Acabo de ver que el DOJ desclasificó cargos contra Andean Medjedovic, y honestamente, la historia de este tipo es increíble. Estamos hablando de un hackeo DeFi de 65 millones de dólares repartido en dos protocolos, y la historia detrás es casi tan interesante como el crimen en sí.

Entonces, ¿quién es este personaje Medjedovic? Resulta que no es el típico hacker novato de scripts. El tipo era un verdadero prodigio de las matemáticas. Se graduó de secundaria a los 14 años en Waterloo, Canadá, y luego fue directo a la Universidad de Waterloo a estudiar matemáticas. Para contexto, allí también estuvo Vitalik Buterin antes de abandonar para trabajar en Ethereum. Pero Medjedovic, ¿él? Terminó su pregrado en solo tres años a los 17 y se lanzó inmediatamente a un programa de maestría. Un año después, ya había defendido su tesis y estaba solicitando doctorados. Un profesor de matemáticas de Waterloo le dijo a Bloomberg en 2022 que nunca había visto a otro estudiante completar su grado tan temprano.

Durante sus estudios, Andean Medjedovic desarrolló habilidades serias en programación. Competía regularmente en Code4rena, esa competencia de hacking donde los investigadores de seguridad buscan bugs en contratos inteligentes. Ganó dos premios por encontrar vulnerabilidades. También estaba muy metido en DeFi, especialmente en los creadores de mercado automatizados. En una entrevista, mencionó cómo investigaba cada nuevo producto DeFi que salía y le invertía dinero si le gustaban las mecánicas.

Pero aquí es donde se pone más oscuro. Según personas que lo conocían, Medjedovic tenía problemas sociales reales. Se decía que era condescendiente con las personas que consideraba menos inteligentes y tenía una arrogancia que molestaba a la gente. Más preocupante: aparentemente, se metió en ideologías problemáticas—eugenesia, teorías racistas, contenido antisemita. DL News habló con él en 2023 y dijo que todavía "saborea" esas declaraciones. No es una buena imagen.

Ahora hablemos de los hackeos reales. Octubre de 2021, supuestamente, Andean Medjedovic realizó la primera gran explotación. Apuntó a Indexed Finance usando tokens prestados para manipular el proceso de reindexación del contrato inteligente de la plataforma. La forma en que funcionaba: Indexed Finance añade nuevos tokens a los pools de liquidez mediante un mecanismo de reindexación automatizado. Medjedovic notó una "oportunidad de desajuste de precios" en el código después de leerlo en un foro. Vio que había una forma de saltarse los límites de comercio en el pool.

Pasó meses escribiendo un script para ejecutarlo, y cuando finalmente hizo los cálculos y confirmó que funcionaría, se lanzó. Se llevó 16.5 millones de dólares en tokens de inversores de esos pools de liquidez. Como era de esperar, la dirección cripto que usó durante el hack incluía "1488"—una abreviatura neo-nazi—y su código estaba lleno de insultos raciales. Afirmó que Indexed Finance había sido "sobrecomercializado" y que "el código es ley", pero el juez de la Corte Superior de Canadá no le creyó. El juez Fred Myers emitió una orden para congelar los tokens y otorgó una orden civil de búsqueda y confiscación.

Medjedovic no asistió a su audiencia en la corte el 21 de diciembre de 2021. El juez dijo a los medios que parecía que "el joven acusado se ha escondido". Según DL News, se movió por Europa y Sudamérica antes de aterrizar en alguna isla que no quiso nombrar. Todo ese tiempo, intentaba retirar fondos—usando mezcladores de cripto y abriendo cuentas en exchanges con documentos KYC falsos.

Luego vino KyberSwap. Aquí las cosas se intensificaron. El hackeo de 46 millones de dólares en KyberSwap permaneció sin resolverse por un tiempo, pero la acusación reciente del DOJ finalmente reveló que también estaba detrás de eso. Esta vez, usó cientos de millones en cripto prestado para crear precios artificiales en los pools de liquidez. Explotó los AMMs de KyberSwap con precisión quirúrgica, calculando exactamente cuántos tokens necesitaba para hacer que el sistema fallara y darle acceso a casi 49 millones de dólares en cripto de inversores.

Pero Medjedovic no solo robó y huyó. Supuestamente intentó extorsionar a los desarrolladores del protocolo. ¿Sus demandas? Control total sobre partes críticas de KyberSwap: la propia empresa, autoridad temporal completa sobre KyberDAO (el token de gobernanza), todos los documentos de la empresa y todos los activos de la compañía. Básicamente, quería tomar el control de toda la operación a cambio de devolver los fondos.

Según el DOJ, Medjedovic intentó lavar el dinero a través de mezcladores y protocolos puente. Un puente detectó sus transacciones y las congeló. Luego, supuestamente, intentó pagarle a un agente encubierto del FBI que se hacía pasar por desarrollador de software 80,000 dólares para saltarse las restricciones del protocolo puente y liberar unos 500,000 dólares en cripto robado.

¿Lo más loco? Andean Medjedovic todavía está libre. La acusación del DOJ fue desclasificada a principios de 2024, pero actualmente está prófugo. Ya tenía orden de captura en Canadá por no presentarse a la corte en el caso Indexed Finance, así que tiene atención internacional. Las autoridades estadounidenses trabajan con la policía holandesa y otros socios internacionales para localizarlo.

Lo que me impresiona de todo esto es cómo muestra la intersección entre talento técnico puro y graves defectos de carácter. Medjedovic tenía la capacidad intelectual para detectar vulnerabilidades que nadie más veía, pero aparentemente le faltaban límites éticos. Pasó de ser un investigador de seguridad legítimo en Code4rena a convertirse en uno de los hackers DeFi más buscados en cripto.

Es una historia de advertencia para el espacio. Los protocolos DeFi siguen siendo blanco de ataques porque hay personas lo suficientemente inteligentes para encontrar las exploits. Y a veces esas personas no solo están motivadas por dinero—hay ego, ideología y una total indiferencia por las consecuencias. Hasta que los protocolos mejoren en asegurar sus contratos inteligentes y las fuerzas del orden sean más efectivas en rastrear a estos tipos internacionalmente, probablemente seguiremos viendo casos como este surgir.