"La valeur par défaut va être:" Qui a fait cela, et pourquoi est-ce les développeurs? "" Dit Laurence Day.
Le 14 octobre, dans une maison près de Leeds, en Angleterre, la Journée de Laurence était assise à un dîner de fish and chips sur son canapé lorsque son téléphone a bourdonné.Le texte provenait d'un collègue qui a travaillé avec lui sur Indeded Finance, une plate-forme de crypto-monnaie qui crée des jetons représentant des paniers d'autres jetons - comme un fonds indiciel, mais sur la blockchain.
Le collègue avait envoyé une capture d'écran montrant un commerce récent, suivi d'un point d'interrogation.«Si vous ne saviez pas ce que vous regardiez, vous pourriez dire,« commerce agréable »», dit Jour.Mais il en savait assez pour être alarmé: un utilisateur avait acheté certains jetons à des valeurs radicalement dégonflées, ce qui n'aurait pas dû être possible.Quelque chose n'allait pas.
Le jour a sauté, renversant sa nourriture sur le sol, et a couru dans sa chambre pour appeler Dillon Kellar, co-fondateur de l'indexé.Kellar était assis dans le salon de sa mère à six fuseaux horaires près d'Austin, démêlant un joueur de DVD afin qu'il puisse sauver un de ses lasers.Il a décroché le téléphone pour entendre une journée essoufflée expliquant que la plate-forme avait été attaquée.«Tout ce que j'ai dit, c'était:« Quoi?"Kellar se souvient.
Ils ont sorti leurs ordinateurs portables et creusé dans le code de la plate-forme, avec l'aide d'une poignée de connaissances et de Cat Day's, Finney (du nom de Bitcoin Pioneer Hal Finney), qui a perché sur l'épaule en soutien.Indexé a été construit sur la blockchain Ethereum, un grand livre public où les détails de la transaction sont stockés, ce qui signifiait qu'il y avait un record de l'attaque.
Il faudrait des semaines pour déterminer précisément ce qui s'était passé, mais il est apparu que la plate-forme avait été due à sous-évaluer gravement des jetons qui appartenaient à ses utilisateurs et les vendaient à l'attaquant à une remise extrême.Au total, la personne ou les personnes responsables avait relevé pour 16 millions de dollars d'actifs.
Kellar et Day ont stancé le saignement et réparé suffisamment le code pour éviter d'autres attaques, puis se sont tournés vers le cauchemar des relations publiques.
Sur les canaux de discorde et de télégramme de la plateforme, les token-tiennés ont échangé des théories et des récriminations, dans certains cas, accusé l'équipe et exigeant une compensation.
Kellar s'est excusé sur Twitter des centaines d'utilisateurs d'indexation et a pris la responsabilité de la vulnérabilité qu'il n'avait pas détecté."Je f --- ed up", a-t-il écrit.
La question était maintenant de savoir qui avait lancé l'attaque et s'ils retourneraient les fonds.La plupart des exploits de crypto sont supposés être à l'intérieur des emplois jusqu'à preuve du contraire."La valeur par défaut va être:" Qui a fait cela, et pourquoi est-ce les développeurs? ""Day dit.
Alors qu'il tentait de dormir le matin après l'attaque, Day a réalisé qu'il n'avait pas entendu parler d'un collaborateur particulier.Quelques semaines plus tôt, un codeur passant par le nom d'utilisateur «Umbralupsilon» - l'anonymat est standard dans les communautés cryptographiques - avait tendu la main et Kellar sur Discord, offrant de créer un bot qui rendrait sa plate-forme plus efficace.
Ils ont accepté et envoyé sur des frais initiaux.«Nous espérions qu'il pourrait être un contributeur régulier», dit Kellar.
Compte tenu de l'étendue de leurs conversations, le jour aurait s'attenté à ce que Umbralupsilon offre de l'aide ou de la sympathie à la suite de l'attaque.Au lieu de cela, rien.Day a remonté leur journal de discussion et a constaté que seule sa moitié de la conversation restait;Umbralupsilon avait supprimé ses messages et changé son nom d'utilisateur."Cela m'a fait sortir du lit comme un coup de feu", dit Day.
