刚刚看到美国司法部（DOJ）公布了针对安第斯·梅杰多维奇（Andean Medjedovic）的起诉，这名黑客正是那些大规模DeFi漏洞的幕后推手。这家伙一共窃取了6500万美元——2021年从Indexed Finance偷走了1650万美元，随后又攻击KyberSwap，损失约4600万美元。说真的，故事也太离谱了。

那么，这个人到底是谁？梅杰多维奇14岁时就从加拿大滑铁卢（Waterloo）的高中毕业，之后又在滑铁卢大学（University of Waterloo）用3年时间完成了数学学位，17岁就毕业了。作为背景，Vitalik Buterin也曾在那学习，但后来中途退学。滑铁卢的一名数学教授甚至告诉彭博社（Bloomberg），他从未见过有人能这么早完成该学位。很显然，这个人在数字方面极其聪明。

但接下来就更黑暗了。梅杰多维奇展现出很强的编码能力，在Code4rena黑客大赛中获奖，并且对DeFi上了瘾——尤其是AMM（自动做市商）这类机制。他会研究新的协议，然后往里面砸钱。问题在于，同学们形容他态度高高在上、傲慢自大，而且他似乎还持有一些相当令人不安的观点。据报道，他涉猎过种族主义和反犹太主义思想。有人指出，当他攻击Indexed Finance时，他的钱包地址里居然就包含了新纳粹（Neo-Nazi）的影射内容，而他的代码中也充斥着带有种族歧视的侮辱性用语。

不过，2021年10月Indexed Finance的黑客事件在技术层面确实很巧妙。梅杰多维奇发现了他们智能合约重索引逻辑中存在的定价错误机会。他借用了数百万代币来扭曲它们的流动性池，并利用这个漏洞盗走了1650万美元。黑客事件之后，他在2021年12月跳过了在加拿大的法庭听证，随后就销声匿迹——辗转欧洲和南美。

接下来是KyberSwap。DOJ称，梅杰多维奇动用了数亿美元的借入加密货币来制造虚假的价格，然后又利用KyberSwap的AMM体系进行掠夺，窃取了近4900万美元。之后，他据称还试图勒索该协议的开发者，要求对方完全控制公司、治理代币、所有文件以及公司资产——以换取归还资金。这个操作相当大胆。

他试图通过混币器（mixers）和桥接协议进行洗钱，但有一条桥接被识别并冻结了他的交易。根据检方说法，他甚至向一名卧底特工出价80,000美元，帮助他绕过限制并获取价值500,000美元的被盗加密货币。

截至目前，梅杰多维奇仍然在逃。美国正在与包括荷兰执法部门在内的国际当局合作。这也提醒我们：技术上的高超能力并不必然等同于良好的判断力，而这也是为什么对DeFi协议进行安全审计如此重要。