Comment poursuivre le pirate informatique DAO

Stephen D Palley est un avocat exerçant en cabinet privé à Washington, DC, où il se concentre sur la construction, l'assurance et le développement de logiciels, y compris la blockchain et les contrats intelligents.

Les opinions exprimées dans cet article sont celles de Palley seul, ne constituent pas des conseils juridiques et ne peuvent être partagées par des clients passés, présents ou futurs ou par toute entreprise à laquelle il est associé.

Ce matin, je me suis réveillé au son de dizaines de notifications de messages se succédant à un rythme effréné. Le DAOavait été attaquéPlus de 50 millions de dollars d'ether avaient déjà été drainés. Au moins une faille technique solutionavait déjà été proposé.

Certains apprécient, d'autres T. Outre les solutions techniques, certains se sont interrogés sur les recours juridiques possibles contre le pirate informatique de la DAO.

Pourraient-ils être pénalement ou civilement responsables ? Pourraient-ils être poursuivis ? Si oui, comment ? Et si oui, par qui ? Réseaux sociaux quelques réflexions à ce sujet.

Droit pénal

Les lois pénales fédérales et étatiques sont potentiellement en cause.

Il y en a plein. On pourrait commencer par quelque chose comme volet itérer. Une variété delois fédéralesElle peut également s'appliquer largement à l'accès non autorisé aux systèmes informatiques ou à l'accès dépassant les limites autorisées. Outre les amendes, les sanctions et les peines d'emprisonnement, le droit pénal peut également prévoir des réparations complètes pour les parties lésées et des dommages-intérêts pour les pertes subies.

Que les forces de l'ordre soient au courant de cette situation est une autre question. Je souligne simplement que, oui, des infractions pénales ont pu être commises.

Le pirate dispose-t-il de moyens de défense potentiels ? Pourrait-il simplement restituer l'ether ? Comme l'a fait remarquer un commentateur. sur Twitter, rendre l'éther peut être considéré comme un acte de contrition ou d'atténuation, mais cela ne sert T nécessairement de défense à la responsabilité pénale.

D'autres ont suggéré que le pirate informatique ne pouvait T être tenu responsable car il n'a fait que ce qu'il avait fait. contrat autoriséC'est un argument intéressant mais, pour le dire simplement, la vulnérabilité du code n'est T synonyme de consentement.

En guise de défense, c'est un thé assez faible. Un vol reste un vol, qu'il soit en ligne ou hors ligne.

Exploiter une vulnérabilité connue dans le code d'une carte ATM ne vous donne T le droit de retirer de l'argent qui ne vous appartient T à une banque.

droit civil

Deuxièmement, qu'en est-il de la responsabilité civile ? Le pirate informatique peut-il être poursuivi en dommages et intérêts ou obtenir une injonction ? Oui, c'est possible.

Qu'ils soient anonymes ou pseudonymes ne pose T forcément problème au départ. La possibilité de les localiser derrière l'adresse contractuelle pourrait être rapidement vérifiée. Mais d'un point de vue procédural, il n'est T forcément nécessaire de savoir qui ou où se trouve une personne pour la poursuivre en justice.

Aux États-Unis, un accusé inconnu peut être utilisé dans une plainte initiale (selon la juridiction) et servir de mécanisme pour lancer le processus de localisation du pirate informatique. Une plainte déposée vous confère, entre autres, un pouvoir d'assignation à comparaître.

Qui pourrait réellement poursuivre le plaignant ? Une personne lésée par le vol pourrait intenter une action en son nom propre. Elle pourrait également intenter une action collective en tant que représentant d'autres détenteurs de jetons. La DAO ou une DAO ne serait probablement T le plaignant.

Une action en justice intentée par la DAO en tant que DAO signifierait que la DAO aurait une personnalité juridique et la capacité de prendre des décisions hors chaîne, concernant les litiges (et d'engager un avocat). Il n'est pas certain que « la DAO » puisse réellement être un client. C'est du code, non ?

Une approche plus simple (bien qu’imparfaite, il faut l’admettre) pourrait consister pour les plaignants privés à intenter une action en justice en tant que représentants de classe putatifs au nom de tous les détenteurs de jetons se trouvant dans une situation similaire.

Droit de la responsabilité délictuelle

Quelles sont les prétentions qui pourraient être formulées contre l'agresseur ? Elles sont nombreuses. Du point de vue du droit de la responsabilité civile, la conversion vient à l'esprit.

Il s’agit d’un recours délictuel disponible lorsque quelqu’un prend un bien qui ne lui appartient pas.

Un problème est que la conversion peut ne pas être possible pour les espèces ou les devises : selon la juridiction, ce recours peut n'être disponible que pour les biens corporels. (Est-ce que l'autre est un bien corporel ? Cela peut également dépendre de la juridiction).

De nombreuses autres théories délictuelles existent cependant. Le vol civil, la fraude et l'intrusion en sont quelques exemples. Les réclamations pour contrat implicite peuvent également être envisagées.

Le pirate a-t-il violé un accord implicite ou une obligation implicite de bonne foi et de traitement équitable ? Des recours en équité, tels que l'enrichissement sans cause, pourraient également être possibles. Une injonction pourrait également être demandée. Il ne s'agit là que d'exemples et cette analyse T se veut ni exhaustive ni exclusive.

Qu'en est-il des dommages et intérêts ? Cela nécessite quelques spéculations. La perte de valeur symbolique pourrait être une mesure des dommages et intérêts. D'autres théories pourraient émerger. Prenons par exemple le cas où la manipulation du marché serait un motif.

L'attaquant aurait pu anticiper qu'un vol important entraînerait une baisse du prix de l'ether et miser sur le marché en conséquence. Dans ce cas, la restitution des gains mal acquis pourrait également constituer une solution potentielle.

En résumé : si vous pensez que le pirate informatique est une personne malveillante, des recours légaux et équitables peuvent être disponibles, ainsi que des dommages et intérêts.

Image de droit via Shutterstock