Andean Medjedovic, 22 tuổi, quốc tịch Canada, đang bị truy nã vì cáo buộc tấn công hai dự án tài chính phi tập trung (DeFi) gồm KyberSwap và Indexed Finance, chiếm đoạt tổng cộng 65 triệu USD, trong đó 48,4 triệu USD đến từ KyberSwap. Vụ việc thu hút chú ý không chỉ bởi quy mô thiệt hại, mà còn vì lý lịch “thần đồng toán học” của hacker trẻ này.
Tài năng bộc lộ từ sớm
Sinh ra tại Waterloo (Canada), Medjedovic nhanh chóng thể hiện năng khiếu vượt trội về toán. Ngay từ bậc tiểu học, anh ta thường đạt điểm tuyệt đối trong các bài kiểm tra. Năm 14 tuổi, Medjedovic tốt nghiệp trung học và bước chân vào khoa toán Đại học Waterloo – nơi mà Vitalik Buterin (đồng sáng lập Ethereum) từng theo học.
Chỉ ba năm sau, người này hoàn thành chương trình đại học ở tuổi 17 và tiếp tục lấy bằng thạc sĩ toán trong vòng một năm. Giới bạn bè đại học gọi Medjedovic là “nhà toán học đáng nể”, dù kèm theo nhận xét anh ta có tính cách “tự tin đến kiêu ngạo”.
Bên cạnh khả năng toán, Medjedovic cũng nổi bật trong lĩnh vực lập trình. Anh ta tham gia các cuộc thi Code4rena, từng nhận giải vì tìm ra lỗ hổng bảo mật. Thời gian học tập tại Waterloo cho phép Medjedovic hiểu sâu về các mô hình tài chính phi tập trung. Người này đặc biệt chú ý đến lĩnh vực AMM (Automated Market Maker), thường nghiên cứu hợp đồng thông minh (smart contract) của dự án DeFi mới để tìm cơ hội đầu tư – hoặc khai thác lỗ hổng.
Sự kiện nổi cộm đầu tiên gắn với tên tuổi của Medjedovic là vụ tấn công Indexed Finance (2021). Theo cáo buộc, hacker đã dùng giao dịch thao túng để lấy 16,5 triệu USD token khỏi hai nhóm thanh khoản của Indexed. Mặc dù bị cảnh sát Canada truy nã từ đó, Medjedovic vẫn lẩn trốn, chuyển qua Nam Mỹ, châu Âu và cả “một hòn đảo bí mật” như tự thuật.
Vụ tấn công KyberSwap
Mức độ nghiêm trọng hơn nằm ở vụ hack KyberSwap – dự án blockchain Việt Nam – vào cuối 2023. Bộ Tư pháp Mỹ (DOJ) cho biết Medjedovic đã lợi dụng lỗ hổng làm tròn toán học trong hợp đồng thông minh, thực hiện 77 giao dịch chứa lỗi để rút đi 48,4 triệu USD. Hacker trẻ tiếp tục đưa số tiền đánh cắp lên một số sàn giao dịch, dùng “máy trộn” (mixer) nhằm xóa dấu vết.
So với Indexed Finance, lần này phương thức tấn công tinh vi hơn và không công khai danh tính ngay. Phải đến ngày 3/2/2024, DOJ mới chính thức nêu tên Medjedovic là kẻ đứng sau vụ.
Nhà chức trách Mỹ và Canada khẳng định đang hợp tác với nhiều cơ quan quốc tế để truy bắt. Trong một trao đổi qua Telegram năm 2023 với DL News, Medjedovic thừa nhận cuộc sống kẻ chạy trốn hơn một năm qua khiến bản thân mệt mỏi, song vẫn tạm hài lòng. Hắn tuyên bố “đã chuyển sang làm hacker mũ trắng”, nộp phát hiện lỗ hổng cho các nền tảng như Immunefi, nhằm hỗ trợ bảo mật cho nhiều dự án blockchain khác.
Trong khi đó, KyberSwap đã phải bù đắp thiệt hại cho người dùng, còn Kyber Network – tổ chức đứng sau – cũng cắt giảm nhân sự, dừng một số mảng hoạt động. Vụ hack do Medjedovic thực hiện trên được cộng đồng DeFi coi là hồi chuông cảnh báo về tính phức tạp của hợp đồng thông minh, cho thấy ngay cả những sai sót tưởng chừng nhỏ (như lỗi làm tròn) cũng có thể dẫn đến sự cố mất hàng chục triệu USD.
