kod i öppen programvara med utnyttjandet av en spelautomat. Domen är baserad på fransk ”hacklag”, som tydligen kräver att hackningen innebär en bedräglig handling. Så var inte fallet här, eftersom bröderna hade använt programvaran på ett ”lagligt” sätt utan att ändra koden, lura sig själva med lösenord eller bedra någon i ordets verkliga mening.
Kritiker av domen anser att lagen inte passade fallet, genom att koden som är inneboende i smarta kontrakt är öppen, medan hacking förutsätter obehörig inträde. Man kan inte heller lura ett öppet tillgängligt smart kontrakt, eftersom detta inte är eller tydligen kontrolleras eller ägs av en juridisk person. Ett utnyttjande av koden skulle eventuellt innebära brott mot lojalitetsprincipen i avtalsförhållanden, en civilrättslig princip, som kan ge skadestånd enligt ett avtal mellan två parter. Domstolen ansåg att det i alla fall inte var bedrägeri i kriminell mening.
Detta är också frågan i ett anhängigt mål vid engelska domstolar (Tulip Trading Limited mot van der Laan m.fl. [2023] EWCA Civ 83). Här har den påstådda Bitcoin-skaparen Craig S. Wright stämt mjukvaruutvecklare av olika versioner av Bitcoin blockchain i England. Bakgrunden är att Wright fråntogs sina privata nycklar till sin digitala plånbok i en hackerattack som involverade Bitcoin värt över 4 miljarder dollar vid den tidpunkt då rättegången inleddes (vilket förmodligen är mycket högre nu med tanke på den senaste utvecklingen i Bitcoin-priset). Wrigth har stämt utvecklare av Bitcoin blockchain med krav på att ändra källkoden så att Wrigth återfår kontrollen över de privata nycklarna. Ingen av utvecklarna hör hemma i England och utvecklarna hävdar att Bitcoin blockchain är decentraliserad utan att vara baserad i ett specifikt land. Ärendet har dock inte avvisats vid det första hindret eftersom appellationsdomstolen har funnit det realistiskt att engelska domstolar har behörighet. Denna fråga blir nu föremål för muntliga förfaranden under 2024 och kommer att få stora ringeffekter för decentraliserade blockkedjor och digitala tillgångar om engelska domstolar hävdar jurisdiktion och tar den underliggande frågan för övervägande. Om Craig S. Wright vinner rättegången hävdar vissa att detta kan vara början på en kollaps i värdet på digitala tillgångar och särskilt Bitcoin.
Tiden kommer att visa om den franska domstolens jämförelse med en spelautomat håller och hur norska domstolar kommer att hantera liknande frågor, som onekligen kommer att komma. Även om domen behandlades av en fransk förstainstansdomstol, som i allmänhet har lågt rättsligt värde för alla andra domstolar (även i Frankrike), är den möjligen den första i sitt slag och är ett exempel på hur sådana mål kan hanteras även i framtiden.
Det är dock värt att notera att ärendet har en kriminell karaktär och en civilrättslig karaktär. Även om det inte föreligger något bedrägeri är frågan om ett smart kontrakt, det vill säga en affär som utförs enligt kod, måste relatera till de allmänna avtalsrättsliga principerna. I detta fall kan avsikten bakom åtgärden vara viktig. Samtidigt är det inte alltid möjligt att identifiera en avtalsmässig motpart i ett smart kontrakt och det kan vara svårt att definiera i vilken jurisdiktion kontraktet genomförs när det ligger öppet i ”molnet”. Alternativet är därför att koden anses vara ”lagen” i den meningen att det bara är koden, och hur den kan användas eller missbrukas, som är viktig för den rättsliga prövningen.
Hur som helst kommer diskussionen fortfarande att rasa på den globala marknaden för decentraliserad finansiering. Det är inte sista gången domstolar i Europa möter argument ”Code is Law” när de utnyttjar svagheter i koden. Man kan därför fråga sig om decentraliserad finansiering är för alla eller bara för dem som fullt ut förstår koden och komplexiteten som följer med den.
Kauprs blogginlägg är öppet för inlägg, analyser och debatt på norska, danska eller svenska, och i vissa fall även på engelska. Skicka din artikel eller idé till morten@kaupr.io.