Betekent de #daohack het einde van slimme contracten?

| AE 8729 | Contracten, Innovatie | 15 reacties

Vrijdagochtend bleek via de Ethereum-blockchain dat er ether (een soort bitcoins) weglekte van The DAO, waar mensen geld in stortten tijdens de crowdfundcampagne van deze organisatie. Dat meldde Tweakers dit weekend. The DAO is een systeem van slimme contracten op de blockchain van Ethereum, alleen daarin zat een fout waarmee een derde nu met dik 50 miljoen euro aan de haal dreigt te gaan. The DAO wil dit tegengaan door een fork, zeg maar een grote reset waarbij de betreffende transacties ongedaan gemaakt worden. Velen zijn tegen, want dan had je maar een slimmer contract moeten maken.

Oké, wacht, te veel nieuwe termen. Ik begin (ook voor mezelf, want ik snapte er weinig van) bij het begin. Blockchain is de naam voor technologie om berichten gedecentraliseerd en onvervalsbaar vast te leggen. Deze is populair geworden door de virtuele valuta Bitcoin, maar er kan veel meer mee. Je kunt bijvoorbeeld contractuele afspraken in zo’n bericht stoppen, dan ligt die afspraak ook onbetwistbaar vast. En je kunt zelfs die contracten ‘slim’ maken, zeg maar dat ze zelf nagaan welke bepalingen van kracht worden en dat uitvoeren ook. Bijvoorbeeld constateren dat het 1 juli is en bedrijf X nog steeds niet failliet, dan bedrag X betalen aan bedrijf X. (Wat we vroeger autonomous agents noemden.)

The DAO is een gedecentraliseerd investeringsvehikel dat opgezet is middels een berg van die slimme contracten, gebruik makend van de Ethereum-blockchainimplementatie. In een van die contracten staat een foutje, althans een onbedoelde feature, waardoor een hacker een zogeheten child DAO, zeg maar een dochtermaatschappij van DAO, op kon zetten waar hij eigenaar van is en waar hij vervolgens rustig geld heen kon pompen.

Ik zeg “foutje, althans onbedoelde feature” want hoewel het namelijk evident is dat The DAO dit niet heeft gewild, zijn er geen illegale hacks of dergelijke uitgevoerd. De hacker zegt zelf:

I have carefully examined the code of The DAO and decided to participate after finding the feature where splitting is rewarded with additional ether. I have made use of this feature and have rightfully claimed 3,641,694 ether, and would like to thank the DAO for this reward. It is my understanding that the DAO code contains this feature to promote decentralization and encourage the creation of “child DAOs”. I am disappointed by those who are characterizing the use of this intentional feature as “theft”. I am making use of this explicitly coded feature as per the smart contract terms and my law firm has advised me that my action is fully compliant with United States criminal and tort law.

Dit standpunt is niet meteen absurd; The DAO is opgezet als een systeem van slimme contracten waarbij de code van die contracten bepalend is voor wat er kan en mag. DAO zegt zelf:

The terms of The DAO Creation are set forth in the smart contract code existing on the Ethereum blockchain at 0xbb9bc244d798123fde783fcc1c72d3bb8c189413. Nothing in this explanation of terms or in any other document or communication may modify or add any additional obligations or guarantees beyond those set forth in The DAO’s code.

Bijgevolg is dus een clausule uit dat slimme contract kennelijk bindend, ongeacht wat er elders is gezegd of wat de bedoeling zou zijn geweest.

Althans, dat zou je denken want smart contracts, Ethereum en het splitten van gedistribueerde autonome organisaties, dat is wel nieuw maar gaatjes vinden in contracten, daar dealen juristen al zo’n 3000 jaar mee. En voor mij als jurist voelt het als standaardtruc 37 om in een contract te zeggen “alleen wat hier in het contract staat, is bindend en wel ongeacht bedoeling”. Daarmee win je echt niet volautomatisch het pleit.

Standaardclausule 37 in contractenland is namelijk:

This agreement contains the entire understanding of the parties hereto with respect to the transactions and matters contemplated hereby, from and after the effective date, and supersedes all previous agreements between the parties concerning the same.

De Hoge Raad bepaalde in het Lundiform/Mexx arrest (2013) echter dat je er daarmee niet automatisch bent. De rechter kan en mag nog steeds kijken naar “verklaringen die zijn afgelegd dan wel gedragingen die zijn verricht, in het stadium voorafgaand aan het sluiten van de overeenkomst.” In jargon: mogen Haviltexen kan niet worden weggecontracteerd. Wat hadden partijen bedoeld toen ze dit zo opschreven (programmeerden?) in het slimme contract? Wat beoogde deze clausule te bereiken en hoe is deze ingezet? Lag dit voor de hand of is het een zeer vergezochte lezing die eigenlijk gewoon niet had gemoeten?

De clausule is natuurlijk wel een relevante factor. De rechter zal heus niet zomaar het hele contract wegmikken en zelf verzinnen wat partijen ongeveer bedoeld zullen hebben. Maar al te bijdehante lezingen van een contract, zeker als ze leiden tot hele rare conclusies en/of grote schade bij een partij, gaan al snel het raam uit, ongeacht wat er in het contract nu letterlijk stáát.

