نابغه ریاضی یا هکر جنجالی؟ داستان سرقت ۶۵ میلیون دلاری مجدوویچ

آندین مجدوویچ، هکر ۴۸ میلیون دلاری KyberSwap کیست؟

دادستان‌های فدرال ایالات متحده علیه آندین مجدوویچ، هکر دو پروتکل مالی غیرمتمرکز (DeFi) به ارزش ۶۵ میلیون دلار، اعلام جرم کرده‌اند. در ۳ فوریه، وزارت دادگستری (DOJ) کیفرخواستی را منتشر کرد که در آن مجدوویچ به اتهامات متعددی از جمله کلاهبرداری اینترنتی، هک کامپیوتری و اخاذی نافرجام برای سرقت ۶۵ میلیون دلار از پروتکل‌های KyberSwap و Indexed Finance متهم شده بود.

وزارت دادگستری ادعا می‌کند که او از "معاملات فریبکارانه" برای سوءاستفاده از این پروتکل‌ها استفاده کرده و پس از آن، "پیشنهاد تسویه‌حساب جعلی" به KyberSwap ارائه داده است. همچنین ادعا می‌شود که او سعی کرده توکن‌های سرقتی را از طریق یک سرویس ناشناس مخلوط‌کننده رمزنگاری پولشویی کند. در این اعلامیه ذکر شده که مجدوویچ در حال حاضر متواری است.

این هکر در کانادا نیز تحت تعقیب است، جایی که در سال ۲۰۲۱، ظاهراً در احضاریه دادگاه مربوط به هک Indexed Finance حاضر نشد. اما او کیست؟

گفته می‌شود مجدوویچ دانش‌آموزی نابغه بود که در سن ۱۴ سالگی از دبیرستان در واترلو کانادا فارغ‌التحصیل شد و سپس به دنبال تحصیل در رشته ریاضیات در یکی از بهترین مدارس ریاضی کانادا، دانشگاه واترلو (جایی که ویتالیک بوترین، یکی از بنیانگذاران اتریوم نیز دانشجو بود اما ترک تحصیل کرد) رفت. مجدوویچ مدرک کارشناسی خود را در رشته ریاضیات در عرض سه سال و در سن ۱۷ سالگی به پایان رساند و بلافاصله به دنبال مدرک کارشناسی ارشد خود رفت. او در عرض یک سال پایان‌نامه خود را ارائه داد و ظاهراً در حال درخواست برای برنامه‌های دکترا بود.

دیوید جائو، استاد ریاضیات دانشگاه واترلو، در سال ۲۰۲۲ به بلومبرگ گفت: "من نمی‌توانم به هیچ دانشجوی دیگری در زمان حضورم در اینجا فکر کنم که این مدرک را اینقدر زود گرفته باشد." در طول تحصیلاتش، مجدوویچ همچنین مهارت‌های کدنویسی خود را توسعه داد. گفته می‌شود که او به طور منظم در Code4rena، یک مسابقه هک، شرکت می‌کرد و دو جایزه برای یافتن نقص‌های امنیتی در سیستم‌های شرکت‌ها به دست آورد. او همچنین به DeFi، به ویژه بازارسازان خودکار (AMM) علاقه‌مند شد.

مجدوویچ به بلومبرگ گفت: "هر زمان که درباره یک نوع جدید از محصول DeFi می‌شنیدم، به دقت بررسی می‌کردم که چگونه کار می‌کند و اگر ایده خوبی به ذهنم می‌رسید، مقداری پول در آن سرمایه‌گذاری می‌کردم."

گزارش شده که مجدوویچ از نظر اجتماعی مشکلاتی داشت و به دانشجویانی که آنها را کمتر باهوش می‌دانست، با تحقیر رفتار می‌کرد و اعتماد به نفس خود را "تا حد تکبر" نشان می‌داد، به گفته یک همکلاسی ناشناس. او همچنین به اصلاح نژاد و نظریه‌های سیاسی نژادپرستانه و ضدیهودی علاقه‌مند بود. طبق گزارش DL News، که در سال ۲۰۲۳ با مجدوویچ صحبت کرد، او هنوز از چنین اظهاراتی "لذت می‌برد". "او به زنان توهین می‌کرد و اظهارات نژادپرستانه زیادی داشت."

در اکتبر ۲۰۲۱، مجدوویچ ظاهراً از "معاملات فریبکارانه برای سوءاستفاده از دو استخر نقدینگی Indexed Finance در شبکه اتریوم" استفاده کرد، طبق گفته DOJ. او ظاهراً از میلیون‌ها دلار توکن قرضی برای تحریف فرآیند بازبینی قرارداد هوشمند پلتفرم استفاده کرد که از طریق آن توکن‌های جدید به استخرهای نقدینگی اضافه می‌شدند.

