Acabo de ver que el DOJ desclasificó una acusación contra Andean Medjedovic, y honestamente esta es una de las historias de hackers de DeFi más salvajes que he visto. El tipo supuestamente robó 65 millones de dólares en dos protocolos importantes, y la historia detrás es absolutamente insana.

¿Entonces quién es Andean Medjedovic? Resulta que es un prodigio matemático legítimo. Se graduó de la secundaria a los 14 años en Waterloo, Canadá, y luego terminó una carrera en matemáticas en la Universidad de Waterloo en tres años a los 17 (la misma universidad donde estudió Vitalik Buterin, aunque Vitalik abandonó). Uno de sus profesores le dijo a Bloomberg que nunca había visto a alguien graduarse tan temprano. El tipo era realmente talentoso: participó en competencias de hacking de Code4rena, ganó premios por encontrar fallos de seguridad, profundizó en protocolos DeFi.

Pero aquí es donde se pone oscuro. Compañeros anónimos lo describieron como condescendiente y arrogante. Lo más preocupante: aparentemente tenía serios problemas con ideologías racistas y antisemitas. Ese detalle se vuelve relevante más tarde porque cuando Medjedovic realmente ejecutó sus hacks, incrustó referencias neo-nazis y insultos raciales directamente en su código. Sí, en serio.

El hackeo de Indexed Finance ocurrió en octubre de 2021. Medjedovic notó una vulnerabilidad de desajuste de precios en sus pools de liquidez después de leer sobre el protocolo en un foro. Pasó meses escribiendo un script, luego usó tokens prestados para manipular su proceso de reindexación de contratos inteligentes. Se llevó 16.5 millones de dólares. Cuando los tribunales canadienses intentaron responsabilizarlo, simplemente se saltó su audiencia en diciembre de 2021 y desapareció, dando vueltas por Europa y Sudamérica antes de terminar en alguna isla.

Luego vino el hackeo de KyberSwap. Aquí es donde supuestamente Andean Medjedovic se volvió aún más audaz. Usó cientos de millones en cripto prestado para crear condiciones de precios artificiales, y luego explotó los AMMs de KyberSwap para extraer casi 49 millones de dólares. Pero no solo robó y huyó: intentó extorsionar a los desarrolladores del protocolo. ¿Su demanda? Control total de la empresa, su token de gobernanza KyberDAO, todos los documentos de la compañía y sus activos. Básicamente, intentó tomar como rehén todo el protocolo.

El DOJ alega que intentó lavar todo a través de mezcladores de cripto y protocolos puente. Incluso supuestamente pagó a un agente encubierto 80,000 dólares para ayudar a mover 500,000 dólares a través de un puente que había congelado sus transacciones.

Lo que me impacta es cómo este caso expone tanto las vulnerabilidades técnicas en los primeros protocolos DeFi como cómo alguien con habilidades genuinas puede convertir ese conocimiento en armas. Medjedovic entendía profundamente cómo funcionan los AMMs y los contratos inteligentes; simplemente eligió explotarlos. El hecho de que todavía esté prófugo a la fecha de la acusación es increíble. Las autoridades estadounidenses están coordinando con socios internacionales, incluyendo la policía holandesa, pero atraparlo está resultando difícil.

Toda esta situación es un recordatorio contundente de que la seguridad en DeFi no se trata solo de auditorías de código, sino también de las personas que tienen acceso a ese código. El caso de Andean Medjedovic muestra lo peligroso que se vuelve cuando alguien brillante decide volverse un rogue.