Vừa mới thấy DOJ công bố các cáo buộc chưa được mở khóa chống lại Andean Medjedovic, và thành thật mà nói, câu chuyện của tên này thật điên rồ. Chúng ta đang nói về một vụ hack DeFi trị giá 65 triệu đô la lan rộng qua hai giao thức, và câu chuyện phía sau còn hấp dẫn hơn cả tội phạm.

Vậy nhân vật Medjedovic này là ai? Hóa ra anh ta không phải hacker kiểu script-kiddie điển hình. Người này là một thiên tài toán học thực thụ. Tốt nghiệp trung học khi mới 14 tuổi ở Waterloo, Canada, rồi vào thẳng Đại học Waterloo để học toán. Để tham khảo, đó cũng là nơi Vitalik Buterin từng theo học trước khi bỏ học để làm Ethereum. Nhưng Medjedovic? Anh ta hoàn thành bằng cử nhân chỉ trong ba năm ở tuổi 17 và ngay lập tức bắt đầu chương trình thạc sĩ. Một năm sau, anh ta đã bảo vệ luận án và đang nộp đơn xin tiến sĩ. Một giáo sư toán tại Waterloo nói với Bloomberg năm 2022 rằng ông chưa từng thấy sinh viên nào hoàn thành bằng sớm như vậy.

Trong thời gian học, Andean Medjedovic phát triển kỹ năng lập trình đáng kể. Anh thường xuyên thi đấu trong Code4rena, cuộc thi hack nơi các nhà nghiên cứu bảo mật săn lùng lỗi trong hợp đồng thông minh. Anh đã giành hai giải thưởng vì phát hiện lỗ hổng. Anh cũng rất đam mê DeFi, đặc biệt là các automated market maker. Trong một cuộc phỏng vấn, anh nói rằng anh thường nghiên cứu mọi sản phẩm DeFi mới ra và bỏ tiền vào nếu thích cơ chế hoạt động của nó.

Nhưng câu chuyện trở nên tối hơn. Theo những người biết anh, Medjedovic có vấn đề xã hội thực sự. Anh ta được cho là coi thường những người ít thông minh hơn và có thái độ tự cao khiến người khác khó chịu. Điều đáng lo hơn: anh ta dường như đã dính dáng đến một số tư tưởng cực đoan—chủ nghĩa eugenics, lý thuyết phân biệt chủng tộc, nội dung chống Semitic. DL News đã phỏng vấn anh ta năm 2023 và nói rằng anh vẫn "thích thú" với những phát ngôn đó. Không phải là hình ảnh tốt.

Bây giờ hãy nói về các vụ hack thực sự. Tháng 10 năm 2021, Andean Medjedovic bị cáo buộc thực hiện vụ khai thác lớn đầu tiên. Anh nhắm vào Indexed Finance bằng cách sử dụng token vay mượn để thao túng quá trình reindexing hợp đồng thông minh của nền tảng này. Cách hoạt động: Indexed Finance thêm token mới vào các pool thanh khoản qua cơ chế reindex tự động. Medjedovic nhận thấy một "cơ hội định giá sai" trong mã sau khi đọc về nó trên một diễn đàn. Anh thấy có thể bỏ qua giới hạn giao dịch trong pool.

Anh đã dành nhiều tháng viết script để thực thi, và khi đã tính toán kỹ lưỡng và xác nhận được khả năng thành công, anh ta thực hiện. Anh rút về 16,5 triệu đô la token của nhà đầu tư từ các pool thanh khoản đó. Đúng như dự đoán, địa chỉ crypto anh dùng trong vụ hack có chứa "1488"—viết tắt của Neo-Nazi—và mã code của anh đầy những lời lăng mạ chủng tộc. Anh ta tuyên bố Indexed Finance đã bị "giao dịch quá mức" và trích dẫn "mã là luật," nhưng thẩm phán Tòa án Tối cao Canada, Fred Myers, không tin điều đó. Ông đã ra lệnh phong tỏa các token và cấp lệnh tìm kiếm và tịch thu dân sự.