به گفته بلومبرگ، مجدوویچ پس از خواندن درباره Indexed Finance در یک انجمن، یک "فرصت اشتباه قیمت‌گذاری" در کد را مشاهده کرد و دید که راهی برای دور زدن محدودیت‌های معاملات در استخر وجود دارد. "در ابتدا، باور نمی‌کردم،" مجدوویچ به بلومبرگ گفت. با این حال، پس از انجام محاسبات چند بار و دیدن اینکه هک ممکن است، او ظاهراً چند ماه بعد را صرف نوشتن یک اسکریپت برای اجرای آن کرد. جزئیات فنی کامل نحوه سوءاستفاده مجدوویچ از پروتکل در یک پرونده دادگاهی موجود است.

در نهایت، او توانست با ۱۶.۵ میلیون دلار توکن سرمایه‌گذاران از استخرهای نقدینگی فرار کند.

طبق گزارش بلومبرگ، آدرس کریپتویی که مجدوویچ در طول هک استفاده کرد، شامل عدد "۱۴۸۸" - یک کد نئونازی - بود و کد او پر از موارد مختلف توهین‌های نژادی بود. او ظاهراً ادعا کرد که Indexed Finance "بیش از حد معامله شده" و "کد قانون است"، اما قاضی دادگاه عالی کانادا، فرد مایرز، مخالف بود. قاضی دستوری برای مسدود کردن توکن‌ها صادر کرد، همراه با یک حکم جستجوی مدنی که به مقامات اجازه می‌داد وسایل و محل اقامت مجدوویچ را بازرسی کنند. مجدوویچ در جلسه دادگاه خود در ۲۱ دسامبر ۲۰۲۱ حاضر نشد. "به نظر می‌رسد که متهم جوان به مخفیگاه رفته است،" مایرز به رکورد منطقه واترلو در ژانویه ۲۰۲۲ گفت. "این به نظر من بدترین نتیجه برای همه درگیران است."

در این میان، مجدوویچ شروع به جستجوی راه‌هایی برای "نقد کردن" کرد، از جمله استفاده از یک مخلوط‌کننده کریپتو و حساب‌های صرافی کریپتو که با مدارک جعلی مشتری خود را بشناسید (KYC) باز شده بودند.

مورد بعدی KyberSwap بود. هویت هکر ۴۶ میلیون دلاری KyberSwap ناشناخته بود تا اینکه DOJ کیفرخواست خود را در ۳ فوریه منتشر کرد و ادعا کرد که مجدوویچ مقصر است. طبق این سند، مجدوویچ از صدها میلیون دلار کریپتو قرضی برای ایجاد قیمت‌های مصنوعی در استخرهای نقدینگی استفاده کرد. سپس او از AMMهای KyberSwap - نقطه علاقه قبلی او در DeFi - سوءاستفاده کرد و با محاسبه تعداد دقیق توکن‌هایی که برای "اشکال" نیاز داشت، توانست نزدیک به ۴۹ میلیون دلار کریپتو سرمایه‌گذاران را به سرقت ببرد.

او همچنین ظاهراً سعی کرد از توسعه‌دهندگان پروتکل اخاذی کند - ادعا کرد که او وجوه سرقتی را در ازای کنترل کامل بر جنبه‌های حیاتی پروتکل، از جمله بازگرداندن. طبق گفته DOJ، مجدوویچ سعی کرد وجوه را از طریق یک مخلوط‌کننده و همچنین با انتقال آنها از طریق چندین پروتکل پل پولشویی کند. یک پروتکل پل متوجه شد و تراکنش‌های او را مسدود کرد. دادستان‌ها ادعا کردند که مجدوویچ موافقت کرد که به یک مامور مخفی، که به عنوان یک توسعه‌دهنده نرم‌افزار ظاهر شده بود، ۸۰,۰۰۰ دلار بپردازد "تا محدودیت‌های پروتکل پل را دور بزند و حدود ۵۰۰,۰۰۰ دلار کریپتو سرقتی را آزاد کند."

با توجه به اینکه مجدوویچ هنوز در حال فرار است، ممکن است مدتی طول بکشد تا او واقعاً اولین روز حضور خود در دادگاه را ببیند، اگر اصلاً این اتفاق بیفتد. اما همانطور که در بیانیه DOJ ذکر شده، مقامات ایالات متحده با همتایان بین‌المللی، از جمله خدمات دادستانی عمومی هلند و واحد جرایم سایبری پلیس ملی هلند در لاهه همکاری می‌کنند.