Accueil » Actu des cryptomonnaies » Actualité de la Blockchain » Pourquoi 2 hackers français ont été relaxés pour l'attaque à 9,5 millions de dollars sur le protocole Platypus ?

Pourquoi 2 hackers français ont été relaxés pour l'attaque à 9,5 millions de dollars sur le protocole Platypus ?

En février, le protocole de finance décentralisée Platypus sur Avalanche a été victime d'un hack de près de 10 millions de dollars. Les suspects, 2 frères, ont été relaxés par la justice française, qui estime que la faille vient des smart contracts de Platypus. On fait le point avec un avocat spécialisé.

le 5 décembre 2023 à 17:00.

4 minutes de lecture

Maximilien Prué

Pourquoi 2 hackers français ont été relaxés pour l'attaque à 9,5 millions de dollars sur le protocole Platypus ?

Platypus : un hack à presque 10 millions de dollars

Au mois de février de ce début d'année, le protocole de finance décentralisée (DeFi) Platypus, hébergé sur Avalanche (AVAX), subissait un hack à hauteur de 9,5 millions de dollars. Grâce aux efforts conjoints de Binance, de la police nationale française et de l'enquêteur on-chain ZachXBT, 2 suspects avaient rapidement pu être interpellés.

Les 2 frères, Mohammed et Benamar M., avaient respectivement été mis en examen pour accès et maintien dans un système de traitement automatisé de données, escroquerie, blanchiment d'argent, et recel. Le 26 octobre dernier, Mohammed M., le principal suspect âgé de 22 ans, avait reconnu les faits mais avait aussi affirmé qu'il avait agi en tant que hacker « white hat » et qu'il comptait retourner les fonds avant de toucher une récompense par Platypus.

👉 Gardez vos cryptomonnaies à l'abri avec le Ledger Nano S Plus

Une affirmation impossible à vérifier dans la mesure où lorsque l'attaque avait été commise, le hacker n'avait pu retirer que 270 000 dollars puisque 8,9 millions de dollars avaient été gelés par erreur dans un smart contract d'Avalanche et une autre partie sur le protocole Aave.

@Platypusdefi was exploited resulting in a total loss of ~$9.05M. Although the project suffered significant losses from the three attacks, the attacker was only able to control a total of ~$270K from the third attack. The exploiter's initial fund came from @FixedFloat

After… https://t.co/ckq4XWPexg

— MetaSleuth (@MetaSleuth) February 17, 2023

Pour autant, le parquet avait demandé sa condamnation à 5 ans d'emprisonnement, dont 3 assortit de sursis et avec mandat de dépôt. À ce moment-là, la procureure affirmait que cette affaire, la première relative à un hack crypto en France, devait être traitée avec la même gravité qu'un délit financier classique, ajoutant que « le travers que l'on peut avoir, c'est penser que l'argent virtuel ôte de la gravité ».

Ledger : la meilleure solution pour protéger vos cryptomonnaies

Une justice française incompatible avec les cryptomonnaies ?

Mais selon la justice, c'est bel et bien la faute à Platypus si le hack a pu avoir lieu, dans la mesure où la faille venait de ses propres smart contracts. Selon la présidente de la 13e chambre correctionnelle spécialisée dans la cybercriminalité, « utiliser un élément prévu par le contrat [...] peut éventuellement constituer une exécution contractuelle de mauvaise foi, » mais pas « une manœuvre au sens du code pénal ». Le petit frère du principal concerné, âgé de 20 ans, a également été relaxé concernant les accusations de recel portées à son égard.

Leurs avocats, Mes Seydi Ba et Théodore Jean-Baptiste, se sont félicités de l'absence de peine :

« Nous nous félicitons de la bonne application du droit et de la distinction faite entre la morale et le droit pénal. »

👉 Dans l'actu similaire – La Corée du Nord a volé 3 milliards de $ de cryptos depuis 2017 — Lumière sur ces cybercrimes lucratifs

Au contraire, Marie Robin, l'avocate du protocole Platypus, a vivement réagi à cette décision de justice, la qualifiant d'« un véritable chèque en blanc à des exploits et des manœuvres frauduleuses sur la blockchain » :

« [C'est] une approche rétrograde de la tech par les juridictions françaises. [...] Les entreprises n'auront aucun intérêt à s'installer dans un pays où elles seront potentiellement confrontées à des décisions de justice aberrantes qui cautionnent des vols de fonds sur la blockchain. »

Toutefois, les juges ont rappelé aux 2 frères que Platypus avait encore la possibilité de les poursuivre au civil, et que même si les accusations portées à leur encontre n'ont pas été levées, cela ne constituait pas « une carte blanche » pour recommencer.

