Pris entre le code et la conscience : un validateur Ethereum envisage de poursuivre Lido et Stakefish devant un tribunal fédéral américain pour détournement de fonds

En avril 2023, des utilisateurs de cryptomonnaies expérimentés ont vu leurs portefeuilles se vider d'Ether et d'autres actifs numériques. Les pertes ont dépassé 250 millions de dollars à la mi-2024 et continuent de s'aggraver. Face à ces attaques, les enquêteurs n'ont recueilli que peu d'éléments, ce qui laisse penser à une campagne ciblée menée sur plusieurs portefeuilles et plateformes. Plus de deux ans après, les auteurs et leurs méthodes restent inconnus. 

Aleksey Trofimchuck, utilisateur de longue date de cryptomonnaies, a vu son portefeuille vidé de près de 2,2 millions de dollars en ETH (valeur actuelle), anéantissant ses fonds et ses récompenses de staking auprès de ses neuf validateurs. Après avoir tracles mouvements de ses fonds, Trofimchuck accuse deux importants fournisseurs de staking, Lido et Stakefish, d'être impliqués dans ces transactions et prévoit de porter plainte contre eux devant un tribunal fédéral américain. 

D'après la plainte déposée prochainement, Lido et Stakefish auraient conservé environ 10 % des frais de service des validateurs et redistribué le reste à leurs clients de staking. Trofimchuck soutient qu'ils ont tiré profit du piratage et des transactions qui ont suivi. 

Trofimchuck a déclaré : « Imaginez à quel point c’est malhonnête : en tant qu’intermédiaire, on perçoit environ 1,25 million de dollars de frais auprès d’une personne contrainte d’effectuer une transaction à 100 % de frais vers une adresse qu’elle ne reconnaît pas ! Et ensuite, on invoque la neutralité pour se défendre ! C’est ce qu’ont fait Lido et Stakefish, et je suis déterminé à faire éclater la vérité. »

Éthique vs neutralité DeFi

Les deux plateformes de staking ont invoqué la neutralité DeFi , arguant qu'elles ne pouvaient ni censurer les transactions ni restituer les récompenses de manière sélective. Cependant, les critiques soulignent que cette position contraste avec celle d'autres acteurs du secteur. Kraken, société américaine, a volontairement contribué à restituer environ 2 millions de dollars aux victimes alors qu'elle faisait l'objet d'un examen réglementaire, confortant ainsi l'avis des experts juridiques selon lequel les tribunaux pourraient s'affranchir du principe « le code fait loi » lorsque des intermédiaires tirent profit de fonds illicites. 

À l'inverse, Lido et Stakefish affirment être dans l'incapacité d'aider les victimes comme Trofimchuck : Lido via sa gouvernance DAO et Stakefish via son infrastructure non dépositaire. Stakefish a déclaré à Trofimchuck avoir une « obligation envers ses détenteurs de jetons », une position que les critiques interprètent comme un déni de la provenance des fonds. 

Salman Ravala, avocat spécialisé en contentieux commercial et professeur de droit associé, a déclaré que la loi ne laisse que peu de place à l'ambiguïté. « Les entités ne doivent ni conserver ni tirer profit des actifs volés. Quelles que soient les règles de gouvernance interne ou les attentes des détenteurs de jetons, les obligations en matière de lutte contre le blanchiment d'argent et l'impératif d'éviter l'enrichissement sans cause sont primordiaux. »

D'autres soulignent que le problème est plus complexe. Maître Igor B. Litvak,avocat spécialisé en cybercriminalité et en droit pénal, a déclaré : « En droit pénal, il ne suffit pas de déclarer des fonds “volés” et d'en exiger la restitution. Tant qu'un tribunal ne s'est pas prononcé, les entités qui agissent unilatéralement s'exposent à de graves poursuites. La solution la plus sûre et légale consiste à geler ou signaler les avoirs lorsque cela est possible, à informer les forces de l'ordre et à n'agir que sur décision de justice. » 

Responsabilité sélective

La neutralité peut être flexible lorsqu'une victime de piratage dispose d'un poids moral. ParaSwap DAO, un DeFi similaire à Lido, a dérogé à ses propres règles de gouvernance pour restituer des fonds à la plateforme d'échange majeure Bybit. Cette décision a été présentée comme une réponse au groupe de pirates informatiques nord-coréen Lazarus. Cependant, lorsque la victime est un particulier détenteur de cryptomonnaies, le silence est plus fréquent.

Tests juridiques de la neutralité de DeFi

La plainte conteste également DeFil'argument récurrent de la affaire, un juge de district américain a rejeté l'argument de Lido selon lequel il n'« existe » pas sous une forme juridiquement reconnaissable, autorisant ainsi la poursuite des actions en justice et indiquant que les DAO et leurs bailleurs de fonds restent responsables. Trofimchuck cite également les remboursements effectués par Stakefish à Lido suite à des erreurs matérielles comme preuve que le remboursement est possible « lorsqu'il le souhaite ».

L'éthique DeFi mise à l'épreuve 

Trofimchuck cherche à récupérer 1,6 million de dollars, ainsi que ses frais et honoraires d'avocat. « La décentralisation n'excuse pas la criminalité », a ajouté Ravala. Trofimchuck encourage également les autres victimes à porter plainte auprès du FBI et de la SEC, arguant qu'une action collective pourrait être nécessaire pour faire éclater la vérité. 

À mesure que ce procès se dessine, l'écosystème Web3 dans son ensemble est confronté à un choix : rester passif et tolérer un absolutisme décentralisé, ou accepter que l'éthique et le droit s'appliqueront toujours lorsque des personnes sont impliquées.