"El valor predeterminado será: '¿Quién hizo esto y por qué son los desarrolladores?'", Dice Laurence Day.
El 14 de octubre, en una casa cerca de Leeds, Inglaterra, Laurence Day estaba sentada a una cena de pescado y papas fritas en su sofá cuando su teléfono zumbó.El texto fue de un colega que trabajó con él en finanzas indexadas, una plataforma de criptomonedas que crea tokens que representan canastas de otras fichas, como un fondo índice, pero en la cadena de bloques.
El colega había enviado una captura de pantalla que muestra un intercambio reciente, seguido de un signo de interrogación."Si no supieras lo que estabas mirando, podrías decir:" Comercio agradable ", dice Day.Pero él sabía lo suficiente como para alarmarse: un usuario había comprado ciertos tokens con valores drásticamente desinflados, lo que no debería haber sido posible.Algo estaba muy mal.
El día subió, derramó su comida en el piso y corrió a su habitación para llamar a Dillon Kellar, cofundador de indexado.Kellar estaba sentado en la sala de estar de su madre a seis zonas horarias cerca de Austin, desmontando a un jugador de DVD para poder salvar a uno de sus láseres.Levantó el teléfono para escuchar un día sin aliento explicando que la plataforma había sido atacada."Todo lo que dije fue:" ¿Qué? ""Kellar recuerda.
Sacaron sus computadoras portátiles y cavaron en el código de la plataforma, con la ayuda de un puñado de conocidos y gato de Day, Finney (llamado así por el pionero de Bitcoin Hal Finney), quien se encaramó de su hombro en apoyo.Se basó en el indexado en la cadena de bloques Ethereum, un libro mayor donde se almacenan los detalles de la transacción, lo que significaba que había un registro del ataque.
Tomaría semanas descubrir con precisión lo que había sucedido, pero parecía que la plataforma había sido engañada para subvaluar severamente fichas que pertenecían a sus usuarios y vendiéndolos al atacante con un descuento extremo.En total, la persona o las personas responsables habían hecho activos por valor de $ 16 millones.
Kellar y Day impulsaron el sangrado y repararon el código lo suficiente como para evitar más ataques, luego se volvieron para enfrentar la pesadilla de las relaciones públicas.
En los canales de discordia y telegrama de la plataforma, los tokens intercambiaron teorías y recriminaciones, en algunos casos culpando al equipo y exigiendo una compensación.
Kellar se disculpó en Twitter a los cientos de usuarios de indexado y se responsabilizó por la vulnerabilidad que no había detectado."I F --- ed", escribió.
La pregunta ahora era quién había lanzado el ataque y si devolverían los fondos.Se supone que la mayoría de los exploits de cifrado están dentro de los trabajos hasta que se demuestre lo contrario."El valor predeterminado será:" ¿Quién hizo esto y por qué son los desarrolladores? ""Day dice.
Mientras trataba de dormir la mañana después del ataque, Day se dio cuenta de que no había tenido noticias de un colaborador en particular.Semanas antes, un codificador que lleva el nombre de usuario "Umbralupsilon", la anonimato es estándar en las comunidades criptográficas, había contactado a Day y Kellar en Discord, ofreciendo crear un bot que haga que su plataforma sea más eficiente.
Acordaron y enviaron una tarifa inicial."Esperábamos que pudiera ser un contribuyente regular", dice Kellar.
Dado el alcance de sus chats, Day hubiera esperado que Umbralupsilon ofreciera ayuda o simpatía a raíz del ataque.En cambio, nada.Day levantó su registro de chat y descubrió que solo quedaba su mitad de la conversación;Umbralupsilon había eliminado sus mensajes y cambió su nombre de usuario."Eso me sacó de la cama como un tiro", dice Day.
Compartió sus sospechas con el equipo, quien durante los próximos días peinó el sendero digital del atacante.Descubrieron que la billetera Ethereum solía transferir tokens durante el ataque estaba conectada a otra billetera utilizada para recolectar ganancias en un reciente concurso de piratería por parte de un participante que a veces se identificaba como Umbralupsilon.Subiendo el registro del participante, vieron que se vinculaba a un perfil en la plataforma de codificación colaborativa GitHub.