Il a partagé ses soupçons avec l'équipe qui, au cours des prochains jours, a peigné le sentier numérique de l'attaquant.Ils ont découvert que le portefeuille Ethereum utilisé pour transférer des jetons pendant l'attaque était connecté à un autre portefeuille utilisé pour collecter des gains dans un récent concours de piratage par un participant qui s'est parfois identifié comme Umbralupsilon.Tirant l'enregistrement du participant, ils ont vu qu'il était lié à un profil sur la plate-forme de codage collaborative GitHub.
Le profil GitHub avait été créé par quelqu'un dont l'adresse e-mail a commencé par «Amedjedo» et était associée à un domaine appartenant à un conseil scolaire public en Ontario.Day et ses collègues ont également trouvé un contributeur Wikipedia avec un nom d'utilisateur similaire à celui sur Github.
Le rédacteur en chef de Wikipedia avait autrefois modifié la page pour un concours populaire de quiz canadien pour les élèves du secondaire, ajoutant un nom sous «Alumni»: «Mathématicien andeen Medjedovic, notable."Google a rempli le reste.Medjedovic avait jusqu'à récemment été un étudiant de maîtrise à l'Université de Waterloo en Ontario, spécialisé en mathématiques.Son curriculum vitae a dit qu'il s'était intéressé à la crypto-monnaie.
L'équipe a poussé un soupir de soulagement.Une fois que les cyberattaques ont été identifiés, ils renvoient souvent des fonds en échange d'une prime et d'un mérite d'être un pirate de «chapeau blanc».Day avait déjà contacté Umbralupsilon pour offrir une récompense de 10% pour le retour en toute sécurité des jetons, frappant une note de louange à contrecœur - «bien joué», écrit-il - mais n'avait pas entendu parler de retour.
Kellar a donc essayé une tactique différente, messager un medjedovic et s'adresser à lui comme «Andeen."Cette fois, Medjedovic a réagi, narguant publiquement les utilisateurs indexés sur Twitter:« Vous étiez sorti.Il n'y a rien que vous puissiez faire à ce sujet.… Telle est la crypto."
Lorsqu'un membre de l'équipe l'a envoyé par e-mail de manière indépendante, disant que s'il retournait les jetons, il lui paierait 50 000 $, Medjedovic a répondu avec un lien vers une adresse Ethereum. “Send the money over," he wrote.Ils n'ont pas pris l'appât de leur bourreau - qu'ils avaient appris, à leur étonnement, n'avait que 18 ans.
Enfin, Kellar a envoyé un texto à Medjedovic pour faire un dernier plaidoyer auparavant, a-t-il dit, ils seraient forcés de faire venir des avocats et des policiers. “I implore you to give up now and make this easy on yourself," he wrote. The teenager responded with “Xdxdxd," an emoticon that evokes dying of laughter, and added, “Best of luck."
Lorsque Kellar et ses co-fondateurs ont créé indexé, ils l'imaginaient comme un pas en avant pour Defi, ou finance décentralisée, un mouvement basé sur la blockchain qui prétend offrir une version plus automatisée et moins intermédiaire de l'emprunt et du prêt, du commerce d'actifs et du portefeuillegestion.
Certains partisans adoptent une vision utilitaire de Defi, considérant qu'il est une version améliorée de la finance traditionnelle, avec ses intermédiaires de prise de tarification et de la prise de décision humaine lente.D'autres sont plus libertaires, considérant Defi comme une évasion du système existant, un moyen de contourner les règles et les restrictions imposées par les gouvernements ou les sociétés.Ensuite, il y a les sceptiques, qui pensent que tout est un gras.
Kellar, who describes himself as “very progressive," fits squarely into the utilitarian camp.À 23 ans, après avoir abandonné l'Université du Texas à Dallas lorsque les cours d'informatique ne lui ont rien enseigné, il a commencé à résoudre un problème: et si vous vouliez échanger la crypto mais ne voulait pas les tracas quotidiens deGérer un portefeuille?