Maar goed, ondertussen zit die The DAO wel met de gebakken peren want deze transactie is juridisch lastig terug te draaien (vind de hacker maar eens) en binnen het netwerk lijkt men er niet aan te willen. Dan corrumpeer je het hele idee immers van betrouwbare slimme contracten; als één partij kan zeggen, sorry we gaan terug naar vorige week met alles, dan kun je dat netwerk niet meer decentraal noemen. Bovendien zou de hacker dan aangifte kunnen doen van diefstal bedenk ik me nu: zijn waardevolle ethers zijn hem ineens via eigenrichting ontnomen terwijl er een contract lag dat hem er recht op gaf.

Betekent dat nu het einde van slimme contracten in het algemeen? Dat denk ik niet. Voor dit soort zeer geavanceerde constructies zal nu een stuk koudwatervrees ontstaan, maar het idee is niet superspannend en de implicaties zijn gewoon te overzien als je er goed voor gaat zitten met een slimmecontractenschrijver (m/v).

Arnoud

Usenetproviders moeten gegevens van ebookuploaders verstrekken aan Brein

| AE 8750 | Auteursrecht, Privacy | 53 reacties

scanbook.pngDe rechtbank in Haarlem heeft geoordeeld dat Eweka en Usenetter de gegevens van twee uploaders van ebooks moeten verstrekken aan Stichting Brein, las ik bij Tweakers. Het belang van Brein weegt volgens de rechter zwaarder dan het belang van de usenetproviders. En elke keer is iedereen weer verbaasd dat dat kan “zonder gerechtelijk bevel” en strijd met de e-Privacy richtlijn, oh hooh.

In 2006 bepaalde de Hoge Raad dat je als tussenpersoon (zoals hoster of toegangsprovider) verplicht bent om onder voorwaarden NAW gegevens af te geven aan klagende derden. Daarbij gelden vier eisen (inbreuk is aannemelijk, geen andere route, alternatieven uitgeput en belangenafweging). En wat iedereen dan zo gek vindt: dit is dus géén “kom maar met een gerechtelijk bevel dat aan deze eisen is voldaan”; nee, je moet zélf afwegen hoe dit zit. Is het nu werkelijk zo gek dat je als bedrijf geacht wordt een juridische afweging te maken? Dat doe je toch met wel meer dingen, zoals of een klant je algemene voorwaarden schendt?

Dan is er hier nog een argument gebaseerd op de e-Privacy richtlijn, de cyber-Wbp dus. Ik doe het vast onrecht maar het komt erop neer dat omdat we nu pas voor de rechter staan en die personen geen klant meer zijn, de klantgegevens allang weggegooid hadden moeten zijn en Brein dus verlangt dat men de wet overtreedt. Daar heb ik moeite mee: die gegevens werden gevraagd toen die personen nog klant waren. Dat het dan even duurt voor we eruit zijn dat ze echt afgegeven moeten worden, kan dan geen argument zijn tegen afgifte.

Kijk. Natuurlijk is het niet prettig dat klagende derden (en dan met name Brein, in de Facebookzaak lag dat anders) in je klantgegevens mogen snuffelen. Maar denk ik dan, er is wat te zeggen voor het afgeven áls er genoeg waarborgen zijn. En het raamwerk uit Lycos/Pessers is echt wel genuanceerd te noemen. Dus volgens mij zit de pijn hem echt in die gerechtelijke toets, en daar kan ik steeds moeilijker bij.

Of mis ik iets fundamentelers?

Arnoud

Lycamobile krijgt boete van 196.000 euro voor te hoge roamingtarieven

| AE 8722 | Internetrecht | 8 reacties

lycamobile-sim-prepaid De Nederlandse mobiele provider Lycamobile krijgt een boete van 196.000 euro voor het berekenen van te hoge roamingtarieven in 2011 en 2012. Dat meldde Tweakers. De boete is hoog: 7 procent van de relevante omzet. Want ja, boetes mogen pijn doen.

Lycamobile heeft in een deel van 2011 en 2012 te hoge roamingkosten in rekening gebracht. Klanten die mobiel belden, gebeld werden of sms’jes verzonden in het buitenland betaalden hierdoor te veel. Ook rondde Lycamobile telefoongesprekken verkeerd af. De ACM kwam in actie na signalen daarover van Consuwijzer – dus hee, het werkt, signalen afgeven.

Het probleem was kort gezegd dat je bij Lycamobile gratis beltegoed kreeg bij elke aanschaf van beltegoed (2 minuten halen, 1 betalen, zoiets). Alleen mocht je dat gratis tegoed niet inzetten voor bellen in het buitenland (roaming), maar je kon achteraf niet zien wat je gratis tegoed was – alleen het totale tegoed was zichtbaar. Lycamobile had vervolgens een praktische oplossing bedacht: het roamingtarief voor sms- en beldiensten werd verhoogd met het kortingspercentage dat in de dan geldende actieperiode van kracht was. Hiermee werd bij de afrekening ook een deel van het gratis beltegoed afgewaardeerd. Desondanks kwam je netto boven de maximumtarieven voor roaming uit, vandaar het onderzoek en de boete. Overigens ook voor per minuut afronden en voor te hoge sms-tarieven voor het buitenland.

