A en croire les titres de plusieurs journaux, le plus gros casse du siècle a eu lieu ce week-end. Des « pirates » auraient dérobé près de 50 millions de dollars des caisses d’un fonds d’investissement décentralisé (le projet DAO).

Cette explication-là est la version hollywoodienne d’une réalité plus compliquée.

Qu’est-ce que la DAO ?

Nous en parlions dans un précédent article, la DAO est un fonds d’investissement décentralisé et sans patron. Dans le cas d’un fonds d’investissement traditionnel, vous ou moi confions notre argent à un investisseur expérimenté qui va décider où le placer pour le faire fructifier. Nous leur faisons confiance car ils disposent d’une expertise.

Avec la DAO, la distinction entre ceux qui veulent investir et ceux qui décident où investir disparaît. Nous mettons notre argent (sous forme d’une crypto-monnaie appelée l’ether) dans ce fonds d’investissement, et nous décidons, grâce à un système de vote, quels projets méritent notre investissement.

La DAO est basée sur la technologie blockchain. Cette techno-là, c’est un peu le notaire de l’Internet. L’une de ses applications consiste à tracer, vérifier et authentifier des transactions.

Quand le projet DAO a été lancé, en mai dernier, par la société allemande Slock.it, l’engouement était fort. En quelques jours, la DAO a levé 10 millions d’ethers. Sa valeur à la fin de la levée (car le cours de l’ether fluctue, comme pour toute monnaie) avoisinait les 150 millions de dollars, faisant du projet le plus grand succès dans l’histoire des financements participatifs.

Et soudain, tout s’écroule

Sauf que ça a un peu vrillé. Dans la nuit de vendredi à samedi, un des nombreux investisseurs de la DAO a exploité une faille et est parvenu à récupérer près de 50 millions de dollars.

De quoi faire dire à Stephan Tual, l’un des fondateurs de Slock.it, la société à l’origine du projet, dans un post sur Medium :

« L’inimaginable a eu lieu : la “DAO” [...] a été compromise. »

Le plus drôle, c’est que le hacker (ou les hackers, on ne sait pas s’il s’agit d’un groupe ou d’un individu seul) n’a pas agi illégalement. Samedi, une lettre ouverte signée de l’« Attaquant » déclarait :

« Je suis déçu par ceux qui m’accusent d’être un “voleur”. [...] Mon cabinet d’avocats m’a informé que mon action est entièrement conforme au droit pénal américain. »



Batman et le Joker en Lego - Stick Kim/Flickr/CC

L’émetteur du message n’a pas été authentifié comme le hacker en question, mais il souligne l’ironie de la situation. Le code contenait cette faille. Or, la société Slock.it à l’origine du projet DAO avait précisé que le code était la loi. Du coup, la faille est à considérer comme une fonctionnalité du code. Si l’utiliser est immoral, ce n’est pas illégal.

Ce « hacker » (ou/et son groupe) ne devrait pas toucher un seul kopeck des 50 millions de dollars qu’il détient en ethereum. Les transactions qu’il a effectuées devraient être bloquées.

En revanche, ses actes ont foutu un sacré gros boxon.

La désacralisation de la DAO

Nous l’avons dit plus haut, la DAO a rencontré un franc succès lors de son lancement. Comment l’expliquer ? Parce que la DAO, c’est avant tout deux promesses :

La promesse que l’intelligence collective peut mener des investissements tout aussi pertinents que des experts.

La promesse que la blockchain révolutionnera les transactions sur Internet en assumant un rôle de notaire virtuel.

L’exploitation de la faille a foutu un voile sombre sur ces deux promesses. Augustin, développeur parisien, a investi dans la DAO dès le mois de mai :

« Le concept de dire “aucune loi ne régit ce marché car le code, c’est la loi”, a pris un sacré coup. On se rend compte, finalement, qu’un code est à l’égal d’une loi : il peut être bugué. Comme certains ont su se mettre des milliards dans les poches en trouvant des failles dans les réglementations [dans le monde réel, ndlr], certains peuvent se mettre 50 millions de côté en exploitant une faille d’une blockchain. »

Autrement dit, la sacralisation du projet DAO a pris fin en même temps qu’on s’est rendu compte que des petits malins avaient exploité une faille.

Basculer du côté obscur ?

Qui dit désacralisation dit perte de confiance. Et c’est là le plus gros bordel qui résulte des 50 millions de dollars « empruntés » par le ou les hackers.

Pour devenir investisseur sur la DAO, il faut transformer ses ethers en tokens (on pourrait traduire par « jetons » en français). Pour simplifier, l’ether est la monnaie de base de la DAO.

Or, depuis mai et les millions investis par les internautes, le projet DAO était un peu la Lehman Brothers de l’ethereum : « Too big to fail. » Laisser mourir la DAO impacterait méchamment le cours de l’ether, en faisant diminuer sa valeur.

Pour éviter ça, le cocréateur de l’ether, Vitalik Buterin, a proposé de modifier le code source de l’ethereum, afin d’invalider toutes les transactions ayant lieu sur la DAO.

De base, une crypto-monnaie est automatisée. Aucune intervention humaine n’est nécessaire pour la réguler (contrairement à l’économie réelle). Or, ce que vient de faire le créateur de l’ether s’assimile à une régulation.

Plutôt ironique, ce créateur figurait parmi les conseillers du projet DAO. Autrement dit, sa décision peut aussi être assimilée à un conflit d’intérêt.