Em fevereiro, o protocolo financeiro descentralizado Platypus no Avalanche foi vítima de um ataque informático no valor de quase 10 milhões de dólares. Os suspeitos, dois irmãos, foram absolvidos pelos tribunais franceses, que acreditam que a falha veio dos contratos inteligentes do Platypus. Aqui está uma atualização de um advogado especializado
Platypus: um hack de quase 10 milhões de dólares
Uma afirmação impossível de verificar, uma vez que, quando o ataque ocorreu, o hacker só conseguiu levantar 270.000 dólares, pois 8,9 milhões de dólares tinham sido erradamente congelados num contrato inteligente Avalanche e outra parte no protocolo Aave.
@Platypusdefi foi explorada resultando numa perda total de ~$9.05M. Embora o projeto tenha sofrido perdas significativas com os três ataques, o atacante só conseguiu controlar um total de ~$270K com o terceiro ataque. O fundo inicial do explorador veio de @FixedFloat
Depois… https://t.co/ckq4XWPexg
– MetaSleuth (@MetaSleuth) 17 de fevereiro de 2023
No entanto, o Ministério Público pediu uma pena de prisão de 5 anos, 3 dos quais suspensos, com uma ordem de entrega. Na altura, o procurador declarou que este caso, o primeiro relacionado com um hack de criptomoedas em França, devia ser tratado com a mesma seriedade que uma infração financeira convencional, acrescentando que “o defeito que podemos ter é pensar que o dinheiro virtual retira a seriedade”.
A justiça francesa é incompatível com as criptomoedas
Mas, de acordo com o tribunal, a Platypus é de facto a culpada pelo hack, uma vez que a falha veio dos seus próprios contratos inteligentes. Segundo o presidente da 13ª secção do tribunal penal especializado em crimes informáticos, “a utilização de um elemento previsto no contrato […] pode eventualmente constituir uma execução contratual de má fé”, mas não “uma manobra na aceção do código penal”. O irmão mais novo do arguido principal, de 20 anos de idade, foi igualmente absolvido da acusação de manipulação de bens roubados.
Os seus advogados, Maîtres Seydi Ba e Théodore Jean-Baptiste, congratularam-se com o facto de não ter sido pronunciada qualquer sentença:
“Estamos muito satisfeitos com o resultado.
Pelo contrário, Marie Robin, a advogada do protocolo Platypus, reagiu fortemente à decisão do tribunal, descrevendo-a como “um cheque em branco para explorações e manobras fraudulentas na cadeia de blocos”:
“[Esta é] uma abordagem retrógrada à tecnologia por parte dos tribunais franceses. […] As empresas não terão interesse em estabelecer-se num país onde poderão ser confrontadas com decisões judiciais aberrantes que toleram o roubo de fundos na cadeia de blocos. “
No entanto, os juízes lembraram aos dois irmãos que a Platypus ainda tinha a opção de os processar civilmente e que, apesar de as acusações contra eles não terem sido retiradas, isso não constituía uma “carta branca” para voltarem a fazê-lo.
Esclarecimentos do escritório de advogados ORWL
Para compreender melhor os meandros deste caso, entrevistámos Romain Chilly, advogado da ORWL, uma firma especializada em criptomoedas e na Web3.
Antes de mais, recorda-nos que a sentença não é definitiva e que é necessário explorar o veredito proferido:
“Continuo a ter reservas quanto à forma como os juízes excluíram os ilícitos criminais, mas há vários factores que me levam a crer que a sentença proferida não é tão barroca como pode parecer à primeira leitura do processo: em primeiro lugar, a sentença ainda não é definitiva, o Ministério Público tem 10 dias para interpor recurso após a sentença ter sido proferida “
Em seguida, Romain Chilly explica que, na medida em que os arguidos utilizaram o protocolo tal como foi concebido, é compreensível que os tribunais não qualifiquem necessariamente o ato como uma infração penal:
“Em segundo lugar, Romain Chilly explica que, na medida em que os arguidos utilizaram o protocolo tal como foi concebido, é compreensível que os tribunais não qualifiquem necessariamente o ato como uma infração penal.
Assim, por uma questão de comodidade, o termo “hack” é utilizado para abranger uma grande variedade de situações, tanto em termos da forma técnica como foram cometidas, como da intenção e do nível de preparação dos seus autores e, por conseguinte, da classificação jurídica que lhes pode ser atribuída. Segundo percebi no caso Platypus, os arguidos activaram uma cláusula de retirada de emergência, o que era tecnicamente possível nos termos do protocolo. Se esta ativação era manifestamente ilegítima e parece ter sido feita de má fé, não me parece ilegítimo o debate sobre a questão de saber se se trata de uma infração penal ou de uma execução contratual de má fé. “
Finalmente, o advogado salienta que esta decisão não é surpreendente, na medida em que a regulamentação que rege o financiamento descentralizado em França ainda necessita de algumas clarificações:
“
“.
Em suma, parece-me que esta decisão é coerente com a jurisprudência emergente dos tribunais penais em matéria de cibercriminalidade em DeFi, uma vez que os tribunais não pretendem impor sanções penais a situações litigiosas resultantes de bugs ou de características resultantes de uma configuração incorrecta dos contratos inteligentes. Deixa para os tribunais civis a resolução de tais situações.
