Le 1er décembre 2023, le tribunal judiciaire de Paris a relaxé les deux suspects du hack de la plateforme de finance décentralisée Platypus.
Rappelons d’abord le contexte : en février 2023, le protocole Platypus Finance a été victime d’un hack. Le hacker a récupéré environ 8,5M$ en stablecoins. (Ce post décrit les détails techniques.)
L’attaque visait le stablecoin USP : via un “flash loan”, le hacker a pu déposer du collatéral, emprunter des USP, puis retirer son collatéral en utilisant une fonction de retrait défaillante.
Le hacker ayant fait preuve d’un amateurisme surprenant, des indices ont rapidement permis de retrouver son identité, grâce au travail d’enquêteurs on-chain comme ZachXBT et à l’assistance de Binance. Il a été arrêté quelques jours plus tard par la Police Nationale.
Lors du procès, le procureur a requis cinq ans de prison, dont deux ferme pour, notamment, escroquerie et blanchiment.
Mais, face à l’habile défense des prévenus, le tribunal n’a pas retenu la qualification d’escroquerie, n’étant pas en mesure de démontrer l’existence de manœuvres frauduleuses ou d’une tromperie. L’escroquerie n’étant pas retenue, le blanchiment ne peut pas non plus être établi. Le hacker ressort donc libre comme l’air.
Selon les informations du Monde , le tribunal a quand même eu la délicatesse d’informer le hacker que la relaxe n’est pas un “blanc-seing”, mais simplement la conséquence du fait que “les charges ne tiennent pas sur le plan pénal”.
Et le juge renvoie à une possible action au civil – comme seule option accessible au protocole pour obtenir réparation. “Vous avez tout de même une dette liée au prêt, et Platypus va probablement se retourner contre vous au civil…”
Cette décision est surprenante, préoccupante, et même dangereuse – pour deux raisons.
Un droit pénal inadapté D’abord , le juge explique en substance que le droit pénal français, dans sa rédaction actuelle, est impuissant. Les qualifications pénales ne sont pas adaptées aux hacks ou attaques de protocoles de finance décentralisée (DeFi). Quand bien même l’intention frauduleuse est évidente, le juge ne peut pas condamner.
Il ne faut pas oublier, bien sûr, que la loi pénale est d’interprétation stricte.
Il n’en reste pas moins qu’une telle décision donne l’impression qu’en France, les hackers sont protégés par la justice. Elle a déjà suscité des centaines de réactions ironiques sur les réseaux sociaux, entre comparaisons avec la Corée du Nord (connue pour sponsoriser le groupe de hackers Lazarus) et appels au déménagement en France pour les wannabes cybercriminels.
Surtout, cette décision servira d’argument supplémentaire à ceux qui expliquent que la DeFi est hors-la-loi, et doit donc être réglementée au plus vite.
Un Smart contract n’est pas un contrat Ensuite , le juge semble avoir été convaincu par une certaine déclinaison du fameux principe “Code is Law”. Comment, autrement, comprendre la référence au prêt et à la dette dont le hacker resterait redevable à l’égard du protocole ?
Il semble bien que le juge a écarté certaines qualifications pénales (notamment le vol et l’escroquerie) au motif que l’interaction du hacker avec le smart contract aurait formé un “contrat”. En l’occurrence, un contrat de prêt.
Le hacker, vu comme l’emprunteur des fonds hackés, ne peut donc être ni un escroc ni un voleur. En suivant cette logique juridique, on en conclut même que les fonds hackés lui appartiennent, à charge pour lui de les rembourser. Le fait de présupposer l’existence d’une relation contractuelle écarterait donc tout constat d’une infraction.
Cette interprétation est dangereuse et contestable. Clairement, le juge s’est laissé abuser par le discours de la défense, qui a opportunément joué sur l’amalgame sémantique entre smart contract et contrat. “Code is law”, en somme. Or, un smart contract n’est pas un contrat, c’est un simple programme informatique qui peut, selon le cas, être le support ou l’instrument d’une relation contractuelle.
Et, à supposer qu’un contrat ait effectivement été formé entre le hacker et le protocole, pourquoi s’arrêter là et ne pas chercher à le contester ? Ce contrat était-il valide ? Sa formation n’était-elle pas entachée d’une cause de nullité ? (Au hasard… la fraude ?)
Là aussi, le Crypto Twitter anglophone ne s’y est pas trompé et ironise sur la reconnaissance du “Code est la loi”. Quoi qu’il en soit, même si elle est inversée en appel, cette décision risque d’ores et déjà d’induire en erreur de nombreux acteurs.
Pour terminer , ne généralisons pas trop vite cette décision du tribunal judiciaire de Paris. Il ne s’agit que d’une décision de première instance, et rien ne dit qu’elle fera jurisprudence. Il est encore possible pour le parquet de faire appel.
Pour un avocat, encourager un procureur à faire appel et appeler à une sanction plus stricte est difficile, presque contre nature… Mais, cette fois, il faut faire une exception : dans l’intérêt de l’écosystème crypto dans son ensemble, il est crucial que cette décision soit frappée d’appel. Il est crucial qu’une cour d’appel confirme cette évidence : oui, le hack de protocole de finance décentralisée est interdit par la loi pénale.
