A febbraio, il protocollo di finanza decentralizzata Platypus su Avalanche è stato vittima di un attacco di quasi 10 milioni di dollari. I sospetti, due fratelli, sono stati assolti dai tribunali francesi, che ritengono che la falla provenga dai contratti intelligenti di Platypus. Ecco un aggiornamento da parte di un avvocato specializzato
Platypus: un hack che vale quasi 10 milioni di dollari
Nel febbraio di quest’anno, il protocollo di finanza decentralizzata (DeFi) Platypus, ospitato su Avalanche (AVAX), è stato violato per un valore di 9,5 milioni di dollari. Grazie agli sforzi congiunti di Binance, della polizia nazionale francese e dell’investigatore on-chain ZachXBT, 2 sospetti sono stati rapidamente arrestati.
I due fratelli, Mohammed e Benamar M., sono stati accusati rispettivamente di accesso e manutenzione di un sistema automatizzato di elaborazione dati, frode, riciclaggio di denaro e ricettazione. Il 26 ottobre Mohammed M., il principale sospettato di 22 anni, ha ammesso i reati ma ha anche affermato di aver agito come hacker “white hat” e di voler restituire i fondi prima di ricevere una ricompensa da Platypus.
Un’affermazione impossibile da verificare, visto che al momento dell’attacco l’hacker ha potuto prelevare solo 270.000 dollari, poiché 8,9 milioni di dollari erano stati erroneamente congelati in uno smart contract Avalanche e un’altra parte nel protocollo Aave.
@Platypusdefi è stato sfruttato con una perdita totale di circa 9,05 milioni di dollari. Sebbene il progetto abbia subito perdite significative dai tre attacchi, l’aggressore è stato in grado di controllare solo un totale di circa 270.000 dollari dal terzo attacco. Il fondo iniziale dell’exploiter proveniva da @FixedFloat
Dopo… https://t.co/ckq4XWPexg
– MetaSleuth (@MetaSleuth) February 17, 2023
Tuttavia, il pubblico ministero ha chiesto una condanna a 5 anni di carcere, di cui 3 sospesi, con un ordine di rinvio a giudizio. All’epoca, il procuratore aveva dichiarato che questo caso, il primo relativo a un hacking di criptovalute in Francia, doveva essere trattato con la stessa serietà di un reato finanziario convenzionale, aggiungendo che “il difetto che possiamo avere è pensare che il denaro virtuale tolga la serietà”.
La giustizia francese è incompatibile con le criptovalute
Ma secondo il tribunale, Platypus è effettivamente responsabile dell’hacking, poiché la falla proveniva dai suoi stessi contratti intelligenti. Secondo il presidente della 13a sezione penale specializzata in crimini informatici, “l’utilizzo di un elemento previsto dal contratto […] può eventualmente costituire un’esecuzione contrattuale in malafede”, ma non “una manovra ai sensi del codice penale”. Anche il fratello minore di 20 anni dell’imputato principale è stato assolto dall’accusa di ricettazione.
I loro avvocati, i Maîtres Seydi Ba e Théodore Jean-Baptiste, hanno accolto con favore il fatto che non sia stata emessa alcuna sentenza:
“Siamo molto soddisfatti del risultato.
Al contrario, Marie Robin, l’avvocato del protocollo Platypus, ha reagito con forza alla sentenza del tribunale, definendola “un assegno in bianco per gli exploit e le manovre fraudolente sulla blockchain”:
“[Questo è] un approccio retrogrado alla tecnologia da parte dei tribunali francesi. […] Le aziende non avranno interesse a stabilirsi in un Paese in cui potenzialmente si troveranno di fronte a sentenze aberranti che condonano il furto di fondi su blockchain. “
Tuttavia, i giudici hanno ricordato ai due fratelli che Platypus aveva ancora la possibilità di citarli in giudizio civilmente e che, anche se le accuse contro di loro non erano state ritirate, ciò non costituiva “carta bianca” per farlo di nuovo.
Chiarimenti dello studio legale ORWL
Per capire meglio i dettagli di questo caso, abbiamo intervistato Romain Chilly, avvocato dello studio ORWL, specializzato in criptovalute e Web3.
Innanzitutto, ci ricorda che la sentenza non è definitiva e che è necessario approfondire il verdetto emesso:
“Continuo ad avere delle riserve sul modo in cui i giudici hanno escluso i reati penali, ma ci sono diversi elementi che mi portano a credere che il verdetto emesso non sia così barocco come potrebbe sembrare a una prima lettura del fascicolo: innanzitutto, la sentenza non è ancora definitiva, il pubblico ministero ha 10 giorni di tempo per presentare appello una volta emessa la sentenza “
In seguito, Romain Chilly spiega che, nella misura in cui gli imputati hanno fatto uso del protocollo così come era stato concepito, è comprensibile che i tribunali non qualifichino necessariamente l’atto come reato:
“In secondo luogo, Romain Chilly spiega che, nella misura in cui gli imputati hanno fatto uso del protocollo così come era stato concepito, è comprensibile che i tribunali non qualifichino necessariamente l’atto come reato”.
Per comodità, poi, il termine “hack” viene utilizzato per coprire una grande varietà di situazioni, sia per il modo tecnico in cui sono state commesse, sia per l’intenzione e il livello di preparazione degli autori, e quindi per la classificazione giuridica che si può fare di esse. Dal caso Platypus mi risulta che gli imputati abbiano attivato una clausola di recesso d’emergenza, tecnicamente possibile ai sensi del protocollo. Se questa attivazione non era chiaramente legittima e sembra essere stata fatta in malafede, il dibattito se questo costituisca un reato penale o un’esecuzione contrattuale in malafede non mi sembra illegittimo. “
Finalmente, l’avvocato sottolinea che tale decisione non è sorprendente in quanto le norme che regolano la finanza decentrata in Francia devono ancora essere chiarite:
“
“.
In sintesi, mi sembra che questa decisione sia coerente con la giurisprudenza emergente dei tribunali penali in materia di criminalità informatica nella DeFi, in quanto i tribunali non intendono imporre sanzioni penali su situazioni litigiose derivanti da bug o funzionalità derivanti da una configurazione errata degli smart contract. Lascia ai tribunali civili il compito di risolvere tali situazioni.
