Après avoir « volé » 16 millions de dollars, ce jeune pirate informatique semble déterminé à tester le principe « Code is Law » devant les tribunaux

Environ 16 millions de dollars en Cryptomonnaie ont été volés lors d'un exploit d'un protocole de Finance décentralisée (DeFi) la semaine dernière, et les victimes pensent savoir exactement qui l'a fait.

Malgré les menaces de l’équipe, l’agresseur présumé – un étudiant diplômé canadien – refuse de restituer les fonds, ce qui pourrait ouvrir la voie à une confrontation juridique sans précédent.

D' un côté, un enfant prodige des mathématiques et fervent défenseur de l'éthique d'autorégulation de la DeFi, selon laquelle « le code fait loi ». De l'autre, deux développeurs DeFi et leurs conseillers se sont sentis contraints de faire une série de choix éthiques inquiétants sans précédent au nom d'une communauté DAO.

L'enjeu de cette lutte est de résoudre plusieurs questions épineuses, jusqu'ici occultées par la croissance explosive de la DeFi : quel est le rôle des forces de l'ordre dans un secteur non réglementé de 220 milliards de dollars ? Quand, le cas échéant, faut-il faire appel aux gendarmes ? Et, surtout, la notion de « code fait loi » est-elle suffisante pour appréhender toutes les complexités éthiques de la DeFi ?

Première brèche

Le 14 octobre, le compte Twitter officiel d'Indexed, unRégi par la DAO Le protocole DeFi a signalé une erreur avec deux de ses pools de liquidités de type fonds indiciel à rééquilibrage automatique, ONE ayant drainé près de la moitié des 34 millions de dollars d'Indexed en valeur totale verrouillée.

Une analyse d'une publication axée sur l'exploitationRekt Il est démontré que l'erreur était en réalité une attaque lancée depuis une adresse Ethereum financée par le mélangeur de Politique de confidentialité Tornado Cash. À partir de cette adresse, un attaquant a utilisé des prêts flash pour déséquilibrer les pools et racheter les actifs constitutifs à un taux fortement réduit.

Depuis, l'équipe d'Indexed et une cellule de crise ad hoc composée d'experts du secteur se sont réunies pour limiter les dégâts et recueillir des informations. Leur enquête leur a permis de découvrir l'identité réelle de l'attaquant : il s'agit d'un prodige des mathématiques de 18 ans, connu sous le nom d'« Andy ».

L'équipe CORE d'Indexed et les membres de la communauté DeFi qui prétendent avoir parlé avec Andy affirment qu'il a refusé de restituer les fonds et qu'il a l'intention de faire face à toutes les accusations criminelles résultant de son exploit devant le tribunal - arguant qu'il a simplement exécuté une transaction d'arbitrage entièrement légale.

Un fil de discussion sur Twitter, provenant d'un compte se réclamant d'Andy, remerciait les sympathisants pour leurs commentaires de la semaine dernière et demandait jeudi des recommandations d'avocat. De même, dans un échange de courriels avec CoinDesk, Andy n'a pas confirmé avoir mené l'attaque, mais a indiqué qu'il sollicitait une assistance juridique. (Depuis, Andy ne répond plus aux courriels de CoinDesk, bien que d'autres tentatives aient été faites pour le contacter.)

Si l'affaire est portée devant un juge, cela pourrait mettre à l'épreuve le principe selon lequel « le code fait loi » – une expression populaire dans les cercles de la DeFi désignant un état d'esprit commun. En l'absence de réglementation, l'écosystème de la DeFi est purement contradictoire et tout ce qui est permis par le code est également par nature éthiquement acceptable. Là où l' un peut voir une exploitation, l'autre peut simplement y voir «trading de Crypto -monnaies.”

Un certain nombre d'experts juridiques qui ont parlé à CoinDesk ont ​​cependant rejeté cette idée et ont déclaré que même si une affaire pouvait être complexe et peut-être nouvelle, un tribunal ne céderait pas nécessairement à l'éthique non officielle de DeFi.

