Только что увидел, что DOJ рассекретило обвинения против Андейна Меджедовича, и честно говоря, история этого парня просто дикая. Мы говорим о взломе DeFi на 65 миллионов долларов, распространённом на два протокола, и предыстория почти так же интересна, как и само преступление.

Так кто же этот Меджедович? Оказывается, он не типичный хакер-скрипткидди. Этот парень был настоящим гением математики. Закончил школу в 14 лет в Ватерлоо, Канада, затем сразу поступил в Университет Ватерлоо на факультет математики. Для сравнения, именно там учился Виталик Бутерин, прежде чем бросить учебу ради Ethereum. Но Меджедович? Он завершил бакалавриат всего за три года в 17 лет и сразу же поступил в магистратуру. Год спустя он уже защитил диссертацию и подавал заявки на аспирантуру. Профессор математики из Ватерлоо сказал Bloomberg в 2022 году, что он никогда не видел другого студента, который так рано завершил обучение.

Во время учёбы Андэна Меджедович развил серьёзные навыки программирования. Он регулярно участвовал в Code4rena — соревновании по взлому, где исследователи безопасности ищут уязвимости в смарт-контрактах. Он выиграл два приза за обнаружение уязвимостей. Также он был глубоко увлечён DeFi, особенно автоматическими маркет-мейкерами. В интервью он упоминал, как исследует каждый новый продукт DeFi и вкладывает деньги, если ему нравятся механизмы.

Но тут становится темнее. По словам знакомых, у Меджедовича были серьёзные социальные проблемы. Его якобы высокомерно относился к людям, которых считал менее умными, и у него была эта самоуверенность, которая раздражала окружающих. Более тревожно: он, похоже, интересовался серьёзно проблематичной идеологией — евгеникой, расистскими теориями, антисемитским контентом. DL News говорил с ним в 2023 году и заявил, что он всё ещё «наслаждается» этими заявлениями. Не очень хороший вид.

Теперь поговорим о самих взломах. Октябрь 2021 года — Меджедович якобы осуществил первый крупный взлом. Он нацелился на Indexed Finance, используя взятые в долг токены для манипуляции процессом переиндексации смарт-контрактов платформы. Как это работало: Indexed Finance добавляет новые токены в ликвидные пулы через автоматический механизм переиндексации. Меджедович заметил «возможность неправильной оценки стоимости» в коде после чтения форума. Он увидел способ обойти лимиты на торговлю в пуле.

Он потратил месяцы, пиша скрипт для реализации этого, и когда наконец посчитал, что всё сработает, пошёл на это. Он унес 16,5 миллиона долларов в токенах инвесторов из этих ликвидных пулов. В соответствии с привычкой, крипто-адрес, который он использовал во время взлома, включал «1488» — неонацистский шорткод — и его код был полон расовых оскорблений. Он заявил, что Indexed Finance был «перебит» в торговле и цитировал «код — это закон», но судья Верховного суда Канады Фред Майерс не купился. Он издал приказ о заморозке токенов и выдал гражданский ордер на обыск и изъятие.

Меджедович пропустил слушание в суде 21 декабря 2021 года. Судья сказал СМИ, что, похоже, «молодой обвиняемый скрывается». По данным DL News, он перемещался по Европе и Южной Америке, прежде чем оказаться на каком-то острове, название которого он не назвал. Всё это время он пытался вывести деньги — используя крипто-микшеры и открывая биржевые аккаунты с фальшивыми документами KYC.

Затем появился KyberSwap. Здесь всё обострилось. Взлом на 46 миллионов долларов KyberSwap оставался нераскрытым некоторое время, но недавний обвинительный акт DOJ наконец показал, что за этим тоже стоит Меджедович. На этот раз он использовал сотни миллионов взятых в долг криптовалют для создания искусственных цен в ликвидных пулах. Он использовал AMM KyberSwap с хирургической точностью, точно рассчитывая, сколько токенов ему нужно, чтобы вызвать сбой системы и получить доступ к почти 49 миллионам долларов в криптовалюте инвесторов.

Но Меджедович не просто украл и сбежал. По слухам, он пытался шантажировать разработчиков протокола. Его требования? Полный контроль над ключевыми частями KyberSwap: самой компанией, временное полномочие над KyberDAO (токен управления), все документы компании и все активы. По сути, он хотел захватить всю операцию в обмен на возврат средств.

По данным DOJ, Меджедович пытался отмывать деньги через микшеры и мостовые протоколы. Один мост сработал и заморозил его транзакции. Затем он якобы попытался заплатить под прикрытием агента ФБР, выдающегося за разработчика программного обеспечения, 80 000 долларов, чтобы обойти ограничения мостового протокола и освободить около 500 000 долларов украденной криптовалюты.

Самое удивительное? Андэна Меджедовича всё ещё разыскивают. Обвинение DOJ было рассекречено в начале 2024 года, но он пока на свободе. Его уже разыскивали в Канаде за неявку в суд по делу Indexed Finance, так что на него есть международный интерес. Американские власти сотрудничают с голландской полицией и другими международными партнёрами, чтобы его найти.

Что меня поражает в этой истории — это как она показывает пересечение технического гения и серьёзных личностных недостатков. Меджедович обладал интеллектуальной мощью обнаруживать уязвимости, которых никто другой не замечал, но, похоже, у него не было этических рамок. Он перешёл от законного исследователя безопасности в Code4rena к одному из самых разыскиваемых DeFi-хакеров в крипте.

Это предостережение для индустрии. Протоколы DeFi всё ещё подвергаются атакам, потому что есть люди достаточно умные, чтобы находить уязвимости. И иногда эти люди движимы не только деньгами — есть эго, идеология и полное пренебрежение последствиями. Пока протоколы не научатся лучше защищать свои смарт-контракты и правоохранительные органы не станут лучше отслеживать таких ребят на международном уровне, подобные случаи, скорее всего, будут продолжать возникать.