Un prodige des maths accusé d'avoir volé 65 millions de dollars en crypto
Un prodige des maths accusé d'avoir volé 65 millions de dollars en crypto en exploitant des failles dans les contrats intelligents,
il aurait invoqué le principe « le code c'est la loi » pour se défendre
Un prodige canadien des mathématiques, Andean Medjedovic, est accusé par la justice américaine d'avoir détourné environ 65 millions de dollars en cryptomonnaies à travers l'exploitation de failles dans les contrats intelligents. À seulement 22 ans, ce jeune prodige, titulaire d'un master en mathématiques de l'Université de Waterloo, aurait utilisé ses compétences pour manipuler des protocoles de finance décentralisée (DeFi) tels que KyberSwap et Indexed Finance.
Pour se défendre, Medjedovic aurait invoqué le principe « le code est la loi », une phrase popularisée par le juriste Lawrence Lessig. Ce principe suggère que les règles intégrées dans les logiciels et les contrats intelligents doivent primer sur les lois humaines. Medjedovic aurait soutenu qu'en exploitant les vulnérabilités du code, il ne faisait qu'exploiter des failles dans un système qu'il considérait comme intrinsèquement défaillant et non régulé.
Les autorités fédérales de New York ont dévoilé un acte d'accusation criminel à cinq volets accusant un jeune prodige des mathématiques canadien de 22 ans d'avoir exploité les vulnérabilités de deux protocoles financiers décentralisés, qu'il aurait utilisés pour détourner frauduleusement environ 65 millions de dollars des investisseurs de ces plateformes.
Pour mémoire, les contrats intelligents sont des protocoles informatiques qui facilitent, vérifient et exécutent la négociation ou l'exécution d'un contrat, ou qui rendent une clause contractuelle inutile. Les contrats intelligents ont généralement une interface utilisateur et émulent la logique des clauses contractuelles.
Les contrats intelligents, qui exécutent automatiquement des transactions lorsque des conditions prédéfinies sont remplies, sont la pierre angulaire des plateformes DeFi. Cependant, ces contrats sont aussi sécurisés que leur code. Dans le cas de Medjedovic, il aurait découvert des vulnérabilités critiques dans les contrats et les aurait exploitées pour transférer des millions de dollars dans son portefeuille personnel.
Selon les procureurs, Andean Medjedovic aurait abusé des contrats intelligents automatisés utilisés par les protocoles KyberSwap et Indexed Finance pour s'enrichir. Dans le cas de KyberSwap, où 48,4 millions de dollars ont été retirés des pools de liquidités de KyberSwap Elastic en novembre 2023, Andean Medjedovic aurait emprunté des centaines de millions de dollars en jetons numériques, puis effectué plusieurs « transactions trompeuses » dont il « savait qu'elles amèneraient les contrats intelligents des protocoles à calculer faussement des variables clés » avant de les transférer vers un portefeuille sous son contrôle.
Les autorités fédérales affirment également que Medjedovic a volé 16,5 millions de dollars dans deux pools de liquidités exploités par le protocole Indexed Finance sur la plateforme blockchain Ethereum en octobre 2021.
Medjedovic est également accusé d'avoir tenté d'extorquer les victimes de la vulnérabilité 2023 exploitée par KyberSwap, et d'avoir blanchi les actifs présumés par le biais d'une série de transactions les transférant entre plusieurs réseaux blockchain, un processus connu sous le nom de « bridging » (pontage). L'acte d'accusation affirme qu'il a « tenté d'utiliser plusieurs ponts de couche 2 pour transférer environ 42 millions de dollars d'actifs cryptographiques obtenus frauduleusement vers la blockchain Ethereum ».
Mais les procureurs affirment que ces fonds ont pu être retracés jusqu'au piratage de KyberSwap, et que « plusieurs des ponts » ont alors tenté de bloquer les transactions. L'acte d'accusation affirme qu'en envoyant des messages aux « canaux de soutien » de ces ponts pour demander de l'aide afin de faire avancer les transactions, Medjedovic a offert au canal de soutien d'un protocole de pont « 50 000 dollars pour que mes 100 000 dollars soient débloqués », ajoutant prétendument : « Si ce n'est pas le cas, je n'ai pas d'autre choix que d'alerter les autorités ».
Selon l'acte d'accusation :
L'acte d'accusation affirme également que Medjedovic a préparé un plan de « post-exploitation » pour lui-même, qui comprenait, entre autres, des notes disant « GARDER les configurations », « Brûler les preuves, y compris le fichier historique » et « Réserver un vol pour... Faire mes valises », ainsi qu'un autre fichier intitulé « Décisions et erreurs » , dans lequel il aurait écrit : « Going On the run / Yes / Chance of getting caught<Payoff for not getting caught /(NA) /Risk is typically underpriced in modern world" (Partir en cavale / Oui / Risque de se faire attraper /(NA) /Risque généralement sous-évalué dans le monde moderne).Le service d'assistance au protocole a répondu : « Vous voulez alerter les autorités sur le fait que vous avez piraté Kyber et volé les fonds des utilisateurs... ? ». Medjedovic a répondu : "Oui, je suis prêt à alerter les autorités. Commettre un crime contre quelqu'un qui peut être ou ne pas être un criminel reste un crime".
