Acabei de ver que o DOJ desclassificou uma acusação contra Andean Medjedovic, e essa é honestamente uma das histórias mais loucas de hackers de DeFi que já vi. O cara supostamente roubou 65 milhões de dólares em dois protocolos principais - e a história por trás é absolutamente insana.

Então, quem é Andean Medjedovic? Acontece que ele é um prodígio legítimo em matemática. Graduou-se no ensino médio aos 14 anos em Waterloo, Canadá, e depois terminou um curso de matemática na Universidade de Waterloo em três anos, aos 17 anos (mesma escola onde Vitalik Buterin estudou, embora Vitalik tenha abandonado). Um de seus professores disse à Bloomberg que nunca tinha visto alguém se formar tão cedo. O cara era realmente talentoso - participou de competições de hacking do Code4rena, ganhou prêmios por encontrar falhas de segurança, mergulhou fundo em protocolos DeFi.

Mas aqui é onde fica sombrio. Colegas anônimos o descreveram como condescendente e arrogante. Mais preocupante - ele aparentemente tinha sérios problemas com ideologias racistas e anti-semitas. Esse detalhe se torna relevante mais tarde, porque quando Medjedovic realmente executou seus hacks, ele incorporou referências neonazistas e insultos raciais diretamente em seu código. Sim, de verdade.

O hack do Indexed Finance aconteceu em outubro de 2021. Medjedovic percebeu uma vulnerabilidade de precificação incorreta em seus pools de liquidez após ler sobre o protocolo em um fórum. Ele passou meses escrevendo um script, depois usou tokens emprestados para manipular o processo de reindexação do contrato inteligente. Ele saiu com 16,5 milhões de dólares. Quando os tribunais canadenses tentaram responsabilizá-lo, ele simplesmente pulou a audiência em dezembro de 2021 e desapareceu - rodando pela Europa e América do Sul antes de acabar em alguma ilha.

Depois veio o hack do KyberSwap. É aqui que o Andean Medjedovic supostamente ficou ainda mais audacioso. Ele usou centenas de milhões em cripto emprestado para criar condições artificiais de preço, e então explorou os AMMs do KyberSwap para extrair quase 49 milhões de dólares. Mas ele não roubou e fugiu - tentou extorquir os desenvolvedores do protocolo. Sua demanda? Controle total da empresa, seu token de governança KyberDAO, todos os documentos da empresa e seus ativos. Basicamente, tentou manter todo o protocolo como refém.

O DOJ alega que ele tentou lavar tudo através de mixers de criptomoedas e protocolos de ponte. Ele até supostamente pagou a um agente infiltrado 80 mil dólares para ajudar a mover 500 mil dólares através de uma ponte que tinha congelado suas transações.

O que me impressiona é como esse caso expõe tanto as vulnerabilidades técnicas dos protocolos DeFi iniciais quanto como alguém com habilidade genuína pode usar esse conhecimento como arma. Medjedovic claramente entendia profundamente de AMMs e mecânica de contratos inteligentes - ele simplesmente escolheu explorá-los. O fato de ele ainda estar foragido até a acusação é algo fora do comum. As autoridades americanas estão coordenando com parceiros internacionais, incluindo a polícia holandesa, mas pegá-lo está se mostrando difícil.

Toda essa situação é um lembrete claro de que a segurança do DeFi não é só sobre auditorias de código - também depende das pessoas que têm acesso a esse código. O caso de Andean Medjedovic mostra o quão perigoso fica quando alguém brilhante decide agir por conta própria.