« Salle de guerre »

Peu de temps après la découverte de l'attaque, l'équipe CORE d'Indexed a trouvé un certain nombre d'indices les laissant penser qu'ils avaient identifié le pirate informatique : un jeune développeur qui parlait avec Laurence Day, membre de l'équipe, depuis des mois.

« Il était parfaitement affable, amical, souriant, avec plein d'émojis. Un type tout à fait normal », a déclaré Day à propos d'Andy dans une interview accordée à CoinDesk.

Bien que Day n’ait pas écrit le code du protocole, il le maintient et, par conséquent, « le comprend assez bien ».

« Je n'ai T l'impression d'avoir été victime d'un catfishing ou de quelque chose comme ça parce que je discutais d'informations qui étaient accessibles au public, mais cela m'a pris par surprise », a ajouté Day.

Une fois le suspect identifié, l'équipe a constitué sa « cellule de crise » en ligne. Parmi ses membres figuraient Julien Bouteloup, contributeur de Curve, Lefteris Karapetsas, fondateur de Rotki, et le pseudonymeyearn.finance contributeur CORE « Banteg », entre autres.

Dans une interview avec CoinDesk, Banteg a déclaré que la décision de rejoindre la salle de guerre était facile à ONE.

« Je ne refuse T ces invitations parce que je sais ce que l'on ressent lorsqu'on se retrouve dans une situation comme celle-ci, et je crois que je peux apporter un soutien significatif et la perspective extérieure nécessaire pour aider à gérer la situation avec grâce et éviter les erreurs stupides causées par le stress qu'aucun Human ne devrait endurer seul », a déclaré Banteg.

Débat éthique

Une fois que l’équipe a eu des informations sur l’agresseur, ils ont décidé de lancer un ultimatum : restituer les fonds ou être dénoncé aux autorités chargées de l’application de la loi.

Par le passé, les menaces de doxxing se sont avérées efficaces. Suite à l'exploitation d'un jeton non fongible (NFT) d'une valeur de 3 millions de dollars en septembre, les développeurs ont réussi à intimider l'attaquant pour qu'il restitue les fonds volés après, entre autres tactiques de négociation, avoir commandé de la soupe miso à son domicile.

Sur le même sujet : 3 millions de dollars ont été volés, mais le véritable vol, ce sont ces Kia Sedona, affirment des développeurs anonymes

Mettre réellement cette menace à exécution est peut-être une nouveauté, et cette décision a suscité un débat interne important au sein de l’équipe.

Selon Dillon Kellar, contributeur CORE d'Indexed, la nature de la structure DAO d'Indexed a fortement influencé la réflexion de l'équipe.

« Une fois qu'il a clairement fait savoir qu'il n'abandonnerait pas, qu'il T fichait, que nous avions trouvé ces preuves accablantes contre lui, à ce moment-là, nous avons dû prendre une décision difficile, car si nous nous adressions simplement aux forces de l'ordre, si nous KEEP ces informations pour nous, nous prenions effectivement en charge la situation nous-mêmes, et nous ne pouvions T faire cela », a déclaré Kellar.

D'autres membres de la DAO pourraient souhaiter poursuivre individuellement ou collectivement une rémunération devant un tribunal civil, et si les membres de l'équipe CORE cachaient les informations personnelles d'Andy, cela pourrait les empêcher de le faire - ce qui déclencherait finalement un argument moral en faveur du doxxing.

« Nous ne sommes pas à l'aise avec l'idée de divulguer publiquement des informations personnelles, mais Indexed n'est pas une entité juridique, c'est une DAO. Et Dillon et moi T le droit d'être les seuls propriétaires de ces informations, ni de prendre en charge la bataille juridique. C'est une réponse acculée », a déclaré Day.

Banteg a également exprimé son malaise face à cette décision, mais a soutenu sa décision d'aller de l'avant.

« C'est sans précédent. D'un point de vue éthique, comme vous pouvez l'imaginer, tout cela semble assez inquiétant. Je pense qu'Indexed a donné au pirate de nombreuses échappatoires, mais il se croit invincible. »

Au final, la salle de guerre est parvenue à un consensus total.

