Acabei de ver as acusações não seladas do DOJ contra Andean Medjedovic, e honestamente, a história desse cara é selvagem. Estamos falando de um hack DeFi de 65 milhões de dólares espalhado por dois protocolos, e o histórico é quase tão interessante quanto o crime em si.

Então, quem é esse personagem Medjedovic? Acontece que ele não é o típico hacker de script-kiddie. O cara era um verdadeiro prodígio da matemática. Formou-se no ensino médio aos 14 anos em Waterloo, Canadá, e depois foi direto para a Universidade de Waterloo estudar matemática. Para contextualizar, foi lá que Vitalik Buterin também estudou antes de abandonar o curso para trabalhar na Ethereum. Mas Medjedovic? Ele terminou sua graduação em apenas três anos, aos 17, e imediatamente entrou em um programa de mestrado. Um ano depois, já tinha defendido sua tese e estava se candidatando a doutorados. Um professor de matemática de Waterloo disse à Bloomberg em 2022 que nunca tinha visto outro estudante concluir o grau tão cedo.

Durante seus estudos, Andean Medjedovic desenvolveu habilidades sérias de programação. Ele competia regularmente na Code4rena, aquela competição de hacking onde pesquisadores de segurança buscam bugs em contratos inteligentes. Ganhou dois prêmios por encontrar vulnerabilidades. Ele também era bastante envolvido com DeFi, especialmente com automated market makers. Em uma entrevista, mencionou que pesquisava todos os novos produtos DeFi que surgiam e investia neles se gostasse da mecânica.

Mas aqui é onde fica mais sombrio. Segundo pessoas que o conheciam, Medjedovic tinha problemas sociais reais. Ele era supostamente condescendente com pessoas que considerava menos inteligentes e tinha uma arrogância que desagradava os outros. Mais preocupante: ele aparentemente se envolveu com ideologias problemáticas — eugenia, teorias racistas, conteúdo anti-semita. A DL News falou com ele em 2023 e disse que ele ainda "aprecia" essas declarações. Nada bom.

Agora, vamos falar dos hacks propriamente ditos. Em outubro de 2021, Andean Medjedovic supostamente realizou o primeiro grande exploit. Ele visou a Indexed Finance usando tokens emprestados para manipular o processo de reindexação do contrato inteligente da plataforma. Como funcionava: Indexed Finance adiciona novos tokens aos pools de liquidez por meio de um mecanismo de reindexação automatizado. Medjedovic percebeu uma "oportunidade de precificação incorreta" no código após lê-lo em um fórum. Ele viu que havia uma maneira de contornar os limites de troca no pool.

Ele passou meses escrevendo um script para executá-lo, e quando finalmente fez as contas e confirmou que funcionaria, foi em frente. Saiu com 16,5 milhões de dólares em tokens de investidores desses pools de liquidez. Fiel ao seu estilo, o endereço de criptomoeda que usou durante o hack incluía "1488" — uma abreviação neo-nazista — e seu código estava cheio de insultos raciais. Ele alegou que a Indexed Finance tinha sido "comercializada de forma errada" e invocou "o código é lei", mas o juiz do Tribunal Superior do Canadá não comprou a história. O juiz Fred Myers emitiu uma ordem para congelar os tokens e concedeu um mandado civil de busca e apreensão.

Medjedovic ignorou sua audiência no tribunal em 21 de dezembro de 2021. O juiz disse à mídia que parecia que "o jovem réu desapareceu". Segundo a DL News, ele se deslocou pela Europa e América do Sul antes de aterrissar em uma ilha que não quis nomear. Durante todo esse tempo, ele tentava sacar o dinheiro — usando mixers de criptomoedas e abrindo contas em exchanges com documentos falsos de KYC.

Depois veio o KyberSwap. Aqui a coisa escalou. O hack de 46 milhões de dólares no KyberSwap ficou sem solução por um tempo, mas a recente acusação do DOJ finalmente revelou que Andean Medjedovic também foi o responsável. Desta vez, ele usou centenas de milhões em criptomoedas emprestadas para criar preços artificiais nos pools de liquidez. Ele explorou os AMMs do KyberSwap com precisão cirúrgica, calculando exatamente quantos tokens precisava para fazer o sistema travar e dar acesso a quase 49 milhões de dólares em criptomoedas de investidores.

Mas Medjedovic não apenas roubou e fugiu. Ele supostamente tentou extorquir os desenvolvedores do protocolo. Suas exigências? Controle total sobre partes críticas do KyberSwap: a própria empresa, autoridade temporária completa sobre o KyberDAO (o token de governança), todos os documentos da empresa e todos os ativos. Basicamente, ele queria assumir toda a operação em troca de devolver os fundos.

Segundo o DOJ, Medjedovic tentou lavar o dinheiro por meio de mixers e protocolos de ponte. Uma ponte percebeu e congelou suas transações. Depois, ele supostamente tentou pagar a um agente do FBI disfarçado de desenvolvedor de software US$ 80.000 para contornar as restrições do protocolo da ponte e liberar cerca de US$ 500.000 em criptomoedas roubadas.

A parte mais louca? Andean Medjedovic ainda está foragido. A acusação do DOJ foi tornada pública no início de 2024, mas ele está atualmente foragido. Ele já era procurado no Canadá por não ter comparecido ao tribunal no caso Indexed Finance, então ele está sob atenção internacional. Autoridades dos EUA estão trabalhando com a polícia holandesa e outros parceiros internacionais para localizá-lo.

O que me impressiona nessa história toda é como ela mostra a interseção de talento técnico bruto e falhas de caráter graves. Medjedovic tinha o poder intelectual para identificar vulnerabilidades que ninguém mais via, mas aparentemente faltava-lhe qualquer tipo de limite ético. Ele passou de um pesquisador de segurança legítimo na Code4rena a um dos hackers DeFi mais procurados do crypto.

É uma história de advertência para o espaço. Protocolos DeFi ainda estão sendo atacados porque há pessoas inteligentes o suficiente para encontrar as exploits. E às vezes essas pessoas não são motivadas apenas por dinheiro — há ego, ideologia e uma completa negligência pelas consequências. Até que os protocolos melhorem na segurança de seus contratos inteligentes e a aplicação da lei seja mais eficiente no rastreamento internacional desses caras, provavelmente continuaremos vendo casos assim aparecerem.