Medjedovic, qui était alors un jeune prodige de 19 ans et qui avait déjà obtenu sa maîtrise en mathématiques à l'université canadienne de Waterloo avant d'atteindre l'âge de 20 ans, avait déjà été poursuivi au Canada par Cicada 137 LLC, une société représentant certains des investisseurs de Indexed Finance, dans le cadre d'une procédure engagée en 2021 devant la Cour supérieure de justice de l'Ontario.
Il a comparu par le biais d'un logiciel de vidéoconférence lors d'une audience dans l'affaire canadienne en décembre de cette année-là. Le juge a ensuite émis un mandat d'arrêt après que Medjedovic ne s'est pas présenté aux audiences suivantes, déclarant que les autorités étaient « toujours à sa recherche pour trouver les mots de passe et autres informations nécessaires pour geler la crypto-monnaie contestée ».
Selon ces documents judiciaires, il se cache toujours. Ses parents ont déclaré au tribunal que leur fils avait déménagé, « pris ses ordinateurs et son téléphone, et qu'ils ne savaient pas où il se trouvait ».
Lors d'entretiens avec des journalistes depuis lors, Medjedovic aurait affirmé qu'il s'était tourné vers le « travail de blanchisseur » et qu'il avait vécu en Europe et en Amérique du Sud.
La justification présumée : « Le code est la loi »
Le code est la loi
« Le code, c'est la loi » est l'idée la plus étroitement associée à Lawrence Lessig, juriste constitutionnel, militant de l'internet et candidat malheureux à l'élection présidentielle américaine, qui a écrit sur ce concept dans Code and Other Laws of Cyberspace il y a 25 ans (techniquement, l'expression a été inventée par William J. Mitchell, professeur au MIT). L'idée est que les règles conçues lors de la programmation des réseaux, des logiciels, etc. ont un pouvoir quasi-législatif parce qu'elles décident qui est autorisé où, et ce qui est autorisé ou non.
En d'autres termes, « si vous avez écrit des règles imparfaites pour votre système et que je peux les craquer, ou que mes logiciels malveillants peuvent les exploiter, c'est de bonne guerre ».
Lessig a plaidé en faveur des logiciels libres pour rendre la prise de décision transparente et, plus tard et de manière plus controversée (dans la version 2.0 de Code), pour que l'État intervienne lorsque des sociétés privées rendent cela impossible.
L'argument mis en avant par Medjedovic
Fred Myers, président de la Cour supérieure de l'Ontario, a déclaré à l'époque : « Refuser de participer n'indique pas que l'on croit de bonne foi à la justesse de sa cause. Si Andean Medjedovic veut affirmer que le code parle ou que le code est la loi, il doit participer au processus légal en attendant l'issue du débat ». Medjedovic aurait utilisé la défense « le code c'est la loi » lors d'échanges avec les victimes.
En ce qui concerne la théorie juridique de l'affaire canadienne, le cabinet d'avocats Carbert Waite LLP a déclaré qu'il était « peu probable que nos tribunaux adoptent le principe selon lequel le code est une loi, car cela créerait une course aux armements dans laquelle les parties travailleraient à développer un code de programmation de plus en plus performant dans le seul but de prendre des actifs à d'autres parties. Il est certain que les tribunaux ne cautionneraient pas un tel comportement ».
Cette défense a été rejetée par les procureurs et les experts juridiques. Bien qu'il soit vrai que les protocoles DeFi fonctionnent sur un code source ouvert et soient conçus pour être transparents et autonomes, les actions de Medjedovic n'ont pas celles d'un développeur responsable ou d'un hacker éthique. Au contraire, il aurait utilisé son expertise technique pour tromper et escroquer autrui, enfreignant ainsi les lois sur la fraude et le vol (l'emploi de « aurait » est indiqué tant qu'il n'y a pas de condamnation).
Le défi juridique réside dans la difficulté d'appliquer les lois traditionnelles aux nouvelles technologies comme la blockchain et les crypto-monnaies. Bien que « le code est la loi » puisse avoir du poids philosophique dans certains cercles, cela n'absout pas les individus des conséquences de l'exploitation de ces codes pour un gain personnel aux dépens d'autrui.
Les conséquences : impact sur DeFi et la sécurité des crypto-monnaies
L'affaire Medjedovic sert de signal d'alarme pour la communauté des crypto-monnaies, en particulier ceux impliqués dans la finance décentralisée. Bien que les plateformes DeFi aient connu une croissance exponentielle, elles demeurent hautement vulnérables aux exploits, car elles reposent largement sur des contrats intelligents qui, s'ils ne sont pas correctement audités, peuvent contenir des failles de sécurité critiques.