El perfil de Github había sido creado por alguien cuya dirección de correo electrónico comenzó con "Amedjedo" y estaba asociado con un dominio propiedad de una junta de escuelas públicas en Ontario.Day y sus colegas también encontraron un colaborador de Wikipedia con un nombre de usuario similar al de Github.
El editor de Wikipedia había alterado una vez la página para un popular competencia de cuestiones canadienses para estudiantes de secundaria, agregando un nombre bajo "Alumni": "Andean Medjedovic, matemático notable."Google completó el resto.Medjedovic había sido hasta hace poco estudiante de maestría en la Universidad de Waterloo en Ontario, especializada en matemáticas.Su currículum dijo que tenía interés en la criptomoneda.
El equipo dio un suspiro de alivio.Una vez que se han identificado los ciberactores, a menudo devuelven fondos a cambio de una recompensa y crédito para ser un hacker de "sombrero blanco".Day ya había contactado a Umbralupsilon para ofrecer una recompensa del 10% por el retorno seguro de los tokens, tocando una nota de elogios a regañadientes: "bien jugado", escribió, pero no había sido respondido.
Entonces Kellar intentó una táctica diferente, enviando mensajes a Medjedovic y dirigirse a él como "andino."Esta vez, Medjedovic reaccionó, burlándose de los usuarios indexados públicamente en Twitter:" Te superaron.No hay nada que puedas hacer al respecto.... tal es cripto."
Cuando un miembro del equipo le envió un correo electrónico de forma independiente, diciendo que si devolvía los tokens le pagaría $ 50,000, Medjedovic respondió con un enlace a una dirección de Ethereum. “Send the money over," he wrote.No hicieron el anzuelo de su torturador, a quien habían aprendido, para su asombro, solo tenía 18 años..
Finalmente, Kellar le envió un mensaje de texto a Medjedovic para que hiciera una última súplica antes, dijo, se verían obligados a traer abogados y policías. “I implore you to give up now and make this easy on yourself," he wrote. The teenager responded with “Xdxdxd," an emoticon that evokes dying of laughter, and added, “Best of luck."
Cuando Kellar y sus cofundadores crearon indexados, lo imaginaron como un paso adelante para Defi, o finanzas descentralizadas, un movimiento basado en blockchain que pretende ofrecer una versión más automatizada y menos intermedia de préstamos y préstamos, comercio de activos y carteragestión.
Algunos proponentes tienen una visión utilitaria de Defi, considerando una versión mejorada de las finanzas tradicionales, con sus intermediarios de tarifas y su lenta toma de decisiones humanas.Otros son más libertarios, viendo a Defi como un escape del sistema existente, una forma de eludir las reglas y restricciones impuestas por los gobiernos o las corporaciones.Luego están los escépticos, que piensan que todo es una rama.
Kellar, who describes himself as “very progressive," fits squarely into the utilitarian camp.A los 23 años, después de abandonar la Universidad de Texas en Dallas cuando las clases de informática no le enseñaban nada nuevo, comenzó a indexado para resolver un problema: ¿qué pasaría si quisiera intercambiar cripto pero no quería la molestia diaria de¿Administrar una cartera?
En las finanzas tradicionales, los inversores que desean una amplia y equilibrada variedad de acciones pueden comprar acciones de los fondos índices, subcontratando el trabajo diario de comprar y vender las acciones a un gerente de cartera.Kellar fue creando un acuerdo similar en la cadena de bloques, pero con un algoritmo que conduce el comercio.
Whereas an index fund manager would maintain a portfolio containing the underlying assets of an index share, the Indexed algorithm maintained a “pool" of underlying tokens for each index token.Los usuarios podrían intercambiar uno o todos los activos subyacentes al grupo a cambio de un token índice, un proceso llamado "menta."
They could likewise “burn" an index token by trading it back into the pool in exchange for one or all of the underlying assets.O, como con un fondo cotizado en bolsa, los usuarios pueden simplemente comprar o vender tokens de índice en intercambios descentralizados como Uniswap.
