Je viens de voir que le DOJ a dévoilé les accusations contre Andean Medjedovic, et honnêtement, l’histoire de ce gars est folle. On parle d’un piratage DeFi de 65 millions de dollars réparti sur deux protocoles, et l’arrière-plan est presque aussi intéressant que le crime lui-même.

Alors, qui est ce personnage Medjedovic ? Il s’avère qu’il n’est pas votre hacker script-kiddie typique. Le gars était un véritable prodige en mathématiques. Il a obtenu son diplôme d’études secondaires à 14 ans à Waterloo, au Canada, puis est allé directement à l’Université de Waterloo pour étudier les mathématiques. Pour donner un contexte, c’est là aussi que Vitalik Buterin est allé avant d’abandonner pour travailler sur Ethereum. Mais Medjedovic ? Il a terminé sa licence en seulement trois ans à 17 ans et s’est immédiatement lancé dans un master. Un an plus tard, il avait déjà soutenu sa thèse et postulait pour un doctorat. Un professeur de mathématiques de Waterloo a dit à Bloomberg en 2022 qu’il n’avait jamais vu un autre étudiant terminer son diplôme aussi tôt.

Pendant ses études, Andean Medjedovic a développé de solides compétences en codage. Il participait régulièrement à Code4rena, cette compétition de hacking où des chercheurs en sécurité cherchent des bugs dans des contrats intelligents. Il a remporté deux prix pour avoir trouvé des vulnérabilités. Il était aussi très impliqué dans la DeFi, notamment les automated market makers. Dans une interview, il a mentionné qu’il recherchait chaque nouveau produit DeFi qui sortait et investissait de l’argent dedans s’il aimait la mécanique.

Mais c’est là que ça devient plus sombre. Selon des personnes qui le connaissaient, Medjedovic avait de sérieux problèmes sociaux. Il était apparemment condescendant envers les personnes qu’il jugeait moins intelligentes et avait cette arrogance qui agaçait les autres. Plus inquiétant : il aurait aussi flirté avec des idéologies très problématiques — eugénisme, théories racistes, contenu antisémite. DL News l’a interviewé en 2023 et il a dit qu’il « savourait » toujours ces déclarations. Pas une bonne image.

Passons maintenant aux vrais hacks. En octobre 2021, Andean Medjedovic aurait réalisé la première grosse exploitation. Il a ciblé Indexed Finance en utilisant des tokens empruntés pour manipuler le processus de réindexation du contrat intelligent de la plateforme. La méthode : Indexed Finance ajoute de nouveaux tokens aux pools de liquidité via un mécanisme de réindexation automatisé. Medjedovic a repéré une « opportunité de mauvaise tarification » dans le code après l’avoir lue sur un forum. Il a vu qu’il y avait un moyen de contourner les limites de trading dans le pool.

Il a passé des mois à écrire un script pour l’exécuter, et quand il a enfin fait les calculs et confirmé que ça fonctionnerait, il s’est lancé. Il a empoché 16,5 millions de dollars en tokens d’investisseurs issus de ces pools de liquidité. Fidèle à lui-même, l’adresse crypto qu’il a utilisée lors du hack comprenait « 1488 » — un code néo-nazi — et son code était rempli d’insultes raciales. Il a affirmé que Indexed Finance avait été « sur-tradé » et a invoqué « le code est la loi », mais le juge de la Cour supérieure canadienne n’a pas été dupe. Le juge Fred Myers a émis une ordonnance pour geler les tokens et a délivré un mandat civil de perquisition et de saisie.

Medjedovic a zappé son audience au tribunal le 21 décembre 2021. Le juge a dit aux médias qu’il semblait que « le jeune défendeur s’était évaporé ». Selon DL News, il a vagabondé en Europe et en Amérique du Sud avant d’atterrir sur une île qu’il a refusé de nommer. Pendant tout ce temps, il essayait de convertir ses gains — en utilisant des mixers crypto et en ouvrant des comptes d’échange avec de faux documents KYC.

Puis est arrivé KyberSwap. C’est là que tout a dégénéré. Le piratage de 46 millions de dollars de KyberSwap est resté non résolu pendant un moment, mais l’inculpation récente du DOJ a finalement révélé que c’était aussi lui. Cette fois, il a utilisé des centaines de millions en crypto empruntée pour créer des prix artificiels dans les pools de liquidité. Il a exploité les AMMs de KyberSwap avec une précision chirurgicale, calculant exactement combien de tokens il lui fallait pour faire buguer le système et accéder à près de 49 millions de dollars en crypto d’investisseurs.

Mais Medjedovic ne s’est pas contenté de voler et de fuir. Il aurait aussi tenté de faire chanter les développeurs du protocole. Ses demandes ? Contrôle total sur des parties critiques de KyberSwap : la société elle-même, une autorité temporaire complète sur KyberDAO (le jeton de gouvernance), tous les documents de l’entreprise, et tous ses actifs. En gros, il voulait prendre le contrôle de toute l’opération en échange de rendre les fonds.

Selon le DOJ, Medjedovic a tenté de blanchir l’argent via des mixers et des protocoles de ponts. Un pont a détecté ses transactions et les a gelées. Ensuite, il aurait essayé de payer un agent infiltré du FBI, se faisant passer pour un développeur, 80 000 dollars pour contourner les restrictions du protocole de pont et libérer environ 500 000 dollars en crypto volée.

Le plus fou ? Andean Medjedovic est toujours en liberté. L’inculpation du DOJ a été dévoilée début 2024, mais il est toujours en fuite. Il était déjà recherché au Canada pour ne pas s’être présenté au tribunal dans l’affaire Indexed Finance, donc il est sous pression internationale. Les autorités américaines collaborent avec la police néerlandaise et d’autres partenaires internationaux pour le retrouver.

Ce qui me frappe dans toute cette histoire, c’est la façon dont elle montre l’intersection entre un talent technique brut et de graves défauts de caractère. Medjedovic avait la puissance intellectuelle pour repérer des vulnérabilités que personne d’autre ne voyait, mais il semblait manquer de toute éthique. Il est passé d’un chercheur en sécurité légitime dans Code4rena à l’un des hackers DeFi les plus recherchés du crypto.

C’est une mise en garde pour le secteur. Les protocoles DeFi continuent d’être ciblés parce qu’il y a des gens assez intelligents pour trouver les exploits. Et parfois, ces personnes ne sont pas motivées uniquement par l’argent — il y a l’ego, l’idéologie, et un mépris total des conséquences. Tant que les protocoles ne renforceront pas la sécurité de leurs contrats intelligents et que la police ne sera pas meilleure pour traquer ces gars à l’échelle internationale, on risque de continuer à voir ce genre d’affaires surgir.