« ONE dans la salle n'a sérieusement contesté la voie empruntée. Nous savons que nous avons fait tout ce que nous pouvions », a déclaré Day. « Je T fiche des seigneurs de la limite et des grenouilles. Tous ceux qui ont quelque chose de valable à dire à ce sujet sont avec nous. »

Enfant prodige

Cependant, alors que la date limite de l'équipe était passée sans aucune nouvelle d'Andy, Banteg a fait une À découvrir surprenante : l'attaquant n'est T seulement « immensément talentueux » - à seulement 18 ans, il est un génie adolescent.

Selon une version en cache de son site Web personnel aujourd'hui disparu, Andy terminera bientôt sa maîtrise en mathématiques appliquées à l'Université de Waterloo en Ontario (également l'alma mater du cofondateur Ethereum , Vitalik Buterin) ; il est l'auteur d'articles sur les variétés lisses de Schubert et les sphères de Riemann, entre autres sujets complexes ; et selon un article de 2016 du Globe and Mail du Canada, il a terminé ses études secondaires en mathématiques à seulement 13 ans.

Sa présence en ligne témoigne également d'une certaine vanité. Sur un forum Wikipédia en 2016, Andy se présentait comme un « expert en mathématiques et en physique théorique ». Il s'est même inscrit sur le wiki d'un jeu télévisé comme « mathématicien remarquable ».

Cette affirmation est désormais une « blague noire » dans la salle de guerre d’Indexed, a déclaré Day : il est devenu exactement cela, mais pas pour ses études.

« Je suppose qu’il nous a tous surpassés », a ajouté Day.

Préoccupations paternelles

Cette À découvrir a placé la cellule de crise face à un nouveau dilemme éthique, car beaucoup estimaient que dénoncer un adolescent avait un poids supplémentaire. Ces nouvelles informations les ont empêchés de « déposer le marteau » immédiatement, comme l'a dit Kellar.

« J'ai enseigné l'informatique et je n'ai jamais eu quelqu'un du niveau d'Andy, mais je connais ce genre de personne. Quand on est ce genre de personne, on a 18 ans, c'est un homme aux yeux de la loi, mais mentalement, on est encore un enfant », a déclaré Day. « Je ne sais T si cela le dénigre ou si je lui fais preuve d'une compassion excessive, mais je pense qu'il s'agit d'un exemple de compétences immenses, au détriment de presque tout le reste. »

De même, Jason Gottlieb, du cabinet d'avocats américain Morrison Cohen, a présenté la situation en termes paternalistes. Gottlieb a été mandaté par Day et Kellar pour représenter Indexed dans le signalement des crimes aux forces de l'ordre.

« Je pense que le fait qu'il n'ait que 18 ans pourrait susciter de l'empathie. J'ai un fils qui a presque cet âge, donc en tant que père, je comprends assez bien, sachant que les adolescents peuvent faire des bêtises. Je sais que j'ai moi-même fait des bêtises à l'adolescence », a déclaré Gottlieb.

Cependant, ces nouvelles informations ont permis à l'équipe d'explorer de nouvelles pistes, notamment la À découvrir qu'Andy fréquentait prétendument des cercles extrémistes en ligne. Au cours de l'enquête, l'équipe a découvert qu'il était impliqué dans une fuite de données provenant d'un service web hébergeant des communautés d'extrême droite.

Il existe également une multitude d'autres indices suggérant des idéologies haineuses : les données d'appel pour l'attaque d'Andy comprenaient une insulte raciale ; l'adresse Ethereum attaquante commence par « BA5Ed1488 », une référence numérologique à un slogan néonazi ; un étrange fil de tweet de ZetaZero comprenait la mise entre crochets de certains mots dans des triples crochets, un sifflet antisémite populaire.

De plus, le compte ZetaZero a récemment retweeté une publication faisant référence à Andy comme étant « le Dylan Roof of Balancer pools », une référence à un terroriste suprémaciste blanc qui a tué neuf fidèles noirs en 2015.

Bien que les membres de la cellule de crise aient déclaré ne pas pouvoir identifier un moment particulier où ils ont pris la décision ferme de divulguer les informations concernant Andy malgré son âge, les liens avec l’extrémisme ont influencé leur réflexion.

