#647: Code is law: niet elke hack is een misdrijf

De recente Amerikaanse zaak tegen twee aan het MIT opgeleide broers, beschuldigd van een ‘cryptocurrency-heist’ van circa 25 miljoen dollar, is geëindigd in een mistrial. Los van de uitkomst onder Amerikaans recht illustreert de zaak een bredere realiteit: bij decentrale financiële protocollen (DeFi) is de grens tussen technisch toelaatbaar en juridisch strafbaar niet vanzelfsprekend. In het Nederlandse strafrecht vergt de kwalificatie van ‘hacks’ een toetsing aan tenlastegelegde delictsomschrijvingen. Niet elke exploit [1] of onbedoelde uitkomst van een smart contract [2] levert een misdrijf op.

Volgens berichtgeving draaide de Amerikaanse zaak om geavanceerde interactie met blockchain-infrastructuur en transactieroutering, in een context waar de technische werking van zogenaamde mempools [3] , MEV [4] en transactiesortering [5] een rol speelde. De kernvraag was of de verdachten zich door misleiding of ongeautoriseerde toegang wederrechtelijk vermogen toe-eigenden, of dat zij binnen de letterlijke regels van de code handelden. Het onvermogen van de jury om tot een eenduidig oordeel te komen onderstreept hoe feitelijk complex en normatief nieuw dit terrein is.

De term ‘hack’ is geen juridische kwalificatie, maar een verzamelnaam die uiteenlopende verschijnselen dekt. Uit praktijkanalyses en technische post-mortems [6] in de sector komen verschillende verschijnselen naar voren. Een aantal voorbeelden zijn:

• Exploits van protocol- of contractlogica: denk aan prijsmanipulatie via flash loans, het benutten van rekenfouten in swap- of interestfuncties, of permissies die onbedoeld ruim zijn. Transacties verlopen dan volgens de functies van het smart contract zelf.
• Rug pulls en privileged functions: ontwikkelaars behouden beheersrechten of upgrade-paden en verplaatsen fondsen via in de code voorziene bevoegdheden. Technisch is dat geen ‘binnendringen’; juridisch draait het om verwachtingen, mededelingen en eventuele misleiding.
• Sleutel- of walletincidenten: toegang tot hot wallets of multisig-sleutels (phishing, operationele fouten). Hier is vaak forensisch onduidelijk of en hoe de beveiliging is doorbroken.
• Governance- en oracle-aanvallen: stemmen of prijsfeeds worden volgens de reglementen gemanipuleerd, met economisch voordeel als uitkomst.
• MEV/sandwich-achtige strategieën: gebruikmaken van publieke mempoolinformatie en transactiebundeling binnen de technische spelregels van het netwerk.

Deze varianten lopen uiteen in technische modus, wederrechtelijkheid en bewijsbaarheid. Belangrijk is dat bij veel exploits de code exact doet wat ze volgens het ontwerp mag doen, zij het op een manier die de ontwerpers wellicht niet hadden voorzien.

De veelgehoorde leus ‘code is law’ drukt uit dat smart contracts autonoom regels afdwingen. Juridisch is dat te kort door de bocht. De vraag is niet of de code iets toestond, maar of het handelen wederrechtelijk was. In dat kader zijn bijvoorbeeld de gerechtvaardigde verwachtingen van investeerders van belang en de feitelijke heerschappij over crypto‑activa.

Onder het Wetboek van Strafrecht zijn met name de volgende strafbare feiten relevant als het gaat om hacks: diefstal (art. 310 Sr; met valse sleutel art. 311 Sr), computervredebreuk (art. 138ab Sr), oplichting (art. 326 Sr), gegevensdelicten (art. 350a Sr) en witwassen (art. 420bis/c Sr). Maar sommige ‘hacks’ kunnen niet zonder meer als strafbaar feit kwalificeren. Denk aan een exploit op basis van prijslogica waarin bijvoorbeeld een DEX‑pool kortstondig met een flash loan uit balans wordt gebracht. Swaps volgen de contractformule en de opbrengst wordt verzilverd. Zonder beveiligingsdoorbraak of misleiding is dit strafrechtelijk bezien geen evident strafbaar feit.

Of denk aan een rug pull waarbij de ontwikkelaars de liquiditeit via een in de code voorbehouden admin‑functie verplaatsen. Strafbaarheid hangt dan minder af van ‘hack’ en meer van de eventuele misleiding/oplichting of verduistering op grond van verwachtingen, disclosures en marketing.

De crux is dat ‘hack’ een technisch – en geen juridisch – label is. Nederlandse strafbaarheid vereist een nauwgezette toets aan delictselementen, met bijzondere aandacht voor onder meer wederrechtelijkheid, toegang, opzet en bewijsbaarheid. Waar smart contracts handelingen toelaten zonder beveiligingsdoorbraak of misleiding, is het strafrecht niet vanzelf het juiste instrument, hoe pijnlijke de economische uitkomsten ook kunnen zijn. De Amerikaanse mistrial benadrukt dat technologische subtiliteiten de strafrechtelijke duiding kunnen kantelen. Niet elke DeFi‑‘hack’ is een misdrijf, en precies vaststellen wanneer dat wél zo is, vraagt technische diepgang en geen oprekking van de strafrechtelijke bepalingen.

Heb je hier vragen over of wil je hierover van gedachten wisselen met ons? Neem dan contact op met ons op via [email protected].

[1] Een exploit ziet op het gebruik van een kwetsbaar stuk code.

[2] Smart contracts zijn zelfuitvoerende digitale contracten op de blockchain.

[3] Een mempool (afkorting van memory pool) is de wachtrij in een blockchainnetwerk waarin nog niet-bevestigde transacties tijdelijk worden opgeslagen voordat ze in een blok worden opgenomen.

[4] MEV (afkorting van Maximal Extractable Value) is de extra winst die een miner of validator kan behalen door de volgorde, opname of uitsluiting van transacties in een blok te manipuleren.

[5] Transactiesortering is het proces waarbij een miner of validator bepaalt in welke volgorde transacties in een blok worden opgenomen, wat invloed kan hebben op de kosten en uitkomst van die transacties.

[6] Incidentverslagen.