Un prodige canadien des mathématiques, Andean Medjedovic, est accusé par la justice américaine d'avoir détourné environ 65 millions de dollars en cryptomonnaies à travers l'exploitation de failles dans les contrats intelligents. À seulement 22 ans, ce jeune prodige, titulaire d'un master en mathématiques de l'Université de Waterloo, aurait utilisé ses compétences pour manipuler des protocoles de finance décentralisée (DeFi) tels que KyberSwap et Indexed Finance.Pour se défendre, Medjedovic aurait invoqué le principe « le code est la loi », une phrase popularisée par le juriste Lawrence Lessig. Ce principe suggère que les règles intégrées dans les logiciels et les contrats intelligents doivent primer sur les lois humaines. Medjedovic aurait soutenu qu'en exploitant les vulnérabilités du code, il ne faisait qu'exploiter des failles dans un système qu'il considérait comme intrinsèquement défaillant et non régulé.
Les autorités fédérales de New York ont dévoilé un acte d'accusation criminel à cinq volets accusant un jeune prodige des mathématiques canadien de 22 ans d'avoir exploité les vulnérabilités de deux protocoles financiers décentralisés, qu'il aurait utilisés pour détourner frauduleusement environ 65 millions de dollars des investisseurs de ces plateformes.
Pour mémoire, les contrats intelligents sont des protocoles informatiques qui facilitent, vérifient et exécutent la négociation ou l'exécution d'un contrat, ou qui rendent une clause contractuelle inutile. Les contrats intelligents ont généralement une interface utilisateur et émulent la logique des clauses contractuelles.
Les contrats intelligents, qui exécutent automatiquement des transactions lorsque des conditions prédéfinies sont remplies, sont la pierre angulaire des plateformes DeFi. Cependant, ces contrats sont aussi sécurisés que leur code. Dans le cas de Medjedovic, il aurait découvert des vulnérabilités critiques dans les contrats et les aurait exploitées pour transférer des millions de dollars dans son portefeuille personnel.
Selon les procureurs, Andean Medjedovic aurait abusé des contrats intelligents automatisés utilisés par les protocoles KyberSwap et Indexed Finance pour s'enrichir. Dans le cas de KyberSwap, où 48,4 millions de dollars ont été retirés des pools de liquidités de KyberSwap Elastic en novembre 2023, Andean Medjedovic aurait emprunté des centaines de millions de dollars en jetons numériques, puis effectué plusieurs « transactions trompeuses » dont il « savait qu'elles amèneraient les contrats intelligents des protocoles à calculer faussement des variables clés » avant de les transférer vers un portefeuille sous son contrôle.
Les autorités fédérales affirment également que Medjedovic a volé 16,5 millions de dollars dans deux pools de liquidités exploités par le protocole Indexed Finance sur la plateforme blockchain Ethereum en octobre 2021.
Medjedovic est également accusé d'avoir tenté d'extorquer les victimes de la vulnérabilité 2023 exploitée par KyberSwap, et d'avoir blanchi les actifs présumés par le biais d'une série de transactions les transférant entre plusieurs réseaux blockchain, un processus connu sous le nom de « bridging » (pontage). L'acte d'accusation affirme qu'il a « tenté d'utiliser plusieurs ponts de couche 2 pour transférer environ 42 millions de dollars d'actifs cryptographiques obtenus frauduleusement vers la blockchain Ethereum ».
Mais les procureurs affirment que ces fonds ont pu être retracés jusqu'au piratage de KyberSwap, et que « plusieurs des ponts » ont alors tenté de bloquer les transactions. L'acte d'accusation affirme qu'en envoyant des messages aux « canaux de soutien » de ces ponts pour demander de l'aide afin de faire avancer les transactions, Medjedovic a offert au canal de soutien d'un protocole de pont « 50 000 dollars pour que mes 100 000 dollars soient débloqués », ajoutant prétendument : « Si ce n'est pas le cas, je n'ai pas d'autre choix que d'alerter les autorités ».
Selon l'acte d'accusation :
Le service d'assistance au protocole a répondu : « Vous voulez alerter les autorités sur le fait que vous avez piraté Kyber et volé les fonds des utilisateurs... ? ». Medjedovic a répondu : "Oui, je suis prêt à alerter les autorités. Commettre un crime contre quelqu'un qui peut être ou ne pas être un criminel reste un crime".
Medjedovic, qui était alors un jeune prodige de 19 ans et qui avait déjà obtenu sa maîtrise en mathématiques à l'université canadienne de Waterloo avant d'atteindre l'âge de 20 ans, avait déjà été poursuivi au Canada par Cicada 137 LLC, une société représentant certains des investisseurs de Indexed Finance, dans le cadre d'une procédure engagée en 2021 devant la Cour supérieure de justice de l'Ontario.
Il a comparu par le biais d'un logiciel de vidéoconférence lors d'une audience dans l'affaire canadienne en décembre de cette année-là. Le juge a ensuite émis un mandat d'arrêt après que Medjedovic ne s'est pas présenté aux audiences suivantes, déclarant que les autorités étaient « toujours à sa recherche pour trouver les mots de passe et autres informations nécessaires pour geler la crypto-monnaie contestée ».
Selon ces documents judiciaires, il se cache toujours. Ses parents ont déclaré au tribunal que leur fils avait déménagé, « pris ses ordinateurs et son téléphone, et qu'ils ne savaient pas où il se trouvait ».
