Je viens de voir que le DOJ a déclassifié une inculpation contre Andean Medjedovic, et c’est honnêtement l’une des histoires de hackers DeFi les plus folles auxquelles j’ai assisté. Le gars aurait volé 65 millions de dollars sur deux protocoles majeurs - et l’histoire derrière est absolument dingue.

Alors, qui est Andean Medjedovic ? Il s’avère qu’il est un véritable prodige des mathématiques. Il a obtenu son diplôme du lycée à 14 ans à Waterloo, au Canada, puis a terminé un diplôme en mathématiques à l’Université de Waterloo en trois ans à 17 ans (la même école où Vitalik Buterin a étudié, bien que Vitalik ait abandonné). Un de ses professeurs a dit à Bloomberg qu’il n’avait jamais vu quelqu’un obtenir son diplôme aussi tôt. Le gars était vraiment doué - il a participé à des compétitions de hacking Code4rena, gagné des prix pour avoir trouvé des failles de sécurité, plongé dans les protocoles DeFi.

Mais c’est là que ça devient sombre. Des camarades anonymes l’ont décrit comme condescendant et arrogant. Plus inquiétant - il aurait apparemment eu de sérieux problèmes avec des idéologies racistes et antisémites. Ce détail devient pertinent plus tard parce que lorsque Medjedovic a réellement exécuté ses hacks, il a intégré des références néo-nazies et des insultes raciales directement dans son code. Ouais, vraiment.

Le hack d’Indexed Finance a eu lieu en octobre 2021. Medjedovic a repéré une vulnérabilité de mauvaise tarification dans leurs pools de liquidité après avoir lu à propos du protocole sur un forum. Il a passé des mois à écrire un script, puis a utilisé des tokens empruntés pour manipuler leur processus de réindexation de contrat intelligent. Il est reparti avec 16,5 millions de dollars. Quand les tribunaux canadiens ont essayé de le tenir responsable, il a simplement manqué son audience en décembre 2021 et a disparu - se baladant en Europe et en Amérique du Sud avant de finir sur une île.

Puis est venu le hack de KyberSwap. C’est là que Andean Medjedovic aurait été encore plus audacieux. Il a utilisé des centaines de millions en crypto empruntée pour créer des conditions de prix artificielles, puis a exploité les AMMs de KyberSwap pour extraire près de 49 millions de dollars. Mais il ne s’est pas contenté de voler et de fuir - il a tenté de faire chanter les développeurs du protocole. Sa demande ? Contrôle total de la société, leur jeton de gouvernance KyberDAO, tous les documents de l’entreprise, et leurs actifs. En gros, il a essayé de prendre en otage tout le protocole.

Le DOJ affirme qu’il a tenté de blanchir tout via des mixers crypto et des protocoles de pont. Il aurait même payé un agent infiltré 80 000 dollars pour l’aider à déplacer 500 000 dollars via un pont qui avait gelé ses transactions.

Ce qui me frappe, c’est comment cette affaire met en lumière à la fois les vulnérabilités techniques des premiers protocoles DeFi et comment quelqu’un avec de véritables compétences peut en faire une arme. Medjedovic comprenait profondément le fonctionnement des AMMs et des contrats intelligents - il a simplement choisi de les exploiter. Le fait qu’il soit toujours en liberté à ce jour, malgré l’inculpation, est fou. Les autorités américaines coopèrent avec des partenaires internationaux, y compris la police néerlandaise, mais l’attraper semble difficile.

Toute cette situation est un rappel brutal que la sécurité en DeFi ne se limite pas aux audits de code - c’est aussi une question de personnes ayant accès à ce code. Le cas d’Andean Medjedovic montre à quel point cela peut devenir dangereux quand quelqu’un de brillant décide de faire cavalier seul.