Acabei de ver as acusações não seladas do DOJ contra Andean Medjedovic, e honestamente, a história deste rapaz é selvagem. Estamos a falar de um hack DeFi de 65 milhões de dólares espalhado por dois protocolos, e a história por trás é quase tão interessante quanto o crime em si.

Então, quem é este personagem Medjedovic? Acontece que ele não é o típico hacker de script-kiddie. O rapaz era um verdadeiro prodígio da matemática. Concluiu o ensino secundário aos 14 anos em Waterloo, Canadá, e depois foi direto para a Universidade de Waterloo estudar matemática. Para contexto, é onde Vitalik Buterin também foi antes de abandonar para trabalhar na Ethereum. Mas Medjedovic? Terminou a licenciatura em apenas três anos, aos 17, e imediatamente entrou num programa de mestrado. Um ano depois, já tinha defendido a tese e estava a candidatar-se a doutoramentos. Um professor de matemática de Waterloo disse à Bloomberg em 2022 que nunca tinha visto outro estudante concluir o grau tão cedo.

Durante os seus estudos, Andean Medjedovic desenvolveu habilidades sérias de programação. Competia regularmente na Code4rena, aquela competição de hacking onde investigadores de segurança procuram bugs em contratos inteligentes. Ganhou dois prémios por encontrar vulnerabilidades. Também era bastante envolvido em DeFi, especialmente em Automated Market Makers. Numa entrevista, mencionou como pesquisava todos os novos produtos DeFi que surgiam e investia neles se gostasse da mecânica.

Mas aqui é onde a coisa fica mais sombria. Segundo pessoas que o conheciam, Medjedovic tinha problemas sociais reais. Aparentemente, era condescendente com pessoas que considerava menos inteligentes e tinha uma arrogância que desagradava às pessoas. Mais preocupante: ele supostamente tinha envolvimento com ideologias bastante problemáticas—eugenia, teorias racistas, conteúdo anti-semita. A DL News falou com ele em 2023 e disse que ele ainda "saboreia" essas declarações. Não é uma boa imagem.

Agora, vamos falar dos próprios hacks. Outubro de 2021, Andean Medjedovic supostamente realizou o primeiro grande exploit. Ele visou a Indexed Finance usando tokens emprestados para manipular o processo de reindexação do contrato inteligente da plataforma. Como funcionava: Indexed Finance adiciona novos tokens aos pools de liquidez através de um mecanismo de reindexação automatizado. Medjedovic notou uma "oportunidade de má precificação" no código após lê-lo num fórum. Percebeu que havia uma forma de contornar os limites de troca no pool.

Passou meses a escrever um script para executá-lo, e quando finalmente fez as contas e confirmou que funcionaria, avançou. Saiu com 16,5 milhões de dólares em tokens de investidores desses pools de liquidez. Fiel ao seu estilo, o endereço de criptomoeda que usou durante o hack incluía "1488"—uma abreviação neo-nazi—e o seu código estava cheio de insultos raciais. Afirmou que a Indexed Finance tinha sido "comercializada de forma errada" e invocou "o código é lei", mas o juiz do Tribunal Superior do Canadá, Fred Myers, não comprou a história. Ele emitiu uma ordem para congelar os tokens e concedeu uma autorização civil de busca e apreensão.

Medjedovic ignorou a audiência no tribunal em 21 de dezembro de 2021. O juiz disse à imprensa que parecia que "o jovem réu desapareceu". Segundo a DL News, ele andou pela Europa e América do Sul antes de aterrissar numa ilha que não quis nomear. Durante todo esse tempo, tentou sacar o dinheiro—usando mixers de criptomoedas e abrindo contas em exchanges com documentos de KYC falsificados.

Depois veio o KyberSwap. Aqui a situação escalou. O hack de 46 milhões de dólares no KyberSwap ficou sem solução por um tempo, mas a acusação recente do DOJ finalmente revelou que Andean Medjedovic também esteve por trás. Desta vez, usou centenas de milhões em criptomoedas emprestadas para criar preços artificiais nos pools de liquidez. Exploração dos AMMs do KyberSwap com precisão cirúrgica, calculando exatamente quantos tokens precisava para fazer o sistema falhar e dar acesso a quase 49 milhões de dólares em criptomoedas de investidores.

Mas Medjedovic não se limitou a roubar e fugir. Aparentemente, tentou extorquir os desenvolvedores do protocolo. As suas exigências? Controle total sobre partes críticas do KyberSwap: a própria empresa, autoridade temporária completa sobre o KyberDAO (o token de governança), todos os documentos da empresa e todos os ativos. Basicamente, queria assumir toda a operação em troca de devolver os fundos.

Segundo o DOJ, Medjedovic tentou lavar o dinheiro através de mixers e protocolos de ponte. Uma ponte percebeu e congelou as transações dele. Depois, supostamente, tentou pagar a um agente do FBI disfarçado de desenvolvedor de software 80.000 dólares para contornar as restrições do protocolo de ponte e liberar cerca de 500.000 dólares em criptomoedas roubadas.

A parte mais louca? Andean Medjedovic ainda está à solta. A acusação do DOJ foi tornada pública no início de 2024, mas ele está atualmente foragido. Já tinha sido procurado no Canadá por não ter comparecido ao tribunal no caso Indexed Finance, então tem uma pressão internacional sobre ele. Autoridades dos EUA estão a trabalhar com a polícia holandesa e outros parceiros internacionais para localizá-lo.

O que me impressiona nesta história toda é como ela mostra a interseção entre talento técnico bruto e falhas de caráter graves. Medjedovic tinha a inteligência para detectar vulnerabilidades que ninguém mais via, mas aparentemente faltava-lhe qualquer tipo de ética. Passou de ser um investigador de segurança legítimo na Code4rena a tornar-se um dos hackers DeFi mais procurados no mundo cripto.

É uma história de aviso para o espaço. Os protocolos DeFi continuam a ser alvo de ataques porque há pessoas inteligentes o suficiente para encontrar as exploits. E às vezes essas pessoas não são motivadas apenas pelo dinheiro—há ego, ideologia e uma completa negligência pelas consequências. Até que os protocolos melhorem na segurança dos seus contratos inteligentes e a aplicação da lei melhore na perseguição internacional desses indivíduos, é provável que continuemos a ver casos como este surgirem.