Щойно я побачив, що Міністерство юстиції розсекретило звинувачення проти Андейана Меджедовича, і чесно кажучи, історія цього хлопця неймовірна. Ми говоримо про злом DeFi на 65 мільйонів доларів, розподілений між двома протоколами, і передісторія майже така сама цікава, як і сама злочинна дія.

Тож хто цей персонаж Меджедович? Виявляється, він не типовий хакер-скрипт Kiddie. Цей хлопець був справжнім математичним вундеркіндом. Закінчив школу у 14 років у Ватерлоо, Канада, потім одразу вступив до Університету Ватерлоо на факультет математики. Для контексту, саме там Віталік Бутерін теж навчався, поки не кинув навчання, щоб працювати над Ethereum. Але Меджедович? Він закінчив бакалаврат всього за три роки у 17 років і одразу почав магістратуру. Через рік він уже захистив дисертацію і подавався на кандидатські. Проректор з математики у Ватерлоо сказав Bloomberg у 2022 році, що він ніколи не бачив іншого студента, який так рано закінчив університет.

Під час навчання Андейан Меджедович розвинув серйозні навички програмування. Він регулярно брав участь у Code4rena — змаганні з хакінгу, де дослідники безпеки шукають баги у смарт-контрактах. Він отримав дві нагороди за виявлення вразливостей. Також він був глибоко занурений у DeFi, особливо автоматизовані маркет-мейкери. В інтерв’ю він згадав, що досліджував кожен новий продукт у DeFi і кидав у нього гроші, якщо йому подобалась механіка.

Але тут стає темніше. За словами тих, хто його знав, Меджедович мав серйозні соціальні проблеми. Його нібито зверхньо ставився до людей, яких вважав менш розумними, і мав цю зарозумілість, яка дратувала оточуючих. Більш тривожно: він, за повідомленнями, займався серйозно проблематичною ідеологією — евгенікою, расистськими теоріями, антисемітським контентом. DL News спілкувався з ним у 2023 році і сказав, що він досі «насолоджується» цими заявами. Це не дуже хороший вигляд.

Тепер поговоримо про самі зломи. У жовтні 2021 року, за повідомленнями, Андейан Меджедович здійснив перший великий експлойт. Він націлився на Indexed Finance, використовуючи позичені токени для маніпуляцій з процесом реіндексування смарт-контракту платформи. Як це працювало: Indexed Finance додає нові токени до пулів ліквідності через автоматизований механізм реіндексування. Меджедович помітив «можливість неправильного ціноутворення» у коді після читання про це на форумі. Він побачив спосіб обійти обмеження на торгівлю у пулі.

Він витратив місяці, пишучи скрипт для його виконання, і коли нарешті підрахував, що це спрацює, пішов у справу. Віджав $16,5 мільйонів у токенах інвесторів із тих пулів ліквідності. Вірний собі, криптоадреса, яку він використовував під час злома, містила «1488» — неонацистський скорочення — і його код був наповнений расистськими образами. Він стверджував, що Indexed Finance був «перекуплений» і цитував «код — це закон», але суддя Верховного суду Канади Фред Майєрс не повірив. Він видав наказ заморозити токени і видав цивільний ордер на обшук і конфіскацію.

Меджедович пропустив судове засідання 21 грудня 2021 року. Суддя повідомив ЗМІ, що, здається, «молодий відповідач зник». За даними DL News, він блукав Європою та Південною Америкою, перш ніж опинитися на якомусь острові, який він не назвав. Весь цей час він намагався вивести гроші — використовуючи крипто-міксери і відкриваючи облікові записи на біржах із фальшивими KYC-документами.

Потім настала справа KyberSwap. Тут ситуація загострилася. Злом на $46 мільйонів у KyberSwap залишався нерозкритим деякий час, але нещодавня індичмент від DOJ нарешті розкрила, що за цим стояв саме Андейан Меджедович. Цього разу він використав сотні мільйонів позиченого крипто, щоб створити штучні ціни у пулів ліквідності. Він експлуатував AMM KyberSwap із хірургічною точністю, точно розраховуючи, скільки токенів потрібно, щоб зламати систему і отримати доступ до майже $49 мільйонів у криптоінвестиціях.

Але Меджедович не просто вкрав і зник. За повідомленнями, він намагався шантажувати розробників протоколу. Його вимоги? Повний контроль над критичними частинами KyberSwap: компанією, повноваженням тимчасового керування KyberDAO (господарським токеном), усіма документами компанії та всіма активами. Власне, він хотів захопити всю операцію в обмін на повернення коштів.

За даними DOJ, Меджедович намагався відмити гроші через міксери і мостові протоколи. Один із мостів виявив його транзакції і заморозив їх. Потім він нібито намагався заплатити під прикриттям агента ФБР, що видавав себе за розробника програмного забезпечення, $80 000, щоб обійти обмеження мостового протоколу і випустити близько $500 000 вкраденого крипто.

Що дивно? Андейан Меджедович досі на свободі. Індичмент DOJ був розсекречений на початку 2024 року, але він досі у розшуку. Його вже оголосили у розшук у Канаді за несплату суду у справі Indexed Finance, тож на нього міжнародний пресинг. США співпрацюють із голландською поліцією та іншими міжнародними партнерами, щоб його знайти.

Що мене вразило у цій історії — це те, як вона показує перехрестя між технічним генієм і серйозними характерними недоліками. Меджедович мав інтелектуальну силу виявляти вразливості, яких ніхто інший не помічав, але, очевидно, йому бракувало етичних орієнтирів. Він перетворився з легітимного дослідника безпеки у Code4rena на одного з найбільш розшукуваних хакерів у DeFi.

Це попереджувальна історія для галузі. Протоколи DeFi все ще піддаються атакам, бо є люди достатньо розумні, щоб знаходити експлойти. І іноді ці люди мотивовані не лише грошима — є его, ідеологія і повна зневага до наслідків. Поки протоколи не покращать захист своїх смарт-контрактів і правоохоронні органи не стануть краще відслідковувати таких злочинців на міжнародному рівні, ми й надалі будемо бачити подібні випадки.