En finance traditionnelle, les investisseurs qui souhaitent une large gamme de stocks équilibrés peuvent acheter des actions de fonds indiciels, sous-traitant le travail quotidien d'achat et de vente des actions à un gestionnaire de portefeuille.Kellar a pris la création d'un arrangement similaire sur la blockchain, mais avec un algorithme qui stimule le trading.
Whereas an index fund manager would maintain a portfolio containing the underlying assets of an index share, the Indexed algorithm maintained a “pool" of underlying tokens for each index token.Les utilisateurs peuvent échanger un ou tous les actifs sous-jacents dans le pool en échange d'un jeton d'index - un processus appelé «Mining."
They could likewise “burn" an index token by trading it back into the pool in exchange for one or all of the underlying assets.Ou, comme pour un fonds négocié en bourse, les utilisateurs peuvent simplement acheter ou vendre des jetons d'index sur des échanges décentralisés tels que UNISWAP.
Les fonds d'index prennent diverses formes, chacune avec une stratégie d'investissement différente. Some, such as the S&P500, are market-capitalization-weighted: If the value of one of its stocks goes up, the proportional value of that stock within the portfolio rises accordingly.
D'autres cherchent à maintenir un solde fixe des actions.Par exemple, si vous vouliez que les actions Microsoft représentent régulièrement 20% de votre portefeuille, et la valeur de l'action a augmenté, le gestionnaire de portefeuille vendrait des actions de Microsoft pour maintenir son poids de 20%.
Kellar and his team modeled Indexed on that type of fund, using a mechanism called an “automated market-maker" to maintain the balance of underlying assets, as many DeFi platforms do.
Unlike a traditional market-maker, the AMM wouldn't buy and sell assets itself; instead it would help the pool reach its desired asset balance by adjusting the “pool price" of component tokens to give traders an incentive to buy them from the pool or sell them into it.
Lorsque la piscine avait besoin de plus d'un jeton particulier, son prix à l'intérieur augmenterait;Lorsque la piscine avait besoin moins, le prix diminuerait.Ce modèle supposait que les utilisateurs interagiraient rationnellement avec le protocole, achetant bas et vendaient haut.
En éliminant les managers humains, indexé pourrait renoncer aux frais de gestion comme le 0.95% son plus grand rival, Index Coop, chargé pour avoir simplement tenu son jeton d'indice le plus populaire.(Indexé facturerait des frais pour brûler des jetons et échanger des actifs dans une piscine, mais ceux-ci ne s'appliquaient qu'à une petite fraction d'utilisateurs.)
Il a également économisé les coûts en limitant le nombre d'interactions entre la plate-forme et les entités extérieures. For example, when Indexed needed to calculate the total value held within a pool, instead of checking token prices on an exchange such as Uniswap, it sometimes extrapolated from the value and weight of the largest token within the pool, called the “benchmark" token.
De cette façon, cela a réduit les frais qu'il a payés pour les transactions sur la blockchain Ethereum.Kellar a vu la passivité complète comme une «extension naturelle de la façon dont les fonds d'indexation fonctionnent déjà."
Mais la passivité a également créé un risque.S'il y avait un problème avec le code, quelqu'un pourrait l'exploiter directement, sans avoir besoin de contourner les garanties humaines.Et limiter les interactions de la blockchain pour réduire les coûts impliquait un compromis: lorsqu'un contrat intelligent - un script qui s'exécute automatiquement lorsque certains critères sont remplis - ont moins d'étapes, il peut laisser plus de place pour les vulnérabilités de sécurité.
La liste des plates-formes cryptographiques exploitées est longue et se développe d'ici la semaine: réseau poly, trou de ver, financement de crème, capitale Rari et bien d'autres. “There's a common saying in DeFi that there are two types of protocols," Day says.«Ceux qui ont été piratés et ceux qui vont être piratés."