Los fondos índices toman varias formas, cada una con una estrategia de inversión diferente. Some, such as the S&P500, are market-capitalization-weighted: If the value of one of its stocks goes up, the proportional value of that stock within the portfolio rises accordingly.
Otros buscan mantener un saldo fijo de acciones.Por ejemplo, si desea que las acciones de Microsoft representen constantemente el 20% de su cartera, y el valor de la acción subió, el gerente de cartera vendería acciones de Microsoft para mantener su 20% de peso.
Kellar and his team modeled Indexed on that type of fund, using a mechanism called an “automated market-maker" to maintain the balance of underlying assets, as many DeFi platforms do.
Unlike a traditional market-maker, the AMM wouldn't buy and sell assets itself; instead it would help the pool reach its desired asset balance by adjusting the “pool price" of component tokens to give traders an incentive to buy them from the pool or sell them into it.
Cuando el grupo necesitaba más de un token particular, su precio dentro de él aumentaría;Cuando el grupo necesitaba menos, el precio disminuiría.Este modelo asumió que los usuarios interactuarían racionalmente con el protocolo, comprando bajo y vendiendo alto.
Al eliminar los gerentes humanos, indexado podría renunciar a tarifas de gestión como el 0.95% su rival más grande, Index Coop, cobrado por simplemente mantener su token de índice más popular.(Indexado cobraría una tarifa por quemar tokens y intercambiar activos dentro de una piscina, pero aquellos solo aplicados a una pequeña fracción de usuarios.)
También ahorró costos al limitar el número de interacciones entre la plataforma y las entidades externas.. For example, when Indexed needed to calculate the total value held within a pool, instead of checking token prices on an exchange such as Uniswap, it sometimes extrapolated from the value and weight of the largest token within the pool, called the “benchmark" token.
De esta manera, redujo las tarifas que pagó por las transacciones en la cadena de bloques Ethereum.Kellar vio la pasividad total como una "extensión natural de la forma en que ya funcionan los fondos índices."
Pero la pasividad también creó riesgos.Si hubiera un problema con el código, alguien podría explotarlo directamente, sin necesidad de evitar las salvaguardas humanas.Y limitar las interacciones blockchain para reducir los costos implicaba una compensación: cuando un contrato inteligente, un script que se ejecuta automáticamente cuando se cumplen ciertos criterios, tienen menos pasos, puede dejar más espacio para las vulnerabilidades de seguridad.
La lista de plataformas criptográficas explotadas es larga y crece por semana: Network Poly, Wormhole, Cream Finance, Rari Capital y muchos más. “There's a common saying in DeFi that there are two types of protocols," Day says."Aquellos que han sido pirateados y los que van a ser pirateados."
Kellar era consciente de una posible vía para ataques: el mecanismo indexado utilizado para introducir un token en una piscina. When such a “reindexing" occurs—after, say, one token has overtaken another in market value to qualify for inclusion in a blue-chip fund—the pool sets the new token's initial price using a complex equation.
Una variable de esa ecuación es el valor del token de referencia;Si de alguna manera pudieras futz con el precio del grupo de esa ficha, teóricamente obligar a la piscina a precedir a sus otras fichas..
“I spent at least two weeks looking into this," Kellar says.Pero no pudo encontrar ningún error, ni dos investigadores de seguridad que pagó para examinar el código.Entonces, dice: "Decidí que este no es un vector de ataque."
Aún así, indexado publicó una advertencia en su sitio web: “Tenemos confianza en la seguridad de nuestros contratos ... [Pero] no podemos estar absolutamente seguros de que no se pasaron por alto errores."
La plataforma hizo su debut en diciembre de 2020, ofreciendo inicialmente dos tokens de índice: CC10, que representa a 10 de los tokens principales basados en Ethereum por capitalización de mercado, y Defi5, que representa a cinco tokens Defi principales.El proyecto pronto obtuvo un seguimiento pequeño pero dedicado, incluido el día.El tenía un pH.D.en informática teórica y una maestría en ingeniería financiera, para la cual había escrito una tesis sobre la optimización de la cartera de índices de mercado de stock.Indexado alineado con sus intereses y su apetito relativamente bajo por el riesgo. “I'm fundamentally, when it comes to investing outside crypto, quite boring," he says.
