我刚刚看到司法部解封了针对安第斯·梅杰多维奇（Andean Medjedovic）的起诉书，说实话，这是我见过的最离谱的 DeFi 黑客故事之一。据称，这家伙在两个主要协议中总共盗取了 $65 million（6500 万美元）——而背后的来龙去脉简直令人难以置信。

那安第斯·梅杰多维奇到底是谁？事实证明，他是一个名副其实的数学天才。他在加拿大滑铁卢（Waterloo）14 岁就高中毕业，随后又在滑铁卢大学用 3 年时间完成了数学学位，并于 17 岁时毕业（同一所学校，Vitalik Buterin 也曾就读，只是 Vitalik 后来退学）。他的其中一位教授告诉彭博社（Bloomberg），他从未见过有人能这么早毕业。这家伙确实非常有天赋——他参加 Code4rena 黑客竞赛，凭借发现安全漏洞获奖，并深入钻研 DeFi 协议。

不过，接下来就开始变得阴暗了。匿名同学形容他傲慢、盛气凌人。更令人担忧的是——据称他在种族主义与反犹太主义理念上存在严重问题。这个细节后来会变得很关键，因为当梅杰多维奇真正实施他的攻击时，他把新纳粹（Neo-Nazi）的暗示以及带有种族歧视的辱骂词直接嵌进了代码里。是的，真的。

Indexed Finance 的黑客事件发生在 2021 年 10 月。梅杰多维奇在一个论坛上阅读了该协议的相关内容后，注意到他们的流动性池存在定价错误（mispricing）漏洞。他花了数月时间编写脚本，然后使用借来的代币操纵他们智能合约的重新索引（reindexing）流程。他就此带走了 $16.5 million（1650 万美元）。当加拿大法院试图追究他的责任时，他在 2021 年 12 月干脆缺席了庭审并消失了——在欧洲和南美洲之间辗转，最终落脚到某个岛上。

随后是 KyberSwap 的黑客事件。这里据称安第斯·梅杰多维奇变得更加大胆。他动用了数以亿计的借入加密货币，制造出人为的价格条件，然后利用 KyberSwap 的 AMMs（自动做市商）提取了将近 $49 million（4900 万美元）。但他并不只是偷完就跑——他还试图勒索协议开发者。他的要求是什么？完全控制公司、他们的治理代币 KyberDAO、所有公司文件，以及他们的资产。基本上就是想把整个协议当作人质来要挟。

司法部（DOJ）指控他试图通过加密货币混币器（crypto mixers）以及桥接（bridge）协议把一切洗干净。据称，他甚至还向一名卧底特工支付了 $80,000（8 万美元），以协助他把 $500,000（50 万美元）通过一座冻结了他交易的桥转移出去。

让我感到震撼的是，这个案件一方面揭露了早期 DeFi 协议中的技术漏洞，另一方面也展示了一个具备真实能力的人如何把这些知识武器化。梅杰多维奇显然对 AMMs 和智能合约机制理解得非常深刻——他只是选择用来进行利用。更离谱的是：截至起诉书发布时，他仍然在逃。美国当局（US authorities）正在与国际伙伴（包括荷兰执法机构（Dutch law enforcement））协同，但抓到他似乎异常困难。

整个局势也对 DeFi 安全发出了一记冷酷的提醒：DeFi 安全不仅仅是代码审计——更关乎那些能够接触到这段代码的人。安第斯·梅杰多维奇的案件说明，当一个聪明人决定走上歪路时，危险会有多么巨大。