Affaire Platypus: les deux frères plaident le hacking éthique

Affaire Platypus: les deux frères plaident le hacking éthique


C’était “comme si j’appuyais sur le bouton cappuccino d’une machine à café”. Et il s’agissait de “fonctions publiques” utilisant le code de Platypus tel qu’il avait été publié. Ce jeudi 26 octobre, Mohamed M., le principal prévenu dans l’affaire Platypus, a plaidé la faille technique et appelé ses juges à le relaxer des poursuites pénales en se présentant comme un hackeur éthique sans intention malveillante.


Ce jeune homme de 20 ans au crâne rasé et vêtu entièrement de noir est poursuivi pour escroquerie, blanchiment, atteinte et maintien dans un système de traitement automatisé de données. Lui et son frère Benamar, suspecté du seul blanchiment, avaient été arrếtés en février 2023 à la suite d’une enquête menée par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).


Quelques jours auparavant, la plateforme Platypus Finance avait déploré un piratage d’ampleur. Ce dernier avait été évalué au départ à l’équivalent de 9 millions de dollars, une somme finalement ramenée à un peu plus de six millions, le solde ayant pu être récupéré. A la barre, Mohamed, un autodidacte passionné d’informatique, a expliqué comment il avait pu, en programmant une série d’instructions, siphonner les fonds de la plateforme.

Clause de retrait d’urgence 

Un premier prêt éclair sur le protocole de finance décentralisée Aave V3 lui avait d’abord permis de déposer 44 millions de USDC, un stable coin rattaché au dollar américain, sur Platypus Finance. Ces fonds avaient servi de garantie pour emprunter 41,7 millions d’USP, un autre jeton. Ce magot était destiné à être échangé avec les stable coins présentés dans le pool de liquidité de la plateforme. Entre-temps, la clause de retrait d’urgence avait été activée, permettant de rembourser le prêt éclair initial tout en gardant la main sur les cryptos obtenues sur Platypus.


“Mon intention initiale était de récupérer ces fonds en danger”, explique Mohamed aux juges. Selon le prévenu, une exploitation partielle de la faille aurait attiré l’attention de hackeurs malveillants, comme ceux de la Corée du Nord qui font leur miel des plateformes cryptos mal sécurisées. “Donc votre objectif était de vider la totalité des fonds?”, demande la magistrate du parquet, Sophie Gschwind. “Voilà, afin ensuite de les restituer”, répond Mohamed. Mais en demandant au passage une prime d’environ 10%, le scénario envisagé.



Toutefois, ce programme avait déraillé dans les minutes qui avaient suivi. Car sur les sept contrats intelligents lancés, seulement trois avaient pu être exécutés, dont deux échecs. Pour le premier, “j’ai oublié de mettre une ligne de code pour l’envoi vers mon portefeuille, les fonds sont donc restés bloqués dans le contrat”, précise Mohamed. Soit un peu plus de l’équivalent de 6 millions de dollars toujours inaccessibles pour le moment.

250 000 dollars 

Le deuxième contrat intelligent envoie finalement les fonds vers Aave, qui restituera les cryptos à Platypus. Seul le dernier permet au jeune homme de récupérer l’équivalent d’un million de dollars en crypto-actifs, permettant au final de mettre la main sur environ 250 000 dollars.

Mais “nous ne sommes pas sur une attaque informatique, ni sur une arnaque”, assure son avocat, Seydi Ba.

“On vous a présenté des analogies, voici ce qu’il s’est passé: il est venu à la banque, il a demandé à avoir de l’argent et on lui a dit, tenez, voilà”, ajoute-t-il. Et le juriste de résumer l’affaire à un prêt qui “n’a pas encore été remboursé”.

“Ce n’est pas parce que le contrat intelligent permettait de prendre l’argent qu’il pouvait le faire”, rétorque l’avocate de la plateforme, Fanny Le Magadure.

“Il était parfaitement conscient de ce qu’il était en train de faire, poursuit-elle. Et s’il avait été un hackeur éthique, on ne voit pas pourquoi il avait besoin de faire disparaître l’argent”, envoyé notamment vers un mixeur avant d’atterrir sur une clé Ledger. “Un hackeur éthique se serait arrêté au premier contrat intelligent et n’aurait pas pris autant de précautions pour masquer ses traces”, estime également Sophie Gschwind, pour l’accusation.

Préjudice « énorme »

“Son intention était de siphonner le pool de liquidité de Platypus, de faire un gros coup pour prendre tous les fonds”, résume la magistrate du parquet. Avant d’appeler les juges à condamner Mohamed à cinq ans de prison, le maximum encouru, dont trois avec sursis. Car attention au travers de croire que ce dossier “ne serait que de l’argent virtuel”, signale-t-elle enfin aux juges.

Une allusion au préjudice “énorme” de cette affaire, à mettre en regard des prétentions de Platypus Finance. L’entreprise a estimé son manque à gagner à 144 000 euros. Elle a surtout demandé un million d’euros pour son préjudice, une somme pouvant être révisée à la hausse de près de sept millions d’euros en cas d’impossibilité de saisir les crypto-actifs toujours bloqués dans le contrat intelligent. La décision sera rendue le 1er décembre.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.