Vừa mới thấy DOJ công bố cáo trạng chống lại Andean Medjedovic, và đây thực sự là một trong những câu chuyện hacker DeFi điên rồ nhất mà tôi từng gặp. Gã ta bị cáo buộc đã trộm 65 triệu đô la qua hai giao thức lớn - và câu chuyện phía sau thì hoàn toàn điên rồ.

Vậy Andean Medjedovic là ai? Hóa ra anh ta là một thiên tài toán học thực thụ. Tốt nghiệp trung học khi mới 14 tuổi ở Waterloo, Canada, rồi hoàn thành bằng cử nhân toán tại Đại học Waterloo trong vòng ba năm khi mới 17 tuổi (cũng là trường mà Vitalik Buterin từng học, mặc dù Vitalik bỏ học). Một giáo sư của anh nói với Bloomberg rằng ông chưa từng thấy ai tốt nghiệp sớm như vậy. Gã thực sự có tài năng - tham gia các cuộc thi hack Code4rena, đoạt giải vì phát hiện lỗ hổng bảo mật, nghiên cứu sâu các giao thức DeFi.

Nhưng đây là phần tối tăm. Các bạn cùng lớp ẩn danh mô tả anh ta là người coi thường và kiêu ngạo. Điều đáng lo hơn - anh ta dường như có vấn đề nghiêm trọng với các ý tưởng phân biệt chủng tộc và bài Do Thái. Chi tiết này trở nên quan trọng sau này vì khi Medjedovic thực hiện các vụ hack của mình, anh ta đã nhúng các tham chiếu phát xít mới và lời lẽ phân biệt chủng tộc trực tiếp vào mã của mình. Ừ, thật sự đấy.

Vụ hack Indexed Finance xảy ra vào tháng 10 năm 2021. Medjedovic nhận thấy một lỗ hổng định giá sai trong các pool thanh khoản của họ sau khi đọc về giao thức này trên một diễn đàn. Anh ta dành hàng tháng viết một script, rồi dùng token vay mượn để thao túng quá trình reindexing của hợp đồng thông minh. Anh ta bỏ đi với 16,5 triệu đô la. Khi các tòa án Canada cố gắng bắt giữ anh ta, anh ta chỉ bỏ qua phiên tòa vào tháng 12 năm 2021 và biến mất - lẩn trốn khắp châu Âu và Nam Mỹ trước khi cuối cùng đến một hòn đảo nào đó.

Sau đó là vụ hack KyberSwap. Đây là nơi Andean Medjedovic bị cáo buộc còn liều lĩnh hơn. Anh ta dùng hàng trăm triệu crypto vay mượn để tạo ra các điều kiện giá nhân tạo, rồi khai thác các AMM của KyberSwap để rút gần 49 triệu đô la. Nhưng anh ta không chỉ trộm cắp rồi bỏ chạy - anh ta còn cố gắng tống tiền các nhà phát triển giao thức. Yêu cầu của anh ta? Toàn quyền kiểm soát công ty, token quản trị KyberDAO, tất cả tài liệu công ty và tài sản của họ. Cơ bản là cố giữ toàn bộ giao thức như con tin.

DOJ cáo buộc anh ta đã cố gắng rửa tiền qua các dịch vụ trộn crypto và các giao thức cầu nối. Thậm chí còn bị cáo buộc đã trả 80.000 đô la cho một đặc vụ bí mật để giúp chuyển 500.000 đô la qua một cầu nối đã bị đóng băng các giao dịch của anh ta.

Điều khiến tôi ấn tượng là cách vụ án này phơi bày cả những lỗ hổng kỹ thuật trong các giao thức DeFi sơ khai và cách một người có kỹ năng thực sự có thể biến kiến thức đó thành vũ khí. Medjedovic rõ ràng hiểu rõ cơ chế của AMMs và hợp đồng thông minh - anh ta chỉ chọn cách khai thác chúng. Thật điên rồ khi anh ta vẫn còn tự do tính đến thời điểm cáo trạng được công bố. Các cơ quan Mỹ đang phối hợp với các đối tác quốc tế, bao gồm cả cảnh sát Hà Lan, nhưng việc bắt giữ anh ta rõ ràng là rất khó khăn.

Toàn bộ tình huống này là một lời nhắc nhở rõ ràng rằng an ninh DeFi không chỉ đơn thuần là kiểm tra mã nguồn - mà còn là về những người có quyền truy cập vào mã đó. Vụ án Andean Medjedovic cho thấy mức độ nguy hiểm khi một người tài giỏi quyết định đi theo con đường riêng.