V únoru se decentralizovaný finanční protokol Platypus na platformě Avalanche stal obětí hackerského útoku v hodnotě téměř 10 milionů dolarů. Podezřelí, 2 bratři, byli francouzským soudem zproštěni viny, neboť se domnívají, že chyba pocházela z inteligentních kontraktů Platypus. Zde je aktuální informace od specializovaného právníka
Platypus: hack v hodnotě téměř 10 milionů dolarů
V únoru letošního roku došlo k hackerskému útoku na decentralizovaný finanční (DeFi) protokol Platypus, hostovaný na platformě Avalanche (AVAX), v hodnotě 9,5 milionu dolarů. Díky společnému úsilí Binance, francouzské národní policie a on-chain vyšetřovatele ZachXBT byli rychle zatčeni 2 podezřelí.
Dva bratři, Mohammed a Benamar M., byli obviněni z přístupu k automatizovanému systému zpracování dat a jeho údržby, podvodu, praní špinavých peněz a nakládání s kradeným zbožím. Hlavní podezřelý Mohammed M. ve věku 22 let se 26. října k trestným činům přiznal, ale zároveň prohlásil, že jednal jako hacker s „bílým kloboukem“ a že hodlá vrátit finanční prostředky dříve, než obdrží odměnu od společnosti Platypus.
Není možné toto tvrzení ověřit, protože v době, kdy k útoku došlo, mohl hacker vybrat pouze 270 000 dolarů, protože 8,9 milionu dolarů bylo omylem zmrazeno v chytrém kontraktu Avalanche a další část v protokolu Aave.
@Platypusdefi byl zneužit, což vedlo k celkové ztrátě ~9,05 milionu dolarů. Přestože projekt utrpěl v důsledku tří útoků značné ztráty, útočník dokázal ovládnout pouze třetí útok v celkové výši ~270 tisíc dolarů. Počáteční prostředky zneuživatele pocházely z @FixedFloat
– MetaSleuth (@MetaSleuth) 17. února 2023
Státní zástupce však požadoval pětiletý trest odnětí svobody, z toho tři roky podmíněně, s nařízenou vazbou. Státní zástupce tehdy uvedl, že tento případ, první týkající se kryptografického hackingu ve Francii, by měl být posuzován se stejnou vážností jako běžný finanční trestný čin, a dodal, že „chybou, kterou můžeme mít, je myslet si, že virtuální peníze zbavují vážnosti“.
Francouzská justice není kompatibilní s kryptoměnami
Podle soudu však za hackerský útok skutečně může společnost Platypus, protože chyba pocházela z jejích vlastních chytrých kontraktů. Podle předsedy 13. trestního senátu specializovaného na kyberkriminalitu „použití prvku stanoveného ve smlouvě […] může případně představovat plnění smlouvy ve zlé víře“, nikoli však „manévr ve smyslu trestního zákoníku“. Dvacetiletý mladší bratr hlavního obžalovaného byl rovněž zproštěn obvinění z nakládání s kradeným zbožím.
Jejich advokáti, maîtres Seydi Ba a Théodore Jean-Baptiste, uvítali, že nebyl vynesen žádný rozsudek:
„Jsme velmi potěšeni výsledkem.
Vítáme správné uplatnění práva a rozlišení mezi morálním a trestním právem.
Naopak Marie Robinová, právnička protokolu Platypus, na rozhodnutí soudu ostře reagovala a označila ho za „bianko šek pro zneužívání a podvodné manévry v blockchainu“:
„[Jedná se o] zpátečnický přístup francouzských soudů k technice. […] Společnosti nebudou mít zájem zakládat firmy v zemi, kde budou potenciálně čelit abnormálním soudním rozhodnutím, která schvalují krádeže finančních prostředků na blockchainu.“
Soudci však oběma bratrům připomněli, že společnost Platypus má stále možnost podat na ně občanskoprávní žalobu, a že i když obvinění proti nim nebyla stažena, nepředstavuje to „carte blanche“ k tomu, aby to udělali znovu.
Přesnění od advokátní kanceláře ORWL
Abychom lépe porozuměli úskalím tohoto případu, vyzpovídali jsme Romaina Chillyho, právníka z firmy ORWL, která se specializuje na kryptoměny a web3.
Nejprve připomíná, že rozsudek není konečný a že je skutečně nutné prozkoumat vynesený verdikt:
„Stále mám výhrady ke způsobu, jakým soudci vyloučili trestné činy, ale existuje několik faktorů, které mě vedou k přesvědčení, že vynesený rozsudek není tak barokní, jak by se mohlo zdát při prvním čtení spisu: za prvé, rozsudek ještě není pravomocný, státní zástupce má 10 dní na to, aby po vynesení rozsudku podal odvolání „
Později Romain Chilly vysvětluje, že pokud obžalovaní využili protokol tak, jak byl navržen, je pochopitelné, že soudy nemusí nutně kvalifikovat skutek jako trestný čin:
„Za druhé, Romain Chilly vysvětluje, že pokud obžalovaní využili protokol tak, jak byl navržen, je pochopitelné, že soudy nemusí nutně kvalifikovat skutek jako trestný čin.
Takže pro zjednodušení se pojem „hackerský útok“ používá pro širokou škálu situací, a to jak z hlediska technického způsobu, jakým byly spáchány, tak z hlediska úmyslu a úrovně přípravy pachatelů, a tedy i právní kvalifikace, kterou je možné u nich provést. Z případu Platypus jsem vyrozuměl, že obžalovaní aktivovali doložku o mimořádném odstoupení od smlouvy, což bylo podle protokolu technicky možné. Jestliže tato aktivace zjevně nebyla legitimní a zdá se, že byla provedena ve zlé víře, debata o tom, zda se jedná o trestný čin nebo smluvní plnění ve zlé víře, se mi nezdá být nelegitimní.“
Nakonec právník upozorňuje, že takové rozhodnutí není nijak překvapivé, pokud předpisy upravující decentralizované financování ve Francii stále potřebují trochu vyjasnit:
„
„.
Shrnuto a podtrženo, zdá se mi, že toto rozhodnutí je v souladu s nově vznikající judikaturou trestních soudů v oblasti kyberkriminality v DeFi, neboť soudy nechtějí ukládat trestní sankce za sporné situace vyplývající z chyb nebo funkcí vyplývajících z nesprávné konfigurace inteligentních smluv. Řešení takových situací ponechává na civilních soudech.
