Op 1 december 2023 sprak de rechtbank van Parijs de twee verdachten vrij in de zaak van de hack op het gedecentraliseerde financiële platform Platypus.
Laten we eerst de achtergrond bekijken: in februari 2023 werd het Platypus Finance-protocol slachtoffer van een hack. De hacker wist ongeveer $8,5 miljoen aan stablecoins te bemachtigen. (Deze post beschrijft de technische details.)
De aanval was gericht op de USP stablecoin: via een "flash loan" kon de hacker onderpand storten, USP's lenen en vervolgens zijn onderpand opnemen via een gebrekkige opnamefunctie.
Opmerkelijk amateuristisch werd de identiteit van de hacker snel achterhaald dankzij het werk van on-chain onderzoekers zoals ZachXBT en de hulp van Binance. Hij werd enkele dagen later gearresteerd door de Nationale Politie.
Tijdens het proces eiste de officier van justitie vijf jaar gevangenisstraf, waarvan twee jaar onvoorwaardelijk, onder meer voor fraude en witwassen.
Maar, geconfronteerd met de vaardige verdediging van de verdachten, achtte de rechtbank de kwalificatie van fraude niet bewezen, omdat het bestaan van frauduleuze handelingen of misleiding niet kon worden aangetoond. Omdat fraude niet werd aangenomen, kon ook witwassen niet worden vastgesteld. De hacker loopt dus vrijuit.
Volgens de informatie in Le Monde had de rechtbank nog wel de fijngevoeligheid om de hacker te laten weten dat de vrijspraak geen "blanco cheque" was, maar eenvoudigweg het gevolg van het feit dat "de tenlasteleggingen strafrechtelijk niet standhouden".
En de rechter verwijst naar een mogelijke civiele procedure - als enige optie voor het protocol om schadevergoeding te verkrijgen. "U heeft nog steeds een schuld verbonden aan de lening, en Platypus zal zich waarschijnlijk tot u wenden bij de civiele rechter..."
Deze beslissing is verrassend, zorgwekkend en zelfs gevaarlijk - om twee redenen.
Onaangepast strafrecht
Ten eerste legt de rechter in wezen uit dat het Franse strafrecht, zoals het nu is geformuleerd, machteloos is. Strafrechtelijke kwalificaties zijn niet aangepast aan hacks of aanvallen op gedecentraliseerde financiële (DeFi) protocollen. Zelfs wanneer frauduleuze opzet duidelijk is, kan de rechter niet veroordelen.
We mogen natuurlijk niet vergeten dat het strafrecht strikt wordt geïnterpreteerd.
Toch blijft het feit dat zo'n beslissing de indruk wekt dat hackers in Frankrijk door de wet worden beschermd. Het heeft al geleid tot honderden ironische reacties op sociale netwerken, variërend van vergelijkingen met Noord-Korea (bekend van het sponsoren van de Lazarus-hackergroep) tot oproepen aan aspirant-cybercriminelen om naar Frankrijk te verhuizen.
Bovenal zal deze beslissing dienen als een extra argument voor degenen die beweren dat DeFi buiten de wet valt en dus zo snel mogelijk gereguleerd moet worden.
Een Smart contract is geen contract
Vervolgens lijkt de rechter te zijn overtuigd door een bepaalde interpretatie van het bekende 'Code is Law'-principe. Hoe anders moeten we de verwijzing naar de lening en de schuld van de hacker aan het protocol begrijpen?
Het lijkt erop dat de rechter bepaalde strafrechtelijke aanklachten (met name diefstal en fraude) heeft verworpen op grond van het feit dat de interactie van de hacker met het smart contract een "contract" vormde. In dit geval een leningsovereenkomst.
De hacker, gezien als de lener van de gehackte fondsen, kan dus noch als oplichter noch als dief worden beschouwd. Volgens deze juridische logica concluderen we zelfs dat de gehackte fondsen aan hem toebehoren, met de verplichting voor hem om deze terug te betalen. Het veronderstellen van het bestaan van een contractuele relatie zou dus elke vaststelling van een strafbaar feit uitsluiten.
Deze interpretatie is gevaarlijk en betwistbaar. Het is duidelijk dat de rechter op het verkeerde been is gezet door de verdediging, die handig inspeelde op de semantische verwarring tussen smart contract en contract. Kortom, "Code is law". Echter, een smart contract is geen contract, het is simpelweg een computerprogramma dat, afhankelijk van het geval, de drager of het instrument van een contractuele relatie kan zijn.
En, aangenomen dat er daadwerkelijk een contract tot stand was gekomen tussen de hacker en het protocol, waarom daar stoppen en het niet proberen aan te vechten? Was het contract geldig? Was de totstandkoming ervan niet aangetast door een nietigheidsgrond? (Bijvoorbeeld... fraude?)
Ook hier maakte Crypto Twitter in het Engels geen fout en spotte men met de erkenning van "Code is the law". Hoe dan ook, zelfs als deze beslissing in hoger beroep wordt vernietigd, is het waarschijnlijk dat ze nu al veel partijen op het verkeerde been zet.
Tot slot moeten we niet te snel generaliseren over deze beslissing van de rechtbank van Parijs. Het is slechts een uitspraak in eerste aanleg, en er is niets dat zegt dat het een precedent zal scheppen. Het is nog steeds mogelijk dat het Openbaar Ministerie in beroep gaat.
Voor een advocaat is het aanmoedigen van een officier van justitie om in beroep te gaan en te pleiten voor een strengere straf moeilijk, bijna onnatuurlijk... Maar deze keer moeten we een uitzondering maken: in het belang van het hele crypto-ecosysteem is het cruciaal dat tegen deze beslissing beroep wordt aangetekend. Het is cruciaal dat een hof van beroep het voor de hand liggende bevestigt: ja, het hacken van gedecentraliseerde financiële protocollen is verboden door het strafrecht.
Op 1 december 2023 sprak de rechtbank van Parijs de verdachten in de Platypus Finance-hack vrij. Voor advocaat Victor Charpiat (Kramer Levin) is deze beslissing om verschillende redenen betwistbaar, niet in de laatste plaats omdat zij 'smart contracts' gelijkstelt aan conventionele contracten..
%201.png)
%201.png)
%201.png)
%201.png)
%201.png)
