Щойно я побачив, що Міністерство юстиції розсекретило обвинувачення проти Андейана Меджедовича, і це чесно одна з найжахливіших історій хакерів DeFi, з якими я стикнувся. Чоловік нібито вкрав 65 мільйонів доларів у двох великих протоколах — і передісторія абсолютно неймовірна.

Тож хто такий Андейан Меджедович? Виявляється, він справжній математичний вундеркінд. Закінчив школу у 14 років у Ватерлоо, Канада, потім за три роки отримав ступінь з математики в Університеті Ватерлоо у 17 років (той самий університет, де навчався Віталік Бутерін, хоча Віталік кинув навчання). Один із його професорів сказав Bloomberg, що він ніколи не бачив когось, хто закінчив так рано. Чоловік був справжнім талантом — брав участь у хакерських змаганнях Code4rena, отримував нагороди за виявлення вразливостей у безпеці, глибоко вивчав протоколи DeFi.

Але тут стає темно. Анонімні однокласники описували його як зверхнього та зарозумілого. Більш тривожно — у нього, судячи з усього, були серйозні проблеми з расистськими та антисемітськими ідеологіями. Ця деталь стає важливою пізніше, бо коли Меджедович справді здійснив свої хакі, він вставляв у свій код посилання на неонацистські символи та расистські образи. Так, справді.

Злом Indexed Finance стався у жовтні 2021 року. Меджедович помітив вразливість у ціноутворенні їхніх пулів ліквідності після того, як прочитав про протокол на форумі. Він провів місяці, пишучи скрипт, потім використав позичені токени для маніпуляції процесом реіндексування їхнього смарт-контракту. Він пішов із 16,5 мільйонами доларів. Коли канадські суди намагалися притягти його до відповідальності, він просто пропустив судове засідання у грудні 2021 року і зник — мандрував Європою та Південною Америкою, поки не опинився на якомусь острові.

Потім стався злом KyberSwap. Тут, за словами, Андейан Меджедович, став ще сміливішим. Він використав сотні мільйонів у позиченій крипті для створення штучних цінових умов, а потім експлуатував автоматичні маркет-мейкери KyberSwap, щоб витягти майже 49 мільйонів доларів. Але він не просто вкрав і зник — він намагався шантажувати розробників протоколу. Його вимога? Повний контроль над компанією, їхнім токеном управління KyberDAO, всіма документами компанії та їхніми активами. В основному — тримати весь протокол у заручниках.

Міністерство юстиції стверджує, що він намагався відмити все через криптовалютні міксери та мостові протоколи. Він навіть нібито заплатив під прикриттям агенту 80 000 доларів, щоб допомогти перемістити 500 000 доларів через міст, який заблокував його транзакції.

Що мене вражає, так це те, як ця справа відкриває як технічні вразливості ранніх протоколів DeFi, так і те, як хтось із справжніми навичками може озброїти цими знаннями. Меджедович явно глибоко розумів механіку AMM та смарт-контрактів — він просто обрав їх використати. Той факт, що він досі на волі станом на час пред’явлення обвинувачення, — неймовірно. США співпрацюють із міжнародними партнерами, включаючи нідерландську поліцію, але його затримка, очевидно, ускладнюється.

Ця ситуація — яскраве нагадування, що безпека DeFi — це не лише аудит коду, а й люди, які мають доступ до цього коду. Випадок Андейана Меджедовича показує, наскільки небезпечно стає, коли хтось геніальний вирішує піти на злочин.