Uit de boetepublicatie blijkt dat Lycamobile geen serieus bezwaar tegen de boete heeft gemaakt. In ruil voor medewerking én voor het feit dat ze zelf al had geprobeerd de klanten schadeloos te stellen, kreeg ze strafverlaging: dertig procent minder boete dan normaal zou volgen. Desondanks is 7% van je omzet best een hoog bedrag, zeker als je bedenkt dat de winstmarges in de telecombranche eerder 3-5% zullen zijn.

Ik denk dan wel gelijk, wordt het niet eens tijd voor ook zulke boetes bij de cookiewet? Of zou dat minder pijn doen daar, 7% van je advertentie-gerelateerde omzet?

Arnoud

Huh, hoezo wil de EU gebruikers pesten met een hyperlinktax?

| AE 8720 | Auteursrecht | 8 reacties

Red de Hyperlink! EU wil gebruikers pesten met linktax, meldde Webwereld afgelopen donderdag, en iedereen tipte me erover (dank, overigens). In het kader van Europese vernieuwing van het auteursrecht zou zijn voorgesteld dat nieuwsaggregators moeten gaan betalen voor links naar of snippets met nieuws. Zou zijn, want ik kan het nergens vinden. Webwereld noemt een… Lees verder

Twitch-pestkop krijgt 50.000 dollar niet terug van streamers

| AE 8712 | Aansprakelijkheid, Strafrecht | 19 reacties

Een achttienjarige internettrol op livestreamsite Twitch zal zijn gedoneerde 50.000 dollar (omgerekend zo’n 44.000 euro) niet terugkrijgen van streamers, nadat hij ze probeerde voor de gek te houden. Dat meldde Nu.nl onlangs. De grapjas doneerde mensen enkele honderden dollars (omgerekend enkele honderden euro’s) via Paypal, en annuleerde de transactie na dertig dagen zodat het geld… Lees verder

Mag een browserextensie je waarschuwen voor oplichters?

| AE 8707 | Meningsuiting, Software | 20 reacties

Afgelopen maand heb ik in de avonduren een chrome extensie ontwikkeld die op elke webpagina zoekt naar IBAN, telefoonnummer, e-mailadressen, las ik (dank, tipgever) bij Gathering of Tweakers. De poster was slachtoffer van oplichting geworden en ontdekte dat hij dit had kunnen voorkomen door even dergelijke gegevens door Google te halen. Vandaar de extensie: de… Lees verder

Gastbloggers gezocht, en onderwerpen voor mijn nieuwe boek!

| AE 8716 | Iusmentis | 8 reacties

Zoals elk jaar ga ik deze zomer er een paar weken tussenuit, en ik nodig dan ook hierbij graag mensen uit die een gastblog willen schrijven. Vrees niet, de tiradeweek blijft erin (suggesties welkom). Het onderwerp mag alles zijn zolang er maar een link met internetrecht is. Is het vergeetrecht dikke onzin, hoe beteugel je… Lees verder

Rechter Richard Posner zeer geërgerd door juridisch jargon

| AE 8705 | Internetrecht | 38 reacties

De bekende Amerikaanse hogerberoepsrechter Richard Posner ergert zich dood aan het juridisch jargon waar zijn collega’s mee smijten, meldde de Wall Street Journal onlangs. “Judicial opinions are littered with stale, opaque, confusing jargon,” schreef hij in een recent arrest. “There is no need for jargon, stale or fresh. Everything judges do can be explained in… Lees verder

Filmproducent Klaas de Jong gaat internet aanklagen wegens films downloaden

| AE 8718 | Auteursrecht, Strafrecht | 34 reacties

Producent Klaas de Jong, mede verantwoordelijk voor bioscoophits als Michiel de Ruyter en Verliefd op Ibiza, heeft aangifte bij de politie gedaan tegen Ziggo, Telfort, KPN en Vodafone, zo las ik bij het Parool. Hij meent dat die strafrechtelijk aan te pakken zijn omdat ze downloadsites toegankelijk maken. Nope, nee, nada, kansloos, vergeet het maar…. Lees verder

Mag Revolv gewoon apparaten bij mensen thuis uitzetten?

| AE 8700 | Innovatie, Software | 61 reacties

Revolv, een smarthome-hub van Googles zusterbedrijf Nest, stopt ermee. Dat meldde Tweakers alweer een tijdje geleden. Gebruikers hebben dan ook niets meer aan de 300 dollar kostende hardware waarmee ze hun huis hadden geautomatiseerd. Zeg maar dat je stofzuiger niet meer zuigt omdat Philips haar afdeling Huishoudelijke Apparaten opheft. Kun je daar wat aan doen… Lees verder