Day y Kellar se llevaban bien.Compartieron un sentido del humor absurdo y extremadamente en línea, y como experto en finanzas con un escritor y un codificador creativo, respectivamente, tenían habilidades complementarias.. “I'm very much the wordcel to Dillon's shape rotator," says Day, who's 33.Dejó su trabajo en una compañía de petróleo y gas y se unió a tiempo completo indexado en abril de 2021.
Propulsado por un aumento en el interés criptográfico ese año, indexado despegó, que pronto se convirtió en el segundo protocolo de índice basado en Ethereum más grande por valor, después de la cooperativa de índice.Escalaron sus ambiciones, implementan tokens de índice y planean una actualización que permitiría que los activos en los grupos ganen intereses.El Balancer de la plataforma Defi, en el que indexado había modelado su código, estaba lo suficientemente impresionado como para que le diera una subvención indexada, un voto de confianza en su futuro.
Cuando se indexó en vivo, Medjedovic, que pasa por Andy, acababa de comenzar a trabajar en su maestría.Estaba en camino para terminarlo en un año.Tendió a hacer las cosas rápidamente.Había tomado matemáticas de décimo grado en la escuela primaria, se graduó de la escuela secundaria a los 14 años, y navegó a través de su licenciatura en tres años en Waterloo, una de las mejores escuelas de matemáticas e informática de Canadá y el cofundador de Ethereum Vitalik Buterin.Para el otoño de 2021, Medjedovic había presentado su tesis de maestría sobre la teoría de la matriz aleatoria y estaba planeando aplicar al pH.D.programas. “I can't think of any other student in my time here who has gotten that degree that early," says David Jao, a professor of mathematics at Waterloo.
Tan avanzado como Medjedovic fue académicamente, su madurez social se retrasó. One former classmate, who requested anonymity to speak candidly about sensitive matters, recalls him being “self-confident to the point of arrogance" and openly condescending to students he deemed less intelligent. “Whenever he did or said something, he believed it was infallible, the absolute truth," the classmate says.Medjedovic aparentemente coqueteó con ideas extremistas: el compañero de clase dice que lo escuchó hablar favorablemente sobre la supremacía blanca y la eugenesia.(Medjedovic no respondió a las solicitudes de comentarios sobre esto antes de la publicación.)
Aún así, Medjedovic hizo amigos, conectándose con ellos a través de actividades como el ajedrez y el videojuego League of Legends.También disfrutó leer ficción, particularmente ciencia ficción.Su perfil en una red social incluía una cita de la cuna del gato de Kurt Vonnegut sobre la inutilidad de la búsqueda de conocimiento de la humanidad: “Tiger pudo cazar, Bird pudo volar;El hombre tiene que sentarse y preguntarse "¿por qué, por qué, por qué?"Tiger se duermió, Bird se puso a aterrizar;El hombre tiene que decirse a sí mismo que entiende."
Medjedovic también se estaba convirtiendo en un codificador competente, participando regularmente en un concurso de piratería en línea llamado Code4rena, o C4, en el que los desarrolladores compiten por el dinero de los premios presentados por las empresas para encontrar fallas de seguridad en sus sistemas.Se las arregló para ganar recompensas en dos competiciones C4. “He seemed pretty friendly and cool," says Adam Avenir, who helps run C4 and corresponded with Medjedovic before and after the Indexed attack.“Como un niño joven y sincero."
Medjedovic se interesó en Defi, particularmente la mecánica de los AMMS. “Whenever I would hear of a new type of DeFi product I would take a close look at how it operates and throw some money into it if I came up with a good idea," he said in an email.(Medjedovic rechazó las solicitudes de una entrevista telefónica, pero acordó responder preguntas por correo electrónico.) Estimó que pasó cientos de horas "jugando con las matemáticas detrás de ellos, experimentando con la rentabilidad de diferentes estrategias." He then wrote bots that would execute arbitrage trades on those platforms, turning a small profit and helping the pools run more efficiently.
