Acabei de ver que o DOJ desclassificou uma acusação contra Andean Medjedovic, e esta é honestamente uma das histórias mais loucas de hackers de DeFi que já encontrei. O rapaz supostamente roubou 65 milhões de dólares em dois protocolos principais - e a história por trás é absolutamente insana.

Então, quem é Andean Medjedovic? Acontece que ele é um prodígio legítimo em matemática. Concluiu o ensino médio aos 14 anos em Waterloo, Canadá, e depois terminou um curso de matemática na Universidade de Waterloo em três anos, aos 17 anos (mesma universidade onde Vitalik Buterin estudou, embora Vitalik tenha abandonado). Um dos seus professores disse à Bloomberg que nunca tinha visto alguém se formar tão cedo. O rapaz era realmente talentoso - participou de competições de hacking Code4rena, ganhou prêmios por encontrar falhas de segurança, mergulhou fundo em protocolos DeFi.

Mas aqui é onde fica sombrio. Colegas anônimos o descreveram como condescendente e arrogante. Mais preocupante - ele aparentemente tinha sérios problemas com ideologias racistas e anti-semitas. Esse detalhe torna-se relevante mais tarde, porque quando Medjedovic realmente executou seus hacks, ele incorporou referências neo-nazistas e insultos raciais diretamente no seu código. Sim, de verdade.

O hack na Indexed Finance aconteceu em outubro de 2021. Medjedovic percebeu uma vulnerabilidade de má precificação em seus pools de liquidez após ler sobre o protocolo em um fórum. Ele passou meses escrevendo um script, depois usou tokens emprestados para manipular o processo de reindexação do contrato inteligente. Ele saiu com 16,5 milhões de dólares. Quando os tribunais canadenses tentaram responsabilizá-lo, ele simplesmente ignorou a audiência em dezembro de 2021 e desapareceu - rodando pela Europa e América do Sul antes de acabar em alguma ilha.

Depois veio o hack na KyberSwap. Aqui é onde Andean Medjedovic supostamente ficou ainda mais audacioso. Ele usou centenas de milhões em cripto emprestado para criar condições artificiais de preço, depois explorou os AMMs do KyberSwap para extrair quase 49 milhões de dólares. Mas ele não roubou e fugiu - tentou extorquir os desenvolvedores do protocolo. Sua exigência? Controle total da empresa, seu token de governança KyberDAO, todos os documentos da empresa e seus ativos. Basicamente, tentou manter todo o protocolo como refém.

O DOJ alega que ele tentou lavar tudo através de mixers de criptomoedas e protocolos de ponte. Ele até supostamente pagou a um agente infiltrado 80 mil dólares para ajudar a mover 500 mil dólares através de uma ponte que tinha congelado suas transações.

O que me impressiona é como esse caso expõe tanto as vulnerabilidades técnicas dos protocolos DeFi iniciais quanto como alguém com habilidade genuína pode usar esse conhecimento como arma. Medjedovic claramente entendia profundamente de AMMs e mecânica de contratos inteligentes - ele simplesmente escolheu explorá-los. O fato de ainda estar foragido até o momento da acusação é louco. As autoridades americanas estão coordenando com parceiros internacionais, incluindo a polícia holandesa, mas pegá-lo está aparentemente sendo difícil.

Toda essa situação é um lembrete claro de que a segurança em DeFi não é só sobre auditorias de código - também depende das pessoas que têm acesso a esse código. O caso de Andean Medjedovic mostra o quão perigoso fica quando alguém brilhante decide agir por conta própria.