« Ce qui est frustrant, c'est que tant qu'il n'aurait pas révélé tous ces aspects négatifs de sa personnalité – la suprématie blanche, l'antisémitisme, son côté connard insupportable –, s'il avait rendu 90 % de sa mise et gardé une prime, nous lui aurions au moins demandé d'auditer le code. Et s'il nous avait révélé ces informations, nous lui aurions donné entre 50 000 et 100 000 dollars et l'aurions intégré à l'équipe sans hésiter », a déclaré Day.

Kellar a également déclaré que l’âge seul ne pouvait pas détourner l’attention de la gravité des actes d’Andy.

« Pour un jeune homme de 18 ans, je serais inquiet de divulguer ses informations. Et je ne dis pas que je ne le suis toujours T, mais c'est un jeune homme très avancé. Il est titulaire d'un master. Il a terminé le lycée à 13 ans. Et il a commis le délit de vol de 16 millions de dollars. Et s'il est assez adulte pour commettre ces actes, il est assez adulte pour en assumer les conséquences juridiques », a déclaré Kellar.

Codeslaw

Aux yeux de certains membres de la communauté DeFi, cependant, Andy T rien volé du tout.

Un cri de ralliement populaire pour de nombreux fervents défenseurs de la DeFi est « le code fait loi », souvent appelé par dérision « codeslaw ». Ce point de vue, peut-être mieux expliqué dans unessai Selon Odette, stagiaire chez e-Girl Capital sous le pseudonyme, il n'existe pas de « piratage » ou de « tirage au sort » dans la DeFi, et il est de la responsabilité de chaque acteur de VET minutieusement toutes les actions sur la chaîne - si vous perdez de l'argent à cause d'un piratage ou d'un contrat défectueux, c'est de votre faute.

Étant donné que toutes les informations sont librement disponibles sur la chaîne et que les actions sur la chaîne sont immuables, la DeFi est en fin de compte un environnement autonome et déterministe fonctionnant en dehors des paramètres réglementaires et éthiques normaux, du moins c'est ce que l'on pense.

Day craint qu'une faction de la communauté DeFi qui croit que le code est la loi encourage désormais Andy.

« Je pense qu'il écoute une légion de grenouilles. Elles le traitent de « soldat », lui demandent de l'argent et le saluent comme un héros », a-t-il déclaré.

Il n'est T rare que les admirateurs affluent pour les hackers à succès. Après le piratage de POLY Network, qui a coûté 613 millions de dollars, mendiants et admirateurs messages utilisés sur le réseau Ethereum pour encourager le coupable.

consensus social

Cependant, dans la pratique, la notion selon laquelle « le code est la loi » a peut-être déjà été réfutée.

« Franchement, c'est épuisant », a déclaré Lefteris Karapetsas à CoinDesk. « Nous avons eu cette dispute il y a cinq ans. »

En 2016, Karapetsas était le responsable technique deSlock.it, une startup qui a été le fer de lance de The DAO – une expérience d’investissement précoce notoire dont l’échec a conduit à une scission de la chaîne qui a conduit à la création d’ Ethereum Classic.

« La version d' Ethereum où le code fait loi est née de là. Elle s'appelle ETC et existe toujours. Les partisans de la salade de chou peuvent s'y amuser », a déclaré Karapetsas.

La chaîne Ethereum canonique actuelle est le résultat d'un consensus social de la communauté visant à « annuler » efficacement le piratage de la DAO plutôt que de laisser le code être entièrement déterministe – et c'est une bonne chose, selon Karapetsas.

Sur le même sujet : Le piratage du DAO reste un mystère

« Aucun constructeur sain d'esprit dans ce domaine ne croit que le code fait loi. Ce n'est qu'un mythe perpétué par des observateurs anonymes qui aiment voir le chaos se développer », a-t-il déclaré.

Il a ajouté que si la communauté adoptait de tels principes, le résultat final deviendrait rapidement dystopique.

