Un tribunal français acquitte les hackers de Platypus Finance
Les individus responsables du piratage de Platypus Finance en février 2023 ont été acquittés par un tribunal français. Ce piratage a entraîné une perte de 8,5 millions de dollars pour le projet de stablecoin Avalanche.
Le tribunal acquitte les hackers de Platypus Finance
Les hackers derrière le piratage de février 2023 de Platypus Finance, un protocole Automated Market Maker (AMM) sur Avalanche, ont été acquittés par un tribunal français, qui les a innocentés de toutes accusations criminelles. Selon un rapport du journal Le Monde, les auteurs, identifiés comme Mohammed et Benamar M, ont été arrêtés peu de temps après le piratage. L’arrestation a été rendue possible grâce aux informations fournies par les enquêteurs en cryptomonnaie ZachXBT et Binance. Platypus Finance avait annoncé la nouvelle de l’arrestation le X, déclarant,
“Mise à jour: @PoliceNationale a arrêté et convoqué 2 suspects qui auraient exploité notre plateforme. Grâce à l’assistance de @binance et @zachxbtin pour retracer leur identité. Félicitations à l’action rapide des autorités!”
Les autorités ont inculpé Mohammed, âgé de 22 ans, de plusieurs chefs d’accusation liés à l’attaque, tandis que son frère Benamar M a été inculpé de recel de biens volés. Les procureurs français avaient demandé une peine de cinq ans de prison pour Mohammed. Les frères avaient volé près de 8,5 millions de dollars lors du piratage.
La défense
Cependant, les accusés ont été acquittés après que Mohammed ait fait valoir qu’il était un pirate informatique éthique qui avait acquis les fonds du protocole afin de les restituer et de recevoir une prime de 10% de la somme totale. Pendant l’attaque, Mohammed a bloqué par erreur des millions de dollars de fonds volés et n’a pu en récupérer qu’environ 270 000 dollars. Pendant ce temps, Platypus Finance a pu récupérer 2,4 millions de dollars USDC grâce à une contre-attaque.
Les juges ont également constaté que Mohammed avait eu accès à un contrat intelligent mis à la disposition du public. Selon eux, cela signifiait que les accusations liées à l’accès non autorisé à un système informatique n’étaient pas applicables. De plus, le tribunal a également estimé que l’utilisation par Mohammed du propre contrat intelligent de « retrait d’urgence » de Platypus ne constituait pas une fraude.
Étant donné que les chefs d’accusation de fraude n’étaient plus applicables, les juges ont également abandonné les accusations liées au blanchiment d’argent et au recel de biens volés pour lesquelles les frères avaient été inculpés. Cependant, les juges ont averti les frères que Platypus Finance pourrait toujours les poursuivre en justice civile. Ils ont ajouté que même si les accusations criminelles ne tenaient pas, la décision n’était pas “un chèque en blanc”.
Platypus avait récupéré une partie des fonds
Platypus Finance a pu récupérer 2,4 millions de dollars USDC avec l’aide de la société de sécurité blockchain BlockSec. Le pirate, quant à lui, n’a pu retirer que 270 000 dollars, 8,5 millions de dollars étant bloqués dans le contrat où ils ont été transférés. Le co-fondateur de BlockSec, Yajin Zhou, a expliqué comment ils ont pu récupérer une partie des fonds volés en profitant d’une faille dans le contrat intelligent de l’attaquant.
“En exploitant cette faille, le projet peut transférer les fonds du contrat de l’attaquant sur le compte du projet. Le projet a récupéré 2 millions de dollars grâce au concept que nous avons fourni. Il s’agissait de récupérer les fonds du contrat de l’attaquant.”
BlockSec a utilisé une fonction de rappel dans le contrat du pirate pour récupérer une partie des fonds volés.
“L’attaque a été lancée via l’interface de rappel du prêt flash dans le contrat d’attaque. Cette fonction de rappel n’a pas de contrôle d’accès. Pendant cette fonction de rappel, l’attaquant a codé en dur la logique pour approuver des USDC au contrat du projet. Ainsi, le projet peut d’abord invoquer la fonction de rappel dans le contrat de l’attaquant pour approuver des USDC au contrat du projet. Ensuite, le contrat du projet peut retirer les USDC du contrat de l’attaquant en mettant à niveau le proxy vers une nouvelle implémentation.”
Avis de non-responsabilité: Cet article est fourni à titre informatif uniquement. Il n’est pas offert ou destiné à être utilisé comme des conseils juridiques, fiscaux, d’investissement, financiers ou autres.