W lutym zdecentralizowany protokół finansowy Platypus na Avalanche padł ofiarą włamania o wartości prawie 10 milionów dolarów. Podejrzani, 2 bracia, zostali uniewinnieni przez francuskie sądy, które uważają, że wada pochodziła z inteligentnych kontraktów Platypus. Oto aktualizacja od wyspecjalizowanego prawnika
Platypus: hack wart prawie 10 milionów dolarów
W lutym tego roku zdecentralizowany protokół finansowy (DeFi) Platypus, hostowany na Avalanche (AVAX), został zhakowany na kwotę 9,5 miliona dolarów. Dzięki wspólnym wysiłkom Binance, francuskiej policji i śledczego ZachXBT, szybko aresztowano 2 podejrzanych.
Dwaj bracia, Mohammed i Benamar M., zostali odpowiednio oskarżeni o dostęp i utrzymywanie zautomatyzowanego systemu przetwarzania danych, oszustwo, pranie pieniędzy i obsługę skradzionych towarów. W dniu 26 października Mohammed M., główny podejrzany w wieku 22 lat, przyznał się do popełnienia przestępstw, ale twierdził również, że działał jako haker w „białym kapeluszu” i że zamierzał zwrócić fundusze przed otrzymaniem nagrody od Platypus.
Twierdzenie to było niemożliwe do zweryfikowania, ponieważ w momencie ataku haker był w stanie wypłacić jedynie 270 000 USD, ponieważ 8,9 mln USD zostało omyłkowo zamrożone w inteligentnym kontrakcie Avalanche, a kolejna część w protokole Aave.
@Platypusdefi został wykorzystany, co spowodowało łączną stratę w wysokości ~9,05 mln USD. Chociaż projekt poniósł znaczne straty w wyniku trzech ataków, atakujący był w stanie kontrolować łącznie tylko ~270 tys. dolarów z trzeciego ataku. Początkowe fundusze exploita pochodziły z @FixedFloat
– MetaSleuth (@MetaSleuth) 17 lutego 2023
Prokurator wnioskował jednak o karę 5 lat pozbawienia wolności, z czego 3 lata w zawieszeniu, z nakazem opuszczenia zakładu karnego. W tym czasie prokurator stwierdził, że ta sprawa, pierwsza związana z włamaniem do kryptowalut we Francji, powinna być traktowana z taką samą powagą jak konwencjonalne przestępstwo finansowe, dodając, że „wadą, jaką możemy mieć, jest myślenie, że wirtualne pieniądze odbierają powagę”.
Francuski wymiar sprawiedliwości niekompatybilny z kryptowalutami
Ale według sądu, Platypus rzeczywiście ponosi winę za włamanie, ponieważ wada pochodziła z jego własnych inteligentnych kontraktów. Według prezesa 13. izby sądu karnego specjalizującego się w cyberprzestępczości, „wykorzystanie elementu przewidzianego w umowie […] może ewentualnie stanowić wykonanie umowy w złej wierze”, ale nie „manewr w rozumieniu kodeksu karnego”. 20-letni młodszy brat głównego oskarżonego również został uniewinniony od zarzutu paserstwa.
Ich prawnicy, Maîtres Seydi Ba i Théodore Jean-Baptiste, z zadowoleniem przyjęli fakt, że nie wydano żadnego wyroku:
„Jesteśmy bardzo zadowoleni z wyniku.
Wręcz przeciwnie, Marie Robin, prawniczka protokołu Platypus, ostro zareagowała na orzeczenie sądu, opisując je jako „czek in blanco na exploity i oszukańcze manewry na blockchainie”:
„[To] wsteczne podejście francuskich sądów do technologii. […] Firmy nie będą zainteresowane zakładaniem działalności w kraju, w którym potencjalnie będą musiały stawić czoła błędnym orzeczeniom sądowym, które przyzwalają na kradzież środków na blockchainie.”
Sędziowie przypomnieli jednak dwóm braciom, że Platypus nadal ma możliwość pozwania ich na drodze cywilnej i że nawet jeśli zarzuty przeciwko nim nie zostały wycofane, nie stanowi to „carte blanche”, aby zrobić to ponownie.
Wyjaśnienia kancelarii ORWL
Aby lepiej zrozumieć tajniki tej sprawy, przeprowadziliśmy wywiad z Romainem Chilly, prawnikiem z ORWL, firmy specjalizującej się w kryptowalutach i Web3.
Przede wszystkim przypomina on nam, że wyrok nie jest ostateczny i że rzeczywiście konieczne jest zbadanie wydanego werdyktu:
„Nadal mam zastrzeżenia co do sposobu, w jaki sędziowie wykluczyli przestępstwa, ale istnieje kilka czynników, które pozwalają mi wierzyć, że wydany wyrok nie jest tak barokowy, jak mogłoby się wydawać po pierwszym przeczytaniu akt: po pierwsze, wyrok nie jest jeszcze prawomocny, prokurator ma 10 dni na złożenie apelacji po wydaniu wyroku „
Później Romain Chilly wyjaśnia, że w zakresie, w jakim oskarżeni wykorzystali protokół zgodnie z jego przeznaczeniem, zrozumiałe jest, że sądy niekoniecznie kwalifikują czyn jako przestępstwo:
„Po drugie, Romain Chilly wyjaśnia, że w zakresie, w jakim oskarżeni wykorzystali protokół zgodnie z jego przeznaczeniem, zrozumiałe jest, że sądy niekoniecznie kwalifikują czyn jako przestępstwo.
Dla ułatwienia, termin „hack” jest używany w odniesieniu do wielu różnych sytuacji, zarówno pod względem technicznego sposobu ich popełnienia, jak i zamiaru oraz poziomu przygotowania sprawców, a tym samym kwalifikacji prawnej, którą można do nich zastosować. Ze sprawy Platypus rozumiem, że oskarżeni aktywowali klauzulę awaryjnego wycofania, co było technicznie możliwe na mocy protokołu. Jeśli ta aktywacja była wyraźnie niezgodna z prawem i wydaje się, że została dokonana w złej wierze, debata na temat tego, czy stanowi to przestępstwo, czy wykonanie umowy w złej wierze, nie wydaje mi się bezprawna.”
Na koniec prawnik zaznacza, że taka decyzja nie dziwi o tyle, że przepisy regulujące zdecentralizowane finanse we Francji wciąż wymagają doprecyzowania:
„
„.
Podsumowując, wydaje mi się, że decyzja ta jest zgodna z wyłaniającym się orzecznictwem sądów karnych w obszarze cyberprzestępczości w DeFi, ponieważ sądy nie chcą nakładać sankcji karnych na sytuacje sporne wynikające z błędów lub funkcji wynikających z nieprawidłowej konfiguracji inteligentnych kontraktów. Rozstrzyganie takich sytuacji pozostawia sądom cywilnym.