« Si le code était la loi, ce domaine ne serait qu'un terrain de jeu pour les pirates informatiques qui chercheraient constamment à détourner des fonds des protocoles. Ils seraient homonymes et idolâtrés. Tandis que les utilisateurs seraient accusés de ne pas “lire suffisamment bien le code”. Ce qui est en substance le point de vue de tous les partisans de la salade de chou », a-t-il déclaré.

Rides juridiques

La question est maintenant de savoir si « le code est la loi » sera valable devant un tribunal.

Gottlieb a confirmé à CoinDesk qu'il avait transmis toutes les informations pertinentes à plusieurs organismes chargés de l'application de la loi, mais a refusé de préciser lesquels.

Bien que la question de savoir si ces agences auront l’expertise technique nécessaire pour analyser l’affaire et émettre un mandat d’arrêt reste ouverte, Gottlieb a suggéré qu’elles sont plus avancées que certains natifs de DeFi pourraient le penser.

« Je ne pense T que les autorités ignorent ce genre de choses », a-t-il déclaré. « J'ai déjà contacté des contacts au sein de divers services de police, et certains d'entre eux sont impliqués dans les piratages et les vols de Cryptomonnaie . »

Gottlieb a noté que les personnes à qui il a parlé sont « très sophistiquées » dans leur compréhension de l’espace et qu’elles sont « intéressées » par l’affaire.

Qu’il soit arrêté ou non, Andy pourrait également avoir des motifs de déposer des contre-accusations.

Matt Burgoyne, avocat spécialisé en valeurs mobilières et Crypto au sein du cabinet canadien McLeod Law LLP, a déclaré que des complications pourraient survenir avant même que l'affaire ne soit portée devant un juge. Burgoyne a déclaré à CoinDesk qu'il ne représentait pas Andy.

« Le doxxing peut être illégal au Canada et l'ampleur des conséquences juridiques dépend des circonstances. Le doxxing peut donner lieu à des accusations de harcèlement criminel, d'atteinte à la Politique de confidentialité et de harcèlement criminel. Je ne crois T que l'affaire soit portée devant les tribunaux et, si elle l'était, je suis certain qu'il y aurait des dommages-intérêts pour les deux parties », a-t-il déclaré.

Erich Dylus, ingénieur juridique pour le réseau Oracle API3, a exprimé son malaise personnel face au doxxing et a également déclaré que cela pourrait conduire à des contre-accusations.

« Je pense que le doxxing public peut être extrêmement dangereux et conduit souvent à des actes de vigilance malvenus ou à des procès intentés par Analyses publique. Sans parler des possibilités de poursuites judiciaires pour les auteurs de doxxing », a-t-il déclaré.

Dans un tweet publié jeudi, Kellar a déclaré qu'Andy et sa famille avaient reçu des menaces et a appelé la communauté à cesser les abus et à rechercher d'autres « recours légaux ».

Voler dans la corbeille de collecte

Une fois ces griefs analysés, la question se pose alors de savoir si un tribunal peut s’attaquer à la complexité des teneurs de marché automatisés pondérés (AMM), des prêts flash et des soi-disant « exploits économiques ».

Geoff Costeloe, associé du cabinet canadien Lindsey MacCarthy LLP et membre de LexDAO, a déclaré que la structure DAO d'Indexed pourrait entraîner des problèmes.

« Je vais suivre l'évolution de la situation en matière de recouvrement », a-t-il déclaré. « Indexed étant une DAO décentralisée, je suis curieux de voir comment ils déposent leur plainte et comment ils décrivent leur relation avec le protocole et les autres membres de la DAO. Diront-ils qu'il s'agit d'une société de personnes ou d'une société ? Ou diront-ils qu'ils sont des particuliers ? »

Gottlieb, l'avocat d'Indexed, a balayé ces inquiétudes. Il a comparé l'exploit à celui d'une congrégation religieuse qui avait collecté des fonds pour une cause quelconque : un vol n'en constitue pas moins un crime, car il serait difficile de déterminer précisément qui possédait quoi à un moment précis.