After reading about Indexed on a forum, he pored over its smart contract and noticed a “mispricing opportunity" in the code—the instrument Kellar had worried might let users distort the pool's internal price calculations when new tokens were being introduced.También vio que era posible eludir una salvaguardia que limita el tamaño de ciertos oficios dentro de la piscina. “At first, I didn't believe it," he said.Dirigió los cálculos varias veces y, “En papel, funcionó." He spent the next month writing a script to exploit the vulnerability.
También se comunicó con el equipo indexado en Discord como Umbralupsilon, haciendo preguntas básicas sobre la mezcla de activos y los precios y ofreciendo escribir un bot de arbitraje para la plataforma.En retrospectiva, Day dice: “Sospecho que podría haber estado angustiado para ver si podría abrir una grieta para que él se metiera en." Kellar and Day say the information they shared wasn't instrumental in the attack.
Finalmente, a mediados de octubre, Medjedovic estaba listo para implementar el código.Y igual de importante, dos de las piscinas indexadas más grandes estaban maduras para "reindexar." All they needed was a user to introduce a minimal amount of the new token—in both cases, Sushi, the token corresponding to the DeFi exchange SushiSwap.
La explotación de la vulnerabilidad requirió cientos de comandos, que los documentos judiciales luego tomaron docenas de páginas para explicar.Pero el proceso contenía algunos pasos clave. For his attack on the pool of tokens that made up the DEFI5 index (and later, on the CC10 pool), Medjedovic wrote a program that took out a “flash loan"—a mechanism in crypto trading that gives users access to funds as long as they're returned within the same set of preprogrammed transactions—worth $157 million.Su guión luego usó una gran parte de los fondos prestados para comprar casi todos los uni de la piscina, el token correspondiente al Defi Exchange Uniswap.La repentina subrazada de Uni hizo que su precio dentro de la piscina se disparara, ya que el algoritmo buscaba incentivar a los comerciantes a dejar de cambiar a Uni y comenzar a cambiarlo para restaurar su saldo original.Cuanto más compró Uni Medjedovic, más aumentó el precio, finalmente alcanzó 860 veces su precio de mercado externo.En total, gastó $ 109 millones en tokens para comprar uni que realmente valía solo $ 5.2 millones.
Hubiera sido un intercambio loco en su cara, excepto que Uni jugó un papel único en el grupo Defi5.Era la ficha de referencia, la que la piscina extrapoló su valor total.Con la cantidad de uni en la piscina reducida drásticamente, el grupo ahora estimaba que su propio valor era 380 veces menor de lo que realmente era.Como resultado, la cantidad de token recién introducida, sushi, que se habría requerido para que se desplomen las tokens Defi5..Si hubiera querido, Medjedovic ahora podría haber negociado $ 3,200 en sushi por tokens Defi5 por valor de $ 1,172,000.Y si simplemente hubiera hecho eso, indexado habría estado bien.El protocolo establece límites en la cantidad de un nuevo token que los usuarios pueden intercambiar a la piscina, por lo que habría podido extraer solo aproximadamente 1.El 5% del valor del grupo, que, dados las tarifas de transacción, no habría sido rentable para él.
En cambio, el guión de Medjedovic obtuvo otro préstamo flash que consta de $ 2.4 millones de tokens de sushi.Y en lugar de intercambiarlos en la piscina, les regaló: un movimiento aparentemente irracional que el algoritmo de indexado no fue diseñado para manejar. The “donation" overwhelmed the pool and circumvented its usual trade limit for new tokens.Esto permitió que el programa de Medjedovic intercambiara libremente sushi sobrevaluado por los tokens Defi5 infravalorados, luego cobrarlos por los activos subyacentes del grupo, pagar los préstamos y mantener el resto, ahora con un valor de $ 11.9 millones.El ataque al grupo CC10 llevó el total de transporte a $ 16 millones.
Medjedovic, en sus correos electrónicos, recordó que se sorprendió de que la exploit tuviera éxito. “I only had a few tries to get it right," he wrote, before he would run out of funds to pay for blockchain transaction fees.
“It was definitely very impressive," Kellar says."Pero fue un mal uso de su talento."