Lors d'entretiens avec des journalistes depuis lors, Medjedovic aurait affirmé qu'il s'était tourné vers le « travail de blanchisseur » et qu'il avait vécu en Europe et en Amérique du Sud.
La justification présumée : « Le code est la loi »
Le code est la loi
« Le code, c'est la loi » est l'idée la plus étroitement associée à Lawrence Lessig, juriste constitutionnel, militant de l'internet et candidat malheureux à l'élection présidentielle américaine, qui a écrit sur ce concept dans Code and Other Laws of Cyberspace il y a 25 ans (techniquement, l'expression a été inventée par William J. Mitchell, professeur au MIT). L'idée est que les règles conçues lors de la programmation des réseaux, des logiciels, etc. ont un pouvoir quasi-législatif parce qu'elles décident qui est autorisé où, et ce qui est autorisé ou non.
En d'autres termes, « si vous avez écrit des règles imparfaites pour votre système et que je peux les craquer, ou que mes logiciels malveillants peuvent les exploiter, c'est de bonne guerre ».
Lessig a plaidé en faveur des logiciels libres pour rendre la prise de décision transparente et, plus tard et de manière plus controversée (dans la version 2.0 de Code), pour que l'État intervienne lorsque des sociétés privées rendent cela impossible.
L'argument mis en avant par Medjedovic
Fred Myers, président de la Cour supérieure de l'Ontario, a déclaré à l'époque : « Refuser de participer n'indique pas que l'on croit de bonne foi à la justesse de sa cause. Si Andean Medjedovic veut affirmer que le code parle ou que le code est la loi, il doit participer au processus légal en attendant l'issue du débat ». Medjedovic aurait utilisé la défense « le code c'est la loi » lors d'échanges avec les victimes.
En ce qui concerne la théorie juridique de l'affaire canadienne, le cabinet d'avocats Carbert Waite LLP a déclaré qu'il était « peu probable que nos tribunaux adoptent le principe selon lequel le code est une loi, car cela créerait une course aux armements dans laquelle les parties travailleraient à développer un code de programmation de plus en plus performant dans le seul but de prendre des actifs à d'autres parties. Il est certain que les tribunaux ne cautionneraient pas un tel comportement ».
Cette défense a été rejetée par les procureurs et les experts juridiques. Bien qu'il soit vrai que les protocoles DeFi fonctionnent sur un code source ouvert et soient conçus pour être transparents et autonomes, les actions de Medjedovic n'ont pas celles d'un développeur responsable ou d'un hacker éthique. Au contraire, il aurait utilisé son expertise technique pour tromper et escroquer autrui, enfreignant ainsi les lois sur la fraude et le vol (l'emploi de « aurait » est indiqué tant qu'il n'y a pas de condamnation).
Le défi juridique réside dans la difficulté d'appliquer les lois traditionnelles aux nouvelles technologies comme la blockchain et les crypto-monnaies. Bien que « le code est la loi » puisse avoir du poids philosophique dans certains cercles, cela n'absout pas les individus des conséquences de l'exploitation de ces codes pour un gain personnel aux dépens d'autrui.
Les conséquences : impact sur DeFi et la sécurité des crypto-monnaies
L'affaire Medjedovic sert de signal d'alarme pour la communauté des crypto-monnaies, en particulier ceux impliqués dans la finance décentralisée. Bien que les plateformes DeFi aient connu une croissance exponentielle, elles demeurent hautement vulnérables aux exploits, car elles reposent largement sur des contrats intelligents qui, s'ils ne sont pas correctement audités, peuvent contenir des failles de sécurité critiques.
Les implications plus larges de cette affaire sont évidentes : il est impératif de renforcer les mesures de sécurité, d'améliorer les pratiques d'audit et de mettre en place un contrôle plus strict au sein de l'espace DeFi. Bien que la nature décentralisée de la blockchain soit un atout, la croissance rapide de DeFi a dépassé la capacité des régulateurs et des développeurs à garantir la sécurité et l'équité de ces plateformes. Cela expose les utilisateurs à des risques de fraude et de vol, comme le montre l'action présumée de Medjedovic.
Les experts en sécurité ont longtemps averti que les protocoles DeFi ne sont sécurisés que dans la mesure où leur code est fiable. En l'absence d'une surveillance réglementaire, la responsabilité incombe aux développeurs et aux auditeurs d'identifier et de corriger les vulnérabilités avant qu'elles ne puissent être exploitées. Malheureusement, cela n'a pas toujours été le cas, et comme le montre l'affaire Medjedovic, les attaquants possédant les connaissances et les compétences nécessaires peuvent causer d'énormes dégâts.
Les implications juridiques : la montée du cybercrime dans les crypto-monnaies
L'affaire Medjedovic met également en lumière les risques émergents du cybercrime dans l'espace crypto. À mesure que les crypto-monnaies deviennent plus courantes, les opportunités pour les criminels d'exploiter les failles des technologies blockchain se multiplient. Cette affaire souligne la nécessité d'un nouveau cadre juridique pour traiter les crimes liés aux crypto-monnaies, en particulier dans les écosystèmes décentralisés qui opèrent en dehors du champ d'application des institutions financières et des régulateurs traditionnels.
L'un des principaux défis pour poursuivre de tels crimes est l'anonymat que la blockchain offre. Bien que les transactions sur une...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.