Im Februar wurde das dezentrale Finanzprotokoll Platypus auf Avalanche Opfer eines Hacks im Wert von fast 10 Millionen US-Dollar. Die Verdächtigen, zwei Brüder, wurden von der französischen Justiz freigesprochen, die davon ausgeht, dass die Schwachstelle von den Smart Contracts von Platypus herrührt. Wir ziehen mit einem spezialisierten Anwalt Bilanz.
Platypus: ein Hack im Wert von fast 10 Millionen Dollar
Im Februar dieses Jahres wurde das auf Avalanche (AVAX) gehostete dezentrale Finanzprotokoll (DeFi) Platypus durch einen Hack im Wert von 9,5 Millionen US-Dollar geschädigt. Dank der gemeinsamen Bemühungen von Binance, der französischen Nationalpolizei und des On-Chain-Ermittlers ZachXBT konnten zwei Verdächtige schnell festgenommen werden.
Die beiden Brüder, Mohammed und Benamar M., wurden wegen Zugriffs auf und Verbleib in einem automatisierten Datenverarbeitungssystem, Betrugs, Geldwäsche und Hehlerei angeklagt. Am 26. Oktober hatte der 22-jährige Hauptverdächtige Mohammed M. die Taten zugegeben, aber auch behauptet, er habe als White-Hat-Hacker gehandelt und wolle die Gelder zurückgeben, bevor er eine Belohnung von Platypus erhalte.
Diese Behauptung lässt sich nicht überprüfen, da der Hacker zum Zeitpunkt des Angriffs nur 270.000 Dollar abheben konnte, da 8,9 Millionen Dollar fälschlicherweise in einem Avalanche-Smart Contract und ein weiterer Teil im Aave-Protokoll eingefroren worden waren.
@Platypusdefi wurde ausgebeutet, was zu einem Gesamtverlust von ~$9.05M führte. Obwohl das Projekt durch die drei Angriffe erhebliche Verluste erlitt, konnte der Angreifer nur durch den dritten Angriff einen Gesamtbetrag von ~$270K kontrollieren. The exploiter’s initial fund came from @FixedFloat
After… https://t.co/ckq4XWPexg
– MetaSleuth (@MetaSleuth) February 17, 2023
Dennoch hatte die Staatsanwaltschaft seine Verurteilung zu fünf Jahren Haft, davon drei auf Bewährung und mit Haftbefehl, gefordert. Die Staatsanwältin erklärte, dass dieser Fall, der erste Krypto-Hack in Frankreich, mit der gleichen Schwere wie ein klassisches Finanzdelikt behandelt werden müsse, und fügte hinzu, dass „der Fehler, den man machen kann, darin besteht, zu denken, dass virtuelles Geld die Schwere nimmt“.
Eine französische Justiz, die mit Kryptowährungen unvereinbar ist?
Nach Ansicht der Justiz ist Platypus jedoch sehr wohl schuld daran, dass es zu dem Hack kommen konnte, da die Schwachstelle von seinen eigenen Smart Contracts ausging. Die Vorsitzende der 13. Strafkammer, die auf Cyberkriminalität spezialisiert ist, erklärte, dass „die Verwendung eines im Vertrag vorgesehenen Elements […] möglicherweise eine bösgläubige Vertragserfüllung darstellen kann“, aber nicht „ein Manöver im Sinne des Strafgesetzbuchs“. Der 20-jährige jüngere Bruder des Hauptbetroffenen wurde in Bezug auf die gegen ihn erhobenen Hehlereivorwürfe ebenfalls freigesprochen.
Ihre Anwälte, Mes Seydi Ba und Théodore Jean-Baptiste, begrüßten das Fehlen einer Strafe:
“ Wir begrüßen die korrekte Anwendung des Rechts und die Unterscheidung zwischen Moral und Strafrecht. „
Im Gegensatz dazu reagierte Marie Robin, die Anwältin des Platypus-Protokolls, heftig auf die Gerichtsentscheidung und bezeichnete sie als „einen echten Blankoscheck für betrügerische Blockchain-Exploits und -Manöver“:
“ [Es ist] eine rückwärtsgewandte Herangehensweise der französischen Gerichte an die Tech. […] Unternehmen werden kein Interesse daran haben, sich in einem Land niederzulassen, in dem sie potenziell mit abstrusen Gerichtsurteilen konfrontiert werden, die den Diebstahl von Geldern über die Blockchain billigen. „
Doch die Richter erinnerten die beiden Brüder daran, dass Platypus immer noch die Möglichkeit habe, sie zivilrechtlich zu belangen, und dass, auch wenn die gegen sie erhobenen Anklagen nicht fallen gelassen wurden, dies kein „Freibrief“ für einen Neuanfang sei.
Klarstellung durch die Anwaltskanzlei ORWL
Um die Hintergründe dieses Falles besser zu verstehen, befragten wir Romain Chilly, Rechtsanwalt bei ORWL, einer auf Kryptowährungen und das Web3 spezialisierten Kanzlei.
Er erinnerte uns zunächst daran, dass das Urteil nicht endgültig ist und dass es notwendig ist, das Urteil zu erkunden:
„Ich habe immer noch Vorbehalte gegenüber der Art und Weise, wie die Richter Straftaten ausgeschlossen haben, aber mehrere Elemente lassen mich glauben, dass das Urteil nicht so barock ist, wie es nach der ersten Lektüre der Zwischenberichte über die Akte scheinen mag: Erstens ist das Urteil noch nicht endgültig, die Staatsanwaltschaft hat eine Frist von 10 Tagen, um ab der Urteilsverkündung Berufung einzulegen. „
Später erklärt Romain Chilly, dass es verständlich sei, dass die Justiz, da die Angeklagten das Protokoll so verwendet hätten, wie es konzipiert sei, nicht unbedingt dazu komme, die Tat als Straftat zu bewerten:
“ Zweitens fasst man aus sprachlichen Gründen unter dem Begriff „Hack“ Situationen zusammen, die sehr heterogen sind, sowohl in Bezug auf die Art und Weise, wie sie technisch begangen wurden, als auch in Bezug auf die Absicht und den Grad der Vorbereitung der Täter und damit die rechtliche Einstufung, die daraus gemacht werden kann. Ich verstehe den Fall Platypus so, dass die Angeklagten eine Notstandsklausel zum Rückzug aktiviert haben, was technisch gesehen durch das Protokoll möglich war. Wenn diese Aktivierung offensichtlich nicht legitim war und bösgläubig erfolgt zu sein scheint, scheint mir die Debatte darüber, ob dies eine Straftat oder eine bösgläubige Vertragserfüllung darstellt, nicht illegitim zu sein. „
Abschließend weist der Anwalt darauf hin, dass eine solche Entscheidung wenig überraschend ist, da die Vorschriften, die den Rahmen für die dezentralisierte Finanzwirtschaft in Frankreich bilden, noch etwas Klarheit benötigen:
“ Zusammenfassend scheint mir, dass diese Entscheidung im Einklang mit der sich entwickelnden Rechtsprechung des Strafrichters im Bereich der Cyberkriminalität in der DeFi steht, da der Richter keine strittigen Situationen strafrechtlich sanktionieren möchte, die auf Bugs oder Features zurückzuführen sind, die sich aus einer schlechten Parametrisierung von Smart Contracts ergeben. Er überlässt es dem Zivilrichter, diese Situationen zu entwirren“.