Si Medjedovic alguna vez consideró devolver los tokens, no fue por mucho tiempo.Después de que el equipo indexado lo identificó, publicó un poema desafiante en Twitter: “Un solo salto de rana en la piscina, hace algo genial;/ para hervirlo, lo intentan.‘No se arb, y comienzan a llorar./ Pero la rana no está consternada, porque tiene a Dios de su lado." Commenters egged him on.Un emojis de la corona publicado.Otro escribió: "Amo a este chico."
Some called out his use of racist language and tropes: The Ethereum address Medjedovic used for the attack included the number “1488"—shorthand for a neo-Nazi slogan—and he'd written the N-word into the code itself, 16 times. A Twitter user called him the “Dylan [sic] Roof of Balancer Pools," a reference to the mass shooter who killed nine Black people at a church in Charleston, S.C., en 2015.A Medjedovic le gustó el tweet.
Las semanas después del ataque fueron el infierno para Kellar y Day.Se apresuraron entre la reconstrucción del protocolo, retrocediendo en línea e diseñando un plan de compensación para sus tokens..En un giro cruel, el gato de Day, Finney, fue atropellado por un automóvil y murió.
En diciembre.9, casi dos meses después del ataque, Kellar y Day presentaron una demanda contra Medjedovic en Ontario, argumentando que sus acciones equivalían a fraude y que debería verse obligado a devolver las fichas a sus propietarios originales.Resultó que no fueron los primeros en hacerlo.Una compañía anónima registrada en Delaware llamada Cicada 137 LLC ya había demandado a Medjedovic, pero el caso había sido sellado, y Kellar y Day no aprendieron al respecto hasta que presentaron su propia moción. According to the complaint, Cicada 137 represents the largest holder of tokens lost in the exploit, which were worth about $9 millones at the time of the attack.(Benjamin Bathgate, abogado de Cicada 137, se negó a identificar a su cliente o clientes.)
Cuando Kellar y Day fueron a la corte, Cicada ya había obtenido una orden congelando los tokens en disputa.El tribunal en realidad no podría controlar las billeteras de Medjedovic, pero ahora estaría violando la ley si las movía.Cicada también recibió una orden para la búsqueda de la casa de los padres de Medjedovic, donde había estado viviendo.Pero cuando la búsqueda se ejecutó en diciembre.6, ya se había ido, llevando su equipo informático con él.Sus padres y su hermano menor dijeron que no sabían dónde estaba.
En su queja, los abogados de Kellar y Day argumentaron que dos pasos particulares del ataque violaron los estatutos contra la manipulación del mercado y la piratería informática.Uno estaba cambiando casi todos los tokens uni fuera del grupo Defi5, el comercio irracional que distorsionaba los precios de tal manera que Medjedovic podía comprar tokens de debajo de los usuarios indexados, que fueron forzados por el algoritmo a vender. “The only purpose of that trade was to mislead token holders to part with tokens on terms they never would have agreed to," says Stephen Aylward, a lawyer representing Kellar and Day.“Decimos que es una forma de manipulación del mercado." The same argument applied to Medjedovic's interaction with the CC10 pool.
La segunda transacción ilegal, argumentaron, fue cuando Medjedovic abrumó la piscina con sushi libre, engañando así al algoritmo para que lo permita evitar el límite de tamaño de ciertos intercambios.Aylward llama a esto "un acto intencional del andino para deshabilitar una medida de seguridad, como deshabilitar el sistema de seguridad en un banco." He argues that this falls under Canada's “extremely broad" legal definition of a hack, which can be interpreted as “subverting the intended purpose of a computer system."
Medjedovic no ha respondido oficialmente a ninguno de los demandas;Me dijo que ni siquiera tiene un abogado en Ontario.Pero en nuestros intercambios de correo electrónico, argumentó que había ejecutado una serie de oficios perfectamente legal. Nothing he did “involves getting access to a system I was not allowed access into," he said."No robé las llaves privadas de nadie.Interactué con el contrato inteligente de acuerdo con sus propias reglas disponibles públicamente.Las personas que perdieron tokens de Internet en este comercio eran otras personas que buscaban usar el contrato inteligente para su propio beneficio y asumir puestos comerciales arriesgados que, aparentemente, no entendieron completamente." Medjedovic added that he'd taken on “substantial risk" in pursuing this strategy.Si hubiera fallado, habría perdido "una parte bastante grande de mi cartera." (The 3 ETH he stood to lose in fees was worth about $11,000 at the time.)
