In februari werd het gedecentraliseerde financiële protocol Platypus op Avalanche het slachtoffer van een hack ter waarde van bijna $10 miljoen. De verdachten, 2 broers, werden vrijgesproken door de Franse rechtbanken, die geloven dat het lek afkomstig was van de slimme contracten van Platypus. Hier is een update van een gespecialiseerde advocaat
Platypus: een hack ter waarde van bijna 10 miljoen dollar
Een onmogelijke bewering om te verifiëren, want toen de aanval plaatsvond, kon de hacker slechts $270.000 opnemen omdat $8,9 miljoen per ongeluk was bevroren in een Avalanche smart contract en een ander deel in het Aave protocol.
@Platypusdefi werd misbruikt wat resulteerde in een totaal verlies van ~$9.05M. Hoewel het project aanzienlijke verliezen leed door de drie aanvallen, was de aanvaller slechts in staat om een totaal van ~$270K te controleren door de derde aanval. De aanvankelijke fondsen van de aanvaller kwamen van @FixedFloat
– MetaSleuth (@MetaSleuth) February 17, 2023
De officier van justitie vroeg echter om een gevangenisstraf van 5 jaar, waarvan 3 jaar voorwaardelijk, met een bevel tot vrijheidsbeneming. De openbare aanklager verklaarde toen dat deze zaak, de eerste met betrekking tot een crypto hack in Frankrijk, met dezelfde ernst moest worden behandeld als een conventioneel financieel misdrijf, eraan toevoegend dat “de fout die we kunnen hebben is te denken dat virtueel geld de ernst wegneemt”.
Franse justitie onverenigbaar met cryptocurrencies
Maar volgens de rechtbank is Platypus wel degelijk schuldig aan de hack, aangezien de fout afkomstig was van zijn eigen smart contracts. Volgens de voorzitter van de 13e strafkamer die gespecialiseerd is in cybercriminaliteit, “kan het gebruik van een element dat in het contract is voorzien […] mogelijk een contractuele uitvoering te kwader trouw vormen”, maar geen “manoeuvre in de zin van het wetboek van strafrecht”. De 20-jarige jongere broer van de hoofdverdachte werd ook vrijgesproken van de aanklacht van heling.
Hun advocaten, Maîtres Seydi Ba en Théodore Jean-Baptiste, verwelkomden het feit dat er geen straf werd uitgesproken:
“We zijn erg blij met de uitkomst.
Marie Robin, de advocaat van het Platypus protocol, reageerde daarentegen fel op de uitspraak van de rechtbank en beschreef het als “een blanco cheque voor exploits en frauduleuze manoeuvres op de blockchain”:
“[Dit is] een retrograde benadering van technologie door de Franse rechtbanken. [Bedrijven zullen geen interesse hebben om zich te vestigen in een land waar ze mogelijk geconfronteerd worden met afwijkende gerechtelijke uitspraken die diefstal van fondsen op blockchain door de vingers zien.”
De rechters herinnerden de 2 broers er echter aan dat Platypus nog steeds de optie had om hen civiel aan te klagen, en dat ook al waren de aanklachten tegen hen niet ingetrokken, dit geen “carte blanche” vormde om het opnieuw te doen.
Verduidelijkingen door advocatenkantoor ORWL
Om de ins en outs van deze zaak beter te begrijpen, interviewden we Romain Chilly, een advocaat bij ORWL, een kantoor gespecialiseerd in cryptocurrencies en het Web3.
Allereerst herinnert hij ons eraan dat het vonnis nog niet definitief is en dat het inderdaad nodig is om het vonnis te onderzoeken:
“Ik heb nog steeds bedenkingen bij de manier waarop de rechters strafbare feiten hebben uitgesloten, maar er zijn verschillende factoren die mij doen geloven dat het vonnis dat is uitgesproken niet zo barok is als het op het eerste gezicht lijkt bij het lezen van het dossier: ten eerste is het vonnis nog niet definitief, de openbare aanklager heeft 10 dagen de tijd om beroep aan te tekenen zodra het vonnis is uitgesproken”
Later legt Romain Chilly uit dat voor zover de beklaagden gebruik hebben gemaakt van het protocol zoals het was ontworpen, het begrijpelijk is dat de rechtbanken de handeling niet noodzakelijk als een strafbaar feit kwalificeren:
“Ten tweede legt Romain Chilly uit dat voor zover de beklaagden gebruik hebben gemaakt van het protocol zoals het was ontworpen, het begrijpelijk is dat de rechtbanken de handeling niet noodzakelijk als een strafbaar feit kwalificeren.
Vervolgens wordt de term ‘hack’ gemakshalve gebruikt om een grote verscheidenheid aan situaties te dekken, zowel wat betreft de technische manier waarop ze werden gepleegd als de intentie en het voorbereidingsniveau van de daders, en dus de juridische classificatie die ervan kan worden gemaakt. Ik begrijp uit de Platypus-zaak dat de verdachten een noodterugtrekkingsclausule activeerden, wat technisch mogelijk was volgens het protocol. Als deze activering duidelijk niet rechtmatig was en te kwader trouw lijkt te zijn gedaan, lijkt mij de discussie of dit een strafbaar feit of contractuele prestatie te kwader trouw is, niet onrechtmatig.”
Tot slot wijst de advocaat erop dat een dergelijke beslissing nauwelijks verrassend is, aangezien de regelgeving voor gedecentraliseerde financiering in Frankrijk nog wat verduidelijking behoeft:
“
“.
Samenvattend lijkt het mij dat deze beslissing in overeenstemming is met de opkomende jurisprudentie van de strafrechtbanken op het gebied van cybercriminaliteit in DeFi, aangezien de rechtbanken geen strafrechtelijke sancties willen opleggen voor geschillen die het gevolg zijn van bugs of functies die het gevolg zijn van een onjuiste configuratie van smart contracts. Het wordt aan de burgerlijke rechtbanken overgelaten om dergelijke situaties op te lossen.
