Щойно я побачив, що Міністерство юстиції розсекретило звинувачення проти Андейна Меджедовича, хакера, відповідального за ті масштабні зломи у DeFi. Ця людина викрала в цілому 65 мільйонів доларів — 16,5 мільйонів від Indexed Finance у 2021 році, а потім атакувала KyberSwap на близько 46 мільйонів доларів. Дійсно дивовижна історія.

Тож хто ця особа? Меджедович закінчив школу у 14 років у Ватерлоо, Канада, потім за три роки отримав ступінь з математики в Університеті Ватерлоо до 17 років. Для порівняння, Віталік Бутерін також навчався там, але кинув навчання. Прямо в Bloomberg повідомили, що викладач математики з Ватерлоо ніколи не бачив, щоб хтось закінчив цю ступінь так рано. Ця людина явно була генієм у числах.

Але тут стає темніше. Меджедович розвинув серйозні навички програмування, отримував нагороди на хакерських змаганнях Code4rena і став одержимий DeFi — зокрема AMM. Він вивчав нові протоколи і вкладав у них гроші. Проблема була в тому, що однокласники описували його як зверхнього і зарозумілого, і, за повідомленнями, він мав дуже тривожні погляди. Згідно з доповідями, він займався расистською та антисемітською ідеологією. Коли він зламав Indexed Finance, його адреса гаманця буквально містила неонацистські посилання, а його код був наповнений расовими образами.

Злом Indexed Finance у жовтні 2021 року був технічно досить хитрим. Меджедович помітив можливість неправильної оцінки у логіці ребалансування їхнього смарт-контракту. Він позичив мільйони токенів, щоб спотворити їхні пулі ліквідності, і використав цю помилку, щоб викрасти 16,5 мільйонів доларів. Після зламу він пропустив судове засідання у Канаді в грудні 2021 року і зник — мандрував Європою та Південною Америкою.

Потім настала черга KyberSwap. Міністерство юстиції стверджує, що Меджедович використовував сотні мільйонів у позиченій криптовалюті для створення штучних цін, а потім експлуатував систему AMM KyberSwap, щоб викрасти майже 49 мільйонів доларів. Після цього він нібито намагався шантажувати розробників протоколу, вимагаючи повного контролю над компанією, їхнім токеном управління, всіма документами та активами компанії в обмін на повернення коштів. Досить сміливий хід.

Він намагався відмивати гроші через міксери та мостові протоколи, але один із мостів виявив підозру і заблокував його транзакції. За словами прокурорів, він навіть пропонував під прикриттям агенту 80 000 доларів, щоб допомогти йому обійти обмеження і отримати 500 000 доларів украденої криптовалюти.

На даний момент Меджедович досі на волі. США співпрацюють з міжнародними органами, включаючи нідерландську поліцію. Це нагадування про те, що технічна геніальність не автоматично означає гарний розсуд, і чому так важливі аудити безпеки у протоколах DeFi.