El caso plantea varias preguntas difíciles sobre cómo se debe permitir a las personas interactuar con el código en la cadena de bloques. For instance, the plaintiffs allege that Medjedovic made a “false representation" by manipulating the value of the tokens in the pools.¿Pero Medjedovic hizo esto o el algoritmo?Barry Sookman, un abogado en Toronto especializado en tecnología de la información, dice que es una distinción sin diferencia: “Las personas son responsables de las actividades de las tecnologías que controlan."
Y si Medjedovic estaba involucrado en el engaño, ¿quién estaba siendo engañado?Esa es una base sobre la cual Andrew Lin, un abogado con sede en Dallas que asesora a Medjedovic pero no está formalmente involucrado en los casos de Ontario, rechaza el argumento de representación falsa. “It's unclear who he made a misrepresentation to," Lin says."Exponió líneas de código.El código en sí no es verdad ni falso."
Es imposible predecir cómo gobernaría un juez sin conocer todos los hechos que podrían surgir durante el descubrimiento, dice Andrea Matwyshyn, profesora de derecho e ingeniería en la Universidad Estatal de Pensilvania que estudia ciberseguridad.Pero el caso no está claro, especialmente teniendo en cuenta el argumento de Medjedovic de que asumió el riesgo. “People on Wall Street often make a lot of money very quickly when they see a gap and do strategic research," Matwyshyn says.“Me imagino un mundo en el que un juez pesa varios factores, después de examinar los detalles técnicos y financieros de un escenario como este, y llega a la conclusión de que hubo variables que hacen que esta conducta sea más parecida a un escenario comercial altamente especulativo."
Además de la incertidumbre se encuentra el área gris legal y reguladora en la que opera Defi.Cualquier persona con conocimientos técnicos puede crear un vehículo de inversión, ponerlo en línea y exponer a los usuarios a posibles exploits. US Securities and Exchange Commission Chair Gary Gensler has indicated he plans to rein in crypto trading platforms, and Dan Berkovitz, a former commissioner at the Commodities Futures Trading Commission and now general counsel at the SEC, has called DeFi a “Hobbesian marketplace" with products that violate statutes on commodities trading.En marzo, la Casa Blanca emitió una orden ejecutiva que solicita regulaciones que, entre otros objetivos, "reducirían los riesgos que los activos digitales podrían representar para los consumidores, los inversores y las protecciones comerciales."
Las regulaciones propuestas podrían no haber evitado el ataque a indexado, pero podrían ayudar a reducir el riesgo e informar a los comerciantes sobre los peligros potenciales, dice Ryan Clements, profesor de derecho de la Universidad de Calgary. “Code audits" by accredited parties, for example, could be required prior to launch, as well as real-name registration.Sin embargo, Clements dice que la aplicación sería un desafío. Governments can't “block" decentralized platforms the way they can websites, since they operate on globally distributed blockchains.E incluso si pudieran, pueden aparecer plataformas de imitación.
Los puristas defi preferirían mantener a los gobiernos alejados de sus plataformas. Chris Blec, who runs the watchdog site DeFi Watch, tweeted that the attack on Indexed was “an embarrassment for DeFi" and criticized the team for turning to a centralized institution like the courts for help.Kellar dice que no ve una alternativa, no es como si Defi tenga su propio sistema de justicia.Y de todos modos, él cree que Defi debería operar dentro del marco legal existente. “I think it should be decentralized in terms of governance and the management of projects," he says."Pero necesitas una autoridad central para hacer cumplir las reglas básicas."
