En febrero, el protocolo financiero descentralizado Platypus de Avalanche fue víctima de un pirateo por valor de casi 10 millones de dólares. Los sospechosos, 2 hermanos, fueron absueltos por la justicia francesa, que cree que el fallo procedía de los contratos inteligentes de Platypus. He aquí una actualización de un abogado especialista
Platypus: un hackeo por valor de casi 10 millones de dólares
En febrero de este año, el protocolo de finanzas descentralizadas (DeFi) Platypus, alojado en Avalanche (AVAX), fue hackeado por valor de 9,5 millones de dólares. Gracias a los esfuerzos conjuntos de Binance, la policía nacional francesa y el investigador en cadena ZachXBT, se detuvo rápidamente a 2 sospechosos.
Los 2 hermanos, Mohammed y Benamar M., fueron acusados respectivamente de acceso y mantenimiento de un sistema de tratamiento automatizado de datos, fraude, blanqueo de dinero y manipulación de bienes robados. El 26 de octubre, Mohammed M., el principal sospechoso, de 22 años, admitió los delitos, pero también afirmó que había actuado como hacker de «sombrero blanco» y que tenía intención de devolver los fondos antes de recibir la recompensa de Platypus.
Una afirmación imposible de verificar, ya que cuando se produjo el ataque, el hacker sólo pudo retirar 270.000 dólares, ya que 8,9 millones de dólares se habían congelado por error en un contrato inteligente de Avalanche y otra parte en el protocolo Aave.
@Platypusdefi fue explotado resultando en una pérdida total de ~$9.05M. Aunque el proyecto sufrió pérdidas significativas por los tres ataques, el atacante sólo pudo controlar un total de ~270.000 dólares del tercer ataque. Los fondos iniciales del atacante procedían de @FixedFloat
Después de… https://t.co/ckq4XWPexg
– MetaSleuth (@MetaSleuth) 17 de febrero de 2023
Sin embargo, el fiscal solicitó una pena de 5 años de prisión, 3 de ellos en suspenso, con una orden de ingreso en prisión. En su momento, el fiscal declaró que este caso, el primero relacionado con un hackeo de criptomonedas en Francia, debía tratarse con la misma seriedad que un delito financiero convencional, y añadió que «el fallo que podemos tener es pensar que el dinero virtual le quita seriedad».
Justicia francesa incompatible con las criptodivisas
Pero según el tribunal, Platypus sí es culpable del hackeo, ya que el fallo provino de sus propios contratos inteligentes. Según el presidente de la 13ª sala del tribunal penal especializada en ciberdelincuencia, «la utilización de un elemento previsto en el contrato […] puede constituir eventualmente una ejecución contractual de mala fe», pero no «una maniobra en el sentido del código penal». El hermano menor del principal acusado, de 20 años, también fue absuelto del cargo de manipulación de bienes robados.
Sus abogados, Maîtres Seydi Ba y Théodore Jean-Baptiste, se congratularon de que no se dictara sentencia:
«Estamos muy satisfechos con el resultado.
Nos congratulamos de la correcta aplicación de la ley y de la distinción hecha entre derecho moral y derecho penal.
Por el contrario, Marie Robin, abogada del protocolo Platypus, reaccionó con dureza a la sentencia judicial, calificándola de «cheque en blanco para exploits y maniobras fraudulentas en la blockchain»:
«[Se trata de] un enfoque retrógrado de la tecnología por parte de los tribunales franceses. […] Las empresas no tendrán ningún interés en establecerse en un país donde potencialmente se enfrentarán a fallos judiciales aberrantes que condonan el robo de fondos en blockchain. «
Sin embargo, los jueces recordaron a los 2 hermanos que Platypus todavía tenía la opción de demandarlos civilmente, y que aunque los cargos contra ellos no habían sido retirados, esto no constituía una «carta blanca» para volver a hacerlo.
Aclaraciones del bufete de abogados ORWL
Para entender mejor los entresijos de este caso, hemos entrevistado a Romain Chilly, abogado del bufete ORWL, especializado en criptomonedas y Web3.
En primer lugar, nos recuerda que la sentencia no es definitiva y que es necesario estudiar el veredicto que se dicte:
«Sigo teniendo reservas sobre la forma en que los jueces han descartado los delitos penales, pero hay varios factores que me llevan a pensar que la sentencia que se ha dictado no es tan barroca como puede parecer en una primera lectura del expediente: en primer lugar, la sentencia aún no es firme, el fiscal dispone de 10 días para presentar un recurso una vez que se haya dictado la sentencia «
Posteriormente, Romain Chilly explica que, en la medida en que los acusados hicieron uso del protocolo tal y como estaba diseñado, es comprensible que los tribunales no califiquen necesariamente el acto de infracción penal.
Entonces, por comodidad, el término «hack» se utiliza para cubrir una amplia variedad de situaciones, tanto en términos de la forma técnica en que se cometieron como de la intención y el nivel de preparación de los autores, y por lo tanto la clasificación jurídica que se puede hacer de ellos. Entiendo por el caso Platypus que los acusados activaron una cláusula de retirada de emergencia, que era técnicamente posible según el protocolo. Si esta activación claramente no era legítima y parece que se hizo de mala fe, el debate sobre si esto constituye un delito penal o una ejecución contractual de mala fe no me parece ilegítimo. «
Por último, el abogado señala que tal decisión no es sorprendente en la medida en que la normativa que regula las finanzas descentralizadas en Francia aún necesita algunas aclaraciones:
«
«.
En resumen, me parece que esta decisión es coherente con la jurisprudencia emergente de los tribunales penales en el ámbito de la ciberdelincuencia en DeFi, ya que los tribunales no desean imponer sanciones penales en situaciones litigiosas derivadas de errores o características resultantes de una configuración incorrecta de los contratos inteligentes. Deja en manos de los tribunales civiles la resolución de tales situaciones.
