Только что стало известно, что Министерство юстиции опубликовало обвинительный акт против Андейана Меджедовича, и это, честно говоря, одна из самых безумных историй о хакерах в сфере DeFi, с которыми я сталкивался. Этот парень якобы украл 65 миллионов долларов на двух крупных протоколах — и предыстория этого просто сумасшедшая.

Итак, кто такой Андейан Меджедович? Оказывается, он настоящий гений математики. Закончил школу в 14 лет в Ватерлоо, Канада, затем за три года получил степень по математике в Университете Ватерлоо к 17 годам (тот же университет, где учился Виталик Бутерин, хотя Виталик бросил учебу). Один из его преподавателей сказал Bloomberg, что он никогда не видел, чтобы кто-то выпускался так рано. Этот парень действительно был одарен — участвовал в хакерских конкурсах Code4rena, получал призы за обнаружение уязвимостей в безопасности, глубоко изучал протоколы DeFi.

Но вот где становится темно. Анонимные одноклассники описывали его как высокомерного и снисходительного. Более тревожно — у него, по их словам, были серьезные проблемы с расистскими и антисемитскими идеологиями. Эта деталь становится важной позже, потому что когда Меджедович действительно осуществлял свои взломы, он вставлял в свой код неонацистские отсылки и расовые ругательства. Да, действительно.

Взлом Indexed Finance произошел в октябре 2021 года. Меджедович заметил уязвимость в их пулах ликвидности после того, как прочитал о протоколе на форуме. Он провел месяцы, пиша скрипт, затем использовал взятые взаймы токены, чтобы манипулировать процессом переиндексации их смарт-контрактов. Он ушел с 16,5 миллиона долларов. Когда канадские суды попытались привлечь его к ответственности, он просто пропустил слушание в декабре 2021 года и исчез — перемещаясь по Европе и Южной Америке, пока не оказался на каком-то острове.

Затем случился взлом KyberSwap. Именно здесь, по его словам, Андейан Меджедович стал еще смелее. Он использовал сотни миллионов взятых в долг криптовалют для создания искусственных ценовых условий, а затем эксплуатировал автоматизированные маркет-мейкеры KyberSwap, чтобы вывести почти 49 миллионов долларов. Но он не просто украл и сбежал — он попытался шантажировать разработчиков протокола. Его требование? Полный контроль над компанией, их токеном управления KyberDAO, всеми документами компании и их активами. По сути, он пытался взять весь протокол в заложники.

Министерство юстиции утверждает, что он пытался отмыть все через крипто-миксеров и мостовые протоколы. Говорят, что он даже заплатил агенту под прикрытием 80 000 долларов, чтобы помочь перевести 500 000 долларов через мост, который заблокировал его транзакции.

Что меня поражает, так это то, как этот случай выявляет как технические уязвимости ранних протоколов DeFi, так и то, как человек с реальными навыками может использовать эти знания в злых целях. Меджедович явно хорошо разбирался в AMM и механике смарт-контрактов — он просто решил их эксплуатировать. Тот факт, что он все еще на свободе по состоянию на момент обвинения, просто потрясает. Американские власти координируют свои действия с международными партнерами, включая голландскую полицию, но поймать его, похоже, очень сложно.

Вся эта ситуация — яркое напоминание о том, что безопасность в DeFi — это не только аудиты кода, но и люди, обладающие доступом к этому коду. Дело Андейана Меджедовича показывает, насколько опасно становится, когда кто-то гениальный решает пойти по злому пути.