Formez-vous avec Alyra pour intégrer l'écosystème blockchain

Éclaircissements par le cabinet d'avocats ORWL

Afin de mieux comprendre les tenants et les aboutissants de cette affaire, nous avons interrogé Romain Chilly, avocat chez ORWL, un cabinet spécialisé dans les cryptomonnaies et le Web3.

Ce dernier nous rappelle tout d'abord que le jugement n'est pas définitif, et qu'il est bel et bien nécessaire d'explorer le verdict rendu :

« J'ai toujours des réserves sur la façon dont les juges ont écarté les infractions pénales toutefois, plusieurs éléments me font considérer que le verdict qui a été rendu n'est pas aussi baroque qu'il peut sembler l'être à première lecture des entrefilets sur le dossier: d'abord, le jugement n'est pas encore définitif, le parquet dispose d'un délai de 10 jours pour faire appel à compter du prononcé du jugement. »

Plus tard, Romain Chilly nous explique que dans la mesure où les accusés ont fait usage du protocole tel qu'il est conçu, il est compréhensible que la justice n'en vienne pas nécessairement à qualifier l'acte d'infraction pénale :

« Ensuite, l'on regroupe par facilité de langage sous le terme de "hack" des situations très hétérogènes tant dans la façon dont ils ont été commis sur le plan technique que sur l'intention et le niveau de préparation des auteurs et donc la qualification juridique qui peut en être faite. Je comprends dans le dossier Platypus que les prévenus ont activé une clause de retrait d'urgence, ce que permettait techniquement de faire le protocole. Si cette activation n'était manifestement pas légitime et semble avoir été faite de mauvaise foi, le débat sur le fait que cela constitue une infraction pénale ou une exécution contractuelle de mauvaise foi ne me semble pas illégitime. »

Enfin, l'avocat précise qu'une telle décision est peu surprenante dans la mesure où la réglementation encadrant la finance décentralisée en France nécessite encore un peu de clarté :

« Pour résumer, il me semble que cette décision s'inscrive en cohérence avec la jurisprudence naissante du juge pénal en matière de cybercriminalité dans la DeFi, le juge ne souhaitant pas sanctionner pénalement des situations litigieuses résultant de bugs ou de features résultant d'un mauvais paramétrage de smart contracts. Il laisse au juge civil le soin de dénouer ces situations. »

Cryptoast Research : Ne gâchez pas ce bull run, entourez vous d'experts

Source : BFMTV

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌

Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.

Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.

Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.

Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.

Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.

Maximilien Prué

1207 articles

Tous ses articles

0 Commentaires

Inline Feedbacks

View all comments

Tout voir

Pourquoi 2 hackers français ont été relaxés pour l'attaque à 9,5 millions de dollars sur le protocole Platypus ?

Platypus : un hack à presque 10 millions de dollars

Une justice française incompatible avec les cryptomonnaies ?

Éclaircissements par le cabinet d'avocats ORWL

Pouvoir d’achat : c’est quoi un « salaire décent » pour les Français ?

« Finance & Blockchain : le début d'une nouvelle ère ? » – Retour sur une conférence majeure au cœur de Paris

Ligue pour la sécurité du web3 (LSW3) – Constituer un rempart face aux escroqueries sur la blockchain

France : Deblock lève 12 millions d'euros et lance son compte acceptant l'euro et les cryptomonnaies

La France est 4e des pays d'Europe qui taxent le plus les cryptomonnaies

La banque N26 ouvre son offre N26 Crypto à tous ses clients en France

12 % des Français possèdent des crypto-actifs – Synthèse de l'étude publiée par l'Adan

Que sait-on sur la campagne d’arnaques aux cryptomonnaies utilisant l’image de la présentatrice Élise Lucet ?