Je viens de voir que le DOJ a dévoilé des accusations contre Andean Medjedovic, le hacker derrière ces exploits massifs en DeFi. Ce gars a volé au total 65 millions de dollars — 16,5 millions de dollars d’Indexed Finance en 2021, puis environ 46 millions de dollars de KyberSwap. Une histoire vraiment folle.

Alors, qui est cette personne ? Medjedovic a obtenu son diplôme d’études secondaires à 14 ans à Waterloo, au Canada, puis a terminé un diplôme en mathématiques à l’Université de Waterloo en trois ans, à 17 ans. Pour donner un contexte, Vitalik Buterin a aussi étudié là-bas mais a abandonné. Un professeur de mathématiques de Waterloo a littéralement dit à Bloomberg qu’il n’avait jamais vu quelqu’un finir ce diplôme aussi tôt. Le gars était clairement brillant avec les chiffres.

Mais c’est là que ça devient plus sombre. Medjedovic a développé de solides compétences en codage, a remporté des prix dans des compétitions de hacking Code4rena, et est devenu obsédé par la DeFi — en particulier les AMMs. Il étudiait de nouveaux protocoles et investissait de l’argent dedans. Le problème, c’est que ses camarades le décrivaient comme condescendant et arrogant, et il aurait apparemment des vues vraiment troublantes. Selon des rapports, il s’est intéressé à une idéologie raciste et antisémite. Lorsqu’il a hacké Indexed Finance, l’adresse de son portefeuille contenait littéralement des références néo-nazies et son code comportait des insultes raciales partout.

Le hack d’Indexed Finance en octobre 2021 était cependant techniquement astucieux. Medjedovic a repéré une opportunité de mauvaise tarification dans la logique de réindexation de leur contrat intelligent. Il a emprunté des millions de tokens pour fausser leurs pools de liquidité et a exploité la faille pour voler 16,5 millions de dollars. Après le piratage, il a manqué son audience au tribunal canadien en décembre 2021 et s’est volatilisé — se déplaçant à travers l’Europe et l’Amérique du Sud.

Puis est arrivé KyberSwap. Le DOJ affirme que Medjedovic a utilisé des centaines de millions en crypto empruntée pour créer des prix artificiels, puis a exploité le système AMM de KyberSwap pour voler près de 49 millions de dollars. Après cela, il aurait tenté de faire chanter les développeurs du protocole, en exigeant le contrôle total de la société, leur jeton de gouvernance, tous les documents, et les actifs de l’entreprise en échange du retour des fonds. Une démarche plutôt audacieuse.

Il a tenté de blanchir l’argent via des mixers et des protocoles de ponts, mais un pont a fini par le repérer et a gelé ses transactions. Selon les procureurs, il aurait même offert à un agent infiltré 80 000 dollars pour l’aider à contourner les restrictions et accéder à 500 000 dollars en crypto volée.

À l’heure actuelle, Medjedovic est toujours en fuite. Les États-Unis collaborent avec des autorités internationales, y compris la police néerlandaise. C’est un rappel que la brillance technique ne rime pas forcément avec un bon jugement, et pourquoi les audits de sécurité sont si importants dans les protocoles DeFi.