Code is Law?

Bijdrage van Erik

Stel je voor, een hypermoderne, volledig op zichzelf werkende, automatische kluis. Er is geen bewaker, politie of rechter nodig, want: “de kluis is de wet”. Maar dan ontdekt iemand dat als je op een bepaalde, niet voorziene manier aan de knoppen van het cijferslot draait, de kluisdeur tóch open gaat. Een inbreker gebruikt deze list om andermans geld uit de kluis te ontvreemden. Als bouwer van de kluis kun je redeneren dat de kluis zelf de wet is; wat mogelijk is, kan geen inbraak zijn. Maar de meeste mensen zullen zeggen dat het gewoon diefstal is.

Dat is de kern van het debat dat in de pas uitgekomen documentaire Code is Law centraal staat. Kan het recht zijn loop hebben na een hack, in een geprogrammeerde wereld gebouwd om menselijk ingrijpen buiten de deur te houden? Als alles in laatste instantie door software bepaald wordt?

De bekroonde documentaire is onder meer te zien op Vimeo

Slapeloze nachten developers

Al snel in de film blijkt dat een DeFi-protocol in werkelijkheid geen onfeilbare ‘wet’ is, maar het resultaat van menselijke keuzes én – onherroepelijk – fouten.

Als er iets blijft hangen van deze interessante docu, is het het ongemak van de developers die hun DeFi-applicaties op een bepaald punt live moeten laten gaan. De programmeurs die aan het woord komen, vertellen hoe ze peentjes zweetten op het moment van op de live-knop drukken, in de wetenschap dat bug fixes daarna niet meer mogelijk waren. Zo werken programmeurs in andere domeinen nooit. En dat maakt ze kwetsbaar: één onvoorziene fout in de code kan miljoenen kosten, zoals bleek bij de hack van de Ethereum DAO in 2016.

Na zo’n hack volgen inderhaast opgezette ‘war rooms’, slapeloze nachten en soms zelfs doodsbedreigingen. Weinig developers kregen het ooit zo zwaar te verduren als de makers van de Ethereum DAO. Misschien alleen de programmeurs van de eerste maanlander in 1969, die vlak voor de landing van Apollo 11 een foutmelding zagen opflitsen.

Code is Law is de eerste documentaire waarin het team dat de Ethereum DAO lanceerde uitgebreid aan het woord komt. Vitalik Buterin niet, maar wel prominente devs als Fabian Vogelsteller en Lefteris Karapetsas. Ze vertellen hoe ze het steeds benauwder kregen toen de DAO in korte tijd 160 miljoen dollar aan ETH ophaalde. Een enorme honey pot, slechts verzekerd door hun code. Dit was een veel te grote verantwoordelijkheid; het ging om 15% van alle ETH die toen in omloop was.

Enkele dagen nadat de crowdfunding voor de oprichting van de DAO sloot, ging het al mis. Een hacker begon de kas leeg te trekken en stopte pas nadat hij zo’n vijf procent van alle ETH had buitgemaakt. Het DAO-team probeerde nog als een soort Robin Hood het resterende geld veilig te stellen, maar uiteindelijk werd – na veel discussie – besloten om de blockchain terug te draaien tot vóór de hack. Een controversiële beslissing die een fork van ethereum opleverde. Hoe dan ook, code was hier dus duidelijk géén wet.

Op de hypothese van Laura Shin dat Toby Hoenisch de hacker zou zijn, gaat de documentaire niet in. Hoenisch was destijds de oprichter en ceo van cryptobedrijf het inmiddels failliete TenX.

Hacks op een spectrum: van bug tot prijsmanipulatie

In Code is Law wordt duidelijk dat hacks er in verschillende soorten zijn. Het is een spectrum. Aan de ene kant staan duidelijke technische fouten die worden uitgebuit. Aan de andere kant kwetsbaarheden voor tradingstrategieën die het systeem in onbalans brengen en de prijs van tokens manipuleren.

De DAO hack was een voorbeeld van het eerste, een klassieke ‘bug-exploit’. Een fout in de code die een zogeheten re-entrancy vulnerability oplevert: de hacker kon herhaaldelijk geld opnemen doordat het smart contract eerst uitbetaalde en pas helemaal aan het eind van het proces het saldo bijwerkte.

Een tweede hack die centraal staat in de documentaire is die van Indexed Finance (2021), een soort indexfonds van cryptocoins. Hier ging het niet om een duidelijke bug maar om een ‘economisch lek’. De aanvaller manipuleerde tijdelijk de prijsverhoudingen in een smart contract, door extreem grote swaps te doen. Slim? Ja. Eerlijk? Twijfelachtig. Het is overigens bekend wie deze hacker is: Andean Medjedovic, een destijds 18-jarige Canadese wiskundestudent. Geen typische hacker, omdat hij geen beloning accepteerde en zelfs het geld niet terugstortte toen Indexed Finance achter zijn identiteit was gekomen. Hij is inmiddels aangeklaagd, maar de rechtszaak ligt stil omdat hij op de vlucht is.

Decentrale perfectie onmogelijk

De documentaire toont een scherpe cultuurkloof in de cryptowereld. Aan de ene kant staan de anarchistische idealisten, voor wie de blockchain zélf de wet is en een geslaagde hack slechts bewijs van zwakke code. Aan de andere kant de pragmatische bouwers, die juist streven naar een betrouwbare, gereguleerde infrastructuur waarin decentralisatie hand in hand gaat met verantwoordelijkheid en vertrouwen.

De droom van een onafhankelijk, parallel financieel systeem blijkt broos, en valt in duigen als bad actors hun intrede doen. Hoewel de hoofdrolspelers van de gehackte protocollen het oneens zijn met code is law als ultiem principe – ze vinden het wel degelijk diefstal die in de traditionele rechtszalen berecht moet worden – zijn ze ook bedroefd dat er iets verloren gaat als de community er zelf niet meer uitkomt.

Laurence Day, een van de bouwers van Indexed Finance: The genesis of crypto was an independent financial network. That means moving away from banks: that doesn’t mean moving away from legal systems. But as we start sentencing people, it does feel like something is getting lost…’

De droom van een kluis die zichzelf bewaakt, loopt stuk op de realiteit. Zolang er mensen achter de knoppen zitten, feilbaar en soms met slechte bedoelingen, zal de wet niet snel door machines te vervangen zijn.