Medjedovic bỏ qua phiên tòa ngày 21 tháng 12 năm 2021. Thẩm phán nói với truyền thông rằng có vẻ như "bị cáo trẻ đã biến mất." Theo DL News, anh ta đã lẩn trốn qua châu Âu và Nam Mỹ trước khi đến một hòn đảo nào đó mà anh ta không tiết lộ tên. Suốt thời gian đó, anh ta cố gắng rút tiền—dùng các dịch vụ trộn crypto và mở tài khoản giao dịch với giấy tờ KYC giả.

Sau đó là KyberSwap. Đây là nơi mọi chuyện leo thang. Vụ hack KyberSwap trị giá 46 triệu đô la bị bỏ ngỏ trong một thời gian, nhưng cáo trạng mới của DOJ cuối cùng đã tiết lộ rằng Andean Medjedovic chính là thủ phạm. Lần này, anh ta dùng hàng trăm triệu đô la crypto vay mượn để tạo ra giá nhân tạo trong các pool thanh khoản. Anh khai thác các AMM của KyberSwap một cách chính xác, tính toán chính xác số token cần để làm hệ thống bị lỗi và cho phép anh truy cập gần 49 triệu đô la crypto của nhà đầu tư.

Nhưng Medjedovic không chỉ trộm cắp rồi bỏ chạy. Anh ta bị cáo buộc đã cố gắng tống tiền các nhà phát triển giao thức. Yêu cầu của anh ta? Toàn quyền kiểm soát các phần quan trọng của KyberSwap: chính công ty, quyền tạm thời đầy đủ đối với KyberDAO (token quản trị), tất cả tài liệu công ty và tất cả tài sản của công ty. Nói cách khác, anh ta muốn kiểm soát toàn bộ hoạt động để đổi lấy việc trả lại số tiền.

Theo DOJ, Medjedovic đã cố gắng rửa tiền qua các dịch vụ trộn và các giao thức cầu nối. Một cầu nối bị phát hiện và đóng băng các giao dịch của anh ta. Sau đó, anh ta bị cáo buộc đã cố gắng trả 80.000 đô la cho một đặc vụ FBI giả làm nhà phát triển phần mềm để vượt qua hạn chế của cầu nối và giải phóng khoảng 500.000 đô la crypto bị đánh cắp.

Điều kỳ lạ là? Andean Medjedovic vẫn còn lẩn trốn. Cáo trạng của DOJ được mở vào đầu năm 2024, nhưng anh ta hiện vẫn đang lẩn trốn. Anh ta đã bị truy nã ở Canada vì không xuất hiện tại tòa trong vụ Indexed Finance, nên đang bị quốc tế truy đuổi. Các cơ quan pháp luật Mỹ đang phối hợp với cảnh sát Hà Lan và các đối tác quốc tế khác để truy tìm tung tích.

Điều khiến tôi ấn tượng về toàn bộ câu chuyện này là nó cho thấy sự giao thoa giữa tài năng kỹ thuật thuần thục và những thiếu sót về nhân cách nghiêm trọng. Medjedovic có khả năng phát hiện ra các lỗ hổng mà người khác không thấy, nhưng rõ ràng anh ta thiếu các giới hạn đạo đức. Từ một nhà nghiên cứu bảo mật hợp pháp trong Code4rena, anh ta đã trở thành một trong những hacker DeFi bị truy nã gắt gao nhất trong crypto.

Đây là một câu chuyện cảnh tỉnh cho ngành. Các giao thức DeFi vẫn thường xuyên bị tấn công vì có người đủ thông minh để tìm ra các lỗ hổng. Và đôi khi, những người đó không chỉ vì tiền—có thể còn vì cái tôi, ý thức hệ, và sự coi thường hậu quả. Cho đến khi các giao thức cải thiện bảo vệ hợp đồng thông minh của mình và pháp luật quốc tế làm tốt hơn trong việc truy bắt những tên này, chúng ta có thể sẽ còn thấy nhiều vụ như thế này xảy ra.