Una semana después de que Kellar y Day presentaron su demanda, Medjedovic apareció en una audiencia virtual celebrada sobre Zoom.Su cámara estaba fuera y apenas hablaba.El juez le ordenó transferir los activos en disputa a un tercero neutral o que comparezca ante el tribunal en persona la semana siguiente.Cuando llegó la fecha límite, Medjedovic todavía no había transferido las fichas, y no se presentó.El juez emitió una orden de arresto..
El caso ahora está en el limbo hasta que las autoridades puedan localizar a Medjedovic o decide aparecer.En un caso no cristipto, si los demandantes obtuvieron un fallo por incumplimiento, el tribunal simplemente podría ordenar a su banco que congele su cuenta o entregue sus activos.Pero debido a la naturaleza de las billeteras criptográficas, a las que solo se puede acceder con una clave privada, las autoridades no pueden obtener las fichas sin Medjedovic.Cuando le pregunté si había gastado alguna de las ganancias, dijo: "No creo en gastar dinero." Someone did recently move almost $400,000 worth of tokens from a wallet used in the Indexed attack to what appears to be a cryptocurrency mixing service, which makes tokens untraceable, suggesting that Medjedovic might be accessing some of the funds.
Casi todos con los que hablé quieren que salga a la superficie, si no, para que puedan recuperar su dinero, entonces para que un tribunal pueda abordar las cuestiones legales espinosas involucradas. Bathgate, the lawyer for Cicada 137, says there's “good reason to believe" Medjedovic has fled the country.Las organizaciones de aplicación de la ley en Ontario dicen que no lo persiguen activamente, y la policía real montado en Canadá y el FBI se negaron a hacer comentarios.Pero esconderse no hará que sus problemas legales desaparezcan. “I can assure Andean Medjedovic that litigation is not like a fine wine that improves with age," wrote Judge Frederick Myers, who's hearing the case.
Medjedovic no parece interesado en la simpatía pública, para decirlo suavemente.En sus correos electrónicos para mí, alternó entre respuestas directas y aparente trolling.Cuando le pregunté si tenía a alguien dando consejos, fue con este último: “He estado intercambiando DMS con mi mentor, Peter Thiel, a través de todo esto. … He was the one egging me on to do it!" (A representative for Thiel declined to comment.) Other answers included references to “ancestor simulations," families with “diamonds they have stored extraterrestrially," and a United Nations program “to sneak down other people's chimneys and leave copies of Thucydides under their pillows." The question of whether he means what he says is, per the tenets of internet s---posting, almost quaint.
En cuanto a su futuro, Medjedovic fue insuficiente: "No estoy preocupado por" conseguir un trabajo.'Librar en la jaula no es mi idea de una buena vida." He didn't rule out the possibility of creating his own products: “If I ever get an idea for a necessary and useful technology I will, of course, build it.Hasta ahora no he tenido ninguna inspiración divina en ese frente."
Mientras tanto, el equipo indexado avanza.Lanzó un token de índice en enero, pero el valor total de la plataforma ha caído aún más desde entonces, en sintonía con todo el espacio Defi, y la actualización planificada se ha puesto en espera. “Neither of us really has the same drive to work on the project after all that's happened," Kellar says.Day agrega que “la mayoría de la gente reconoce que el indexado no vuelve en vigor."
En el lado positivo, Day tiene un nuevo gato, Katniss.Y tan doloroso como lo han sido el ataque y sus consecuencias, ha llamado la atención: Kellar y Day están presentando ofertas de trabajo en Defi.El día también se aplica a las escuelas de derecho. “There's not many people who can bridge that divide between technical and legal frameworks," he says."Pensé que lo haré yo mismo."
PromotedListen to the latest songs, only on JioSaavn.comEn febrero, con Medjedovic aún escondido, Kellar y Day volaron a la Convención de Ethdenver, asistiendo a fiestas y paneles y conociendo a otros desarrolladores.Pero pasaron la mayor parte de su tiempo hablando entre ellos.Era su primer Hang Irl Hang, y tenían mucho que discutir.El día conmemoró el momento con una selfie de los dos, Day sonriendo y Kellar con un aspecto desconcertado, y lo tuiteó con una ley."
(Excepto por el titular, esta historia no ha sido editada por el personal de NDTV y se publica a partir de un feed sindicado.)