Les implications plus larges de cette affaire sont évidentes : il est impératif de renforcer les mesures de sécurité, d'améliorer les pratiques d'audit et de mettre en place un contrôle plus strict au sein de l'espace DeFi. Bien que la nature décentralisée de la blockchain soit un atout, la croissance rapide de DeFi a dépassé la capacité des régulateurs et des développeurs à garantir la sécurité et l'équité de ces plateformes. Cela expose les utilisateurs à des risques de fraude et de vol, comme le montre l'action présumée de Medjedovic.
Les experts en sécurité ont longtemps averti que les protocoles DeFi ne sont sécurisés que dans la mesure où leur code est fiable. En l'absence d'une surveillance réglementaire, la responsabilité incombe aux développeurs et aux auditeurs d'identifier et de corriger les vulnérabilités avant qu'elles ne puissent être exploitées. Malheureusement, cela n'a pas toujours été le cas, et comme le montre l'affaire Medjedovic, les attaquants possédant les connaissances et les compétences nécessaires peuvent causer d'énormes dégâts.
Les implications juridiques : la montée du cybercrime dans les crypto-monnaies
L'affaire Medjedovic met également en lumière les risques émergents du cybercrime dans l'espace crypto. À mesure que les crypto-monnaies deviennent plus courantes, les opportunités pour les criminels d'exploiter les failles des technologies blockchain se multiplient. Cette affaire souligne la nécessité d'un nouveau cadre juridique pour traiter les crimes liés aux crypto-monnaies, en particulier dans les écosystèmes décentralisés qui opèrent en dehors du champ d'application des institutions financières et des régulateurs traditionnels.
L'un des principaux défis pour poursuivre de tels crimes est l'anonymat que la blockchain offre. Bien que les transactions sur une blockchain soient publiques, les identités derrière ces transactions peuvent être obscurcies. Cela rend difficile pour les autorités de traquer les auteurs à moins qu'ils ne fassent une erreur ou ne soient imprudents dans leurs opérations. Dans le cas de Medjedovic, les enquêteurs ont tracé les mouvements des actifs volés à travers différents réseaux blockchain et travaillent actuellement à constituer un dossier contre lui.
Pour l'industrie des crypto-monnaies, cette affaire représente un tournant critique. À mesure que l'industrie mûrit, elle doit décider si elle souhaite continuer à défendre la liberté non régulée que DeFi promet ou adopter un cadre de surveillance plus structuré et des normes de sécurité pour protéger les utilisateurs et garantir la légitimité de l'espace.
Un signal d'alarme pour la régulation des crypto-monnaies
À mesure que l'affaire contre Andean Medjedovic se déroule, elle met en lumière une vérité fondamentale sur l'industrie des crypto-monnaies : le besoin de régulation, de sécurité et de surveillance n'a jamais été aussi urgent. Les plateformes DeFi, qui promettent aux utilisateurs une manière plus décentralisée et transparente de réaliser des transactions financières, doivent également faire face au fait que, sans protections appropriées, elles peuvent devenir des terrains de jeu pour l'exploitation et la fraude.
L'affaire Medjedovic sert de rappel brutal des risques associés au monde en constante évolution des crypto-monnaies. À mesure que la technologie continue de se développer, il est impératif que les cadres juridiques et éthiques qui la gouvernent évoluent également. Ce n'est qu'en garantissant l'intégrité de ces systèmes que l'espace crypto pourra espérer gagner la confiance de ses utilisateurs et continuer à prospérer à l'avenir.
L'avenir de DeFi et des crypto-monnaies est à un carrefour, et l'affaire Medjedovic aura sans doute des conséquences de grande envergure sur l'évolution de cette industrie dynamique.
Conclusion
Medjedovic est accusé par les procureurs américains de fraude électronique, de dommages non autorisés à un ordinateur protégé, de tentative d'extorsion en vertu de la loi Hobbs et de deux chefs d'accusation de blanchiment d'argent. Les informations concernant les avocats de Medjedovic n'étaient pas immédiatement disponibles. S'il était reconnu coupable, il encourrait une peine maximale de dix ans d'emprisonnement pour le chef d'accusation de dommages non autorisés à un ordinateur protégé et de vingt ans pour chacun des autres chefs d'accusation.
Comme toujours dans ces affaires, aucune des allégations contenues dans l'acte d'accusation n'a été vérifiée par un tribunal et les suspects sont innocents jusqu'à preuve du contraire.
Sources : acte d'accusation d'Andean Medjedovic, Institut canadien d'informations juridiques 1, 2), Carbert Waite LLP
Et vous ?
Quelle lecture faites-vous de cette situation ?
Voir aussi :
Répondre avec citation
Partager