Le 16 février 2023, la plateforme de finance platypus a été victime par l’action de deux frères, ayant exploité une faille dans le code, d’un siphonnage à hauteur de 8,3 millions d’euros retirés d’un de ses « pools ». Les « pool » sont des réserves de cryptomonnaie partagées, utilisées par les investisseurs afin d’échanger des numériques.
C’est un appel à la bourse d’échange de cryptomonnaies Binance qui a permis aux enquêteurs de l’Office national central de lutte contre la criminalité liée aux technologies de l’information et de la communication d’identifier les deux frères, Mohammed et Benamar M., qui ont été appréhendés le 24 février à Aubervilliers (Seine-Saint-Denis). Mohammed M. est alors mis en examen pour accès et maintien dans un système de traitement automatisé de données, escroquerie et blanchiment, tandis que son frère a lui été accusé de recel.
Le parquet avait demandé une peine de cinq ans de prison, dont trois avec sursis pour Mohammed M. et six mois avec sursis pour son frère cadet.
Ce 1er décembre, les deux frères viennent d’être relaxés par la 13è chambre correctionnelle du tribunal judiciaire de Paris.
La défense des frères
Mohammed M. ne conteste pas les faits, mais affirme avoir agi de bonne foi en se présentant comme un « hackeur éthique » ayant seulement souhaité « récupérer les fonds en danger de la plate-forme Platypus pour les restituer plus tard » afin de démontrer les failles du codage. Il espérait ainsi en tirer une « prime », d’environ « 10 % de la somme totale ».
Lors de l’audience, le protagoniste a expliqué le processus par lequel, en écrivant une série d’instructions dans un contrat intelligent, il avait pu accéder aux fonds de Platypus Finance. Initialement, il avait effectué un prêt sur le protocole de finance décentralisée Aave V3, lui permettant ainsi de déposer 44 millions d’USDC, un coin stable, indexé sur le dollar américain, sur la plateforme de Platypus Finance.
Ces fonds ont été utilisés comme garantie pour emprunter 41,7 millions d’USP, un autre jeton. Cette somme était prévue pour être échangée avec les coins disponibles dans le pool de liquidité de la plateforme. Entre temps, la clause de retrait d’urgence a été activée, permettant ainsi de rembourser le prêt éclair initial tout en conservant le contrôle des cryptomonnaies obtenues sur Platypus.
La décision du Tribunal
Pour la Présidente Lasserre-Jeannin, cette manœuvre ne permet pas de caractériser l’escroquerie, ni le blanchiment, « même si c’est préjudiciable » pour l’entreprise. « Le smart contract a été mal codé par Platypus, de sorte que cela a permis au mis en cause d’en profiter ». Cela relève donc pour le tribunal d’une simple « mauvaise foi ».
Les juges ont également conclu qu’il ne s’agissait pas d’un vol, puisque les cryptomonnaies ne relevaient pas de la propriété de la société, mais plutôt des jetons appartenant aux personnes ayant déposé leurs fonds dans le « pool » crypto. En outre, les accusations de piratage informatique ont été écartées. L’expert de la police nationale a admis que cela constituait avant tout une interaction avec le contrat intelligent, plutôt qu’un accès frauduleux à un système de traitement automatisé de données.
Toutefois, ce débat judicaire inédit, est loin d’être terminé, car en plus d’un éventuel appel du parquet, Mohammed M. pourrait maintenant être tenu de rembourser le prêt contracté auprès de Platypus. C’est ce qu’a ajouté la présidente du tribunal. Cependant, ce point reste très incertain, compte tenu des fonds perdus dans l’un des contrats intelligents et du fait que le token en question n’est plus négociable sur la plupart des places de marché.
Pour finir, Platypus Finance a déclaré, par l’intermédiaire de son avocate être « abasourdie » par cette décision constituant « un véritable chèque en blanc à des manœuvres frauduleuses sur la blockchain ».
Il juge par ailleurs, que l’approche de la technologie par la justice française « rétrograde », et affirme que « les entreprises n’auront aucun intérêt à s’installer dans un pays dans lequel elles seront potentiellement confrontées à des décisions aberrantes, qui cautionnent des vols ».
La magistrate a de son côté, affirmé que ce « premier dossier de piratage de cryptomonnaies jugé en France » a vocation à faire jurisprudence, et a toutefois appelé les tribunaux à avoir en tête que « le travers que l’on peut avoir, c’est penser que l’argent virtuel ôte de la gravité » à l’acte commis.