Pure illusion

Parmi la demi-douzaine d'avocats avec lesquels CoinDesk s'est entretenu, tous ont convenu que même si l'affaire potentielle peut sembler créer un certain nombre de précédents à première vue, la réalité est qu'un tribunal évaluera probablement l'exploit en termes simples.

L'avocat Crypto, Stephen Palley, a averti que si l'affaire était portée devant les tribunaux, cela pourrait être un moment qui mettrait définitivement fin aux notions fantaisistes d'autorégulation de la DeFi.

« C'est le comble de la stupidité de dire que le code fait loi dans cette situation. C'est une incantation magique qui ne veut rien dire », a déclaré l'avocat d'Anderson Kill à CoinDesk.

« Il n'y a rien de bien nouveau ici », a-t-il ajouté. « Du vieux vin, des bouteilles neuves ; la cupidité Human égoïste. Braquer une banque, est-ce un “exploit économique” ? Dire cela est complètement stupide. Rien dans tout cela, si on le gère correctement, ne constitue un précédent révolutionnaire. »

Plusieurs avocats et membres de l'équipe CORE d'Indexed ont notamment souligné les signes d'intention d'Andy qui pourraient éroder sa défense.

« Il ne s'agissait T d'un simple contrat contenant une erreur, ce que certains appellent une exploitation économique », a déclaré Kellar, membre de l'équipe CORE d'Indexed. « Il n'a T actionné un levier qui a généré trop de pièces, mais une attaque sophistiquée exploitant une vulnérabilité très spécifique, que personne n'a détectée pendant un an. »

Une séquence d'actions menant à l'attaque sapera toute tentative d'Andy de présenter l'exploit comme un « heureux accident », a ajouté Kellar.

« Si un caissier ou un système bancaire commet une erreur et que quelqu'un s'enrichit injustement, cela n'entraîne certainement T de sanctions pénales pour la personne qui a bénéficié de l'avantage », a déclaré Costeloe, avocat chez MacCarthy LLP. « Il se peut que l'enrichissement ait été injuste, mais il a aussi été innocent, sans aucune intention de sa part. La situation avec Indexed est un BIT différente, car le pirate a écrit du code et attaqué le protocole d'une manière qui démontre clairement l'intention de s'enrichir. »

En fin de compte, plusieurs avocats ont rejeté l’argument selon lequel « le code est la loi », le qualifiant d’« illusion » et le considérant comme « illusoire ».

Une détermination farouche

Jeudi matin, le compte Twitter ZetaZero d’Andy a publié un court fil de discussion dans lequel il a qualifié la bataille juridique à venir de « duel ».

Malgré l’inertie apparente qui penche vers une confrontation juridique, Gottlieb et Palley ont tous deux noté que si Andy devait restituer les fonds, il y a une chance que l’incident n’ait pas à être porté devant les tribunaux.

Palley a déclaré que la restitution des fonds «T résout pas le crime », mais cela pourrait conduire un procureur à refuser de porter plainte.

L’équipe CORE d’Indexed a cependant atteint un point de « détermination sombre », selon Day.

« J'ai eu le temps de digérer tout ça, et une vague de colère s'abat sur moi sur Twitter, mais tout compte fait, je sais que c'était la bonne chose à faire. Dillon [Kellar] et moi serons désormais des parias dans certains milieux, mais c'était la bonne chose à faire », a-t-il déclaré à propos du doxxing d'Andy.

Kellar a clairement indiqué qu’ils considèrent également le recours au tribunal comme une issue de plus en plus probable.

« Certains ont dit qu'il pourrait déménager au Venezuela ou ailleurs sans extradition – je ne pense T que cela se produise. Il semble vraiment vouloir créer un précédent dans cette affaire, donc s'il ne restitue T les fonds, je m'attends à ce que l'affaire soit portée devant les tribunaux », a déclaré Kellar.

« Il essaie d'écrire l'histoire, et il y parviendra, mais de façon désastreuse », a déclaré Day. « C'est un BIT déchirant. Un gaspillage colossal de talent, de temps et d'argent. Et pour quoi faire ? J'ai juste envie de lui dire : "Bon sang, Andy, pourquoi nous as-tu obligés à faire ça ?" »