La cour française acquitte les hackers de Platypus Finance qui se sont déclarés « hackers éthiques »

Un tribunal français a récemment acquitté deux frères responsables d'avoir pris 8,5 millions de dollars du protocole de finance décentralisée (DeFi) Platypus Finance, leur permettant de marcher librement sans pénalités légales après avoir prétendu agir en tant que "hackers éthiques."

Le 16 février 2023, les hackers ont réussi à siphonner 8,5 millions de dollars de Platypus grâce à une attaque de prêt flash sophistiquée. Cette violation de la sécurité a contraint le protocole à suspendre immédiatement tous les services de trading en cherchant une solution à la crise.

L'attaque a été initialement identifiée grâce aux systèmes de surveillance de la sécurité :

#CertiKSkynetAlert We are seeing a #attaque de flashloan sur Platypus entraînant une perte potentielle d'environ 8,5 millions de dollars. Tx AVAX : 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430 Restez cool!

Une enquête collaborative impliquant des équipes de sécurité d'un échange de cryptomonnaie majeur et des chercheurs en sécurité crypto indépendants a réussi à suivre les actifs volés. Cette enquête a finalement identifié Mohammed et son frère Benamar M. comme les auteurs de l'attaque.

Les frères ont d'abord été placés en détention suite à leur identification. Cependant, dans un développement juridique surprenant, le tribunal a rejeté toutes les charges criminelles à leur encontre après avoir examiné leur défense. Les hackers ont affirmé qu'ils tentaient simplement d'identifier des vulnérabilités de sécurité en tant que "hackers éthiques" - une pratique similaire aux programmes de récompense de bugs légitimes où des chercheurs en sécurité identifient des faiblesses en échange de récompenses.

L'incident Platypus met en lumière les préoccupations croissantes concernant la sécurité de DeFi et les zones grises juridiques entourant le piratage "white hat". Bien que de nombreuses plateformes encouragent les divulgations de vulnérabilités responsables par le biais de programmes de récompense pour bugs formels, la frontière entre la recherche en sécurité et le vol reste contestée dans de nombreuses juridictions.

Malheureusement pour Platypus Finance, leurs problèmes de sécurité ont continué même durant ces procédures judiciaires. Le protocole a récemment subi une nouvelle exploitation de prêt Flash entraînant une perte supplémentaire de 2,2 millions $, soulevant d'autres questions sur les mesures de sécurité de la plateforme et sa capacité à protéger les fonds des utilisateurs.

Ce cas représente un précédent significatif sur la manière dont les tribunaux peuvent interpréter l'accès non autorisé aux protocoles blockchain lorsque les auteurs affirment avoir des intentions éthiques, pouvant influencer les futures approches juridiques concernant des incidents similaires de sécurité DeFi.