Acabei de ver as acusações não seladas do DOJ contra Andean Medjedovic, o hacker por trás daqueles enormes exploits de DeFi. Este cara roubou um total de 65 milhões de dólares — 16,5 milhões da Indexed Finance em 2021 e depois atacou a KyberSwap por cerca de 46 milhões de dólares. Uma história realmente louca.

Então, quem é essa pessoa? Medjedovic terminou o ensino médio aos 14 anos em Waterloo, Canadá, e depois concluiu um curso de matemática na Universidade de Waterloo em três anos, aos 17. Para contexto, Vitalik Buterin também estudou lá, mas abandonou. Um professor de matemática de Waterloo disse literalmente à Bloomberg que nunca tinha visto alguém terminar esse curso tão cedo. O cara era claramente brilhante com números.

Mas aqui é onde fica mais sombrio. Medjedovic desenvolveu habilidades sérias de programação, ganhou prêmios em competições de hacking Code4rena, e ficou obcecado por DeFi — especificamente AMMs. Ele estudava novos protocolos e investia dinheiro neles. O problema é que colegas o descreviam como condescendente e arrogante, e ele aparentemente tinha algumas opiniões realmente perturbadoras. Segundo relatos, ele se envolveu em ideologias racistas e anti-semitas. Quando hackeou a Indexed Finance, o endereço da sua carteira literalmente continha referências neo-nazistas e seu código tinha insultos raciais por toda parte.

O hack na Indexed Finance em outubro de 2021 foi tecnicamente inteligente, porém. Medjedovic percebeu uma oportunidade de desajuste de preços na lógica de reindexação do contrato inteligente deles. Ele tomou emprestado milhões em tokens para distorcer os pools de liquidez e explorou a falha para roubar 16,5 milhões de dólares. Após o hack, ele pulou a audiência no tribunal canadense em dezembro de 2021 e ficou na clandestinidade — circulando pela Europa e América do Sul.

Depois veio a KyberSwap. O DOJ diz que Medjedovic usou centenas de milhões em cripto emprestado para criar preços artificiais, e então explorou o sistema AMM da KyberSwap para roubar quase 49 milhões de dólares. Depois disso, ele supostamente tentou extorquir os desenvolvedores do protocolo, exigindo controle total da empresa, seu token de governança, todos os documentos e ativos da empresa em troca de devolver os fundos. Uma jogada bastante ousada.

Ele tentou lavar dinheiro através de mixers e protocolos de ponte, mas uma ponte percebeu e congelou suas transações. Segundo os promotores, ele até ofereceu a um agente disfarçado 80.000 dólares para ajudá-lo a contornar as restrições e acessar 500.000 dólares em cripto roubado.

Até o momento, Medjedovic ainda está foragido. Os EUA estão trabalhando com autoridades internacionais, incluindo a polícia holandesa. É um lembrete de como a genialidade técnica não equivale automaticamente a bom julgamento, e por que auditorias de segurança são tão importantes em protocolos DeFi.