Kellar était conscient d'une voie possible pour les attaques: le mécanisme indexé utilisé pour introduire un jeton dans une piscine. When such a “reindexing" occurs—after, say, one token has overtaken another in market value to qualify for inclusion in a blue-chip fund—the pool sets the new token's initial price using a complex equation.
Une variable de cette équation est la valeur du jeton de référence;Si vous pouviez en quelque sorte FUTZ avec la tarification par la piscine de ce jeton, vous pourriez théoriquement obliger la piscine à maltraiter ses autres jetons.
“I spent at least two weeks looking into this," Kellar says.Mais il n'a pas trouvé d'erreurs, et deux chercheurs en sécurité qu'il a payés pour examiner le code.Alors, il dit: «J'ai décidé que ce n'était pas un vecteur d'attaque."
Pourtant, indexé a publié un avertissement sur son site Web: «Nous sommes confiants dans la sécurité de nos contrats… [mais] nous ne pouvons pas être absolument certains qu'aucune erreur n'a été négligé."
La plate-forme a fait ses débuts en décembre 2020, offrant initialement deux jetons d'indice: CC10, représentant 10 des meilleurs jetons basés sur Ethereum par capitalisation boursière, et Defi5, représentant cinq jetons de défi les plus élevés.Le projet a rapidement recueilli un petit mais dévoué, y compris le jour.Il avait un pH.D.en informatique théorique et une maîtrise en ingénierie financière, pour laquelle il avait écrit une thèse sur l'optimisation du portefeuille du portefeuille du marché boursier.Indexé aligné sur ses intérêts et son appétit relativement faible pour le risque. “I'm fundamentally, when it comes to investing outside crypto, quite boring," he says.
Jour et Kellar s'entendait bien.Ils ont partagé un sens de l'humour absurde et extrêmement en ligne, et en tant qu'expert financier avec un codeur plié et créatif, respectivement, ils avaient des compétences complémentaires. “I'm very much the wordcel to Dillon's shape rotator," says Day, who's 33.Il a quitté son emploi dans une entreprise pétrolière et gazière et a rejoint l'index à temps plein en avril 2021.
Propulsé par une augmentation de l'intérêt de la crypto cette année-là, indexé, devenant bientôt le deuxième plus grand protocole d'index basé sur Ethereum par valeur, après l'index Coop.Ils ont augmenté leurs ambitions, déployé des jetons d'index et planifier une mise à niveau qui permettrait aux actifs des pools de gagner de l'intérêt.L'équilibreur de la plate-forme Defi, sur lequel indexé avait modélisé son code, a été suffisamment impressionné pour indexer une subvention - un vote de confiance dans son avenir.
Une fois indexé, Medjedovic, qui passe par Andy, venait de commencer à travailler sur sa maîtrise.Il était sur le point de le terminer dans un an.Il avait tendance à faire les choses rapidement.Il avait pris des mathématiques de 10e année à l'école primaire, est diplômé du lycée à 14 ans et a traversé son baccalauréat en trois ans à Waterloo, l'une des meilleures écoles du Canada pour les mathématiques et l'informatique et l'alma mater du co-fondateur Ethereum Vitalik Buterin.À l'automne 2021, Medjedovic avait présenté sa thèse de maîtrise sur la théorie de la matrice aléatoire et prévoyait de s'appliquer au PH.D.programmes. “I can't think of any other student in my time here who has gotten that degree that early," says David Jao, a professor of mathematics at Waterloo.
Aussi avancé que Medjedovic était académiquement, sa maturité sociale est à la traîne. One former classmate, who requested anonymity to speak candidly about sensitive matters, recalls him being “self-confident to the point of arrogance" and openly condescending to students he deemed less intelligent. “Whenever he did or said something, he believed it was infallible, the absolute truth," the classmate says.Medjedovic a apparemment flirté avec des idées extrémistes: le camarade de classe dit qu'il l'a entendu parler favorablement de la suprématie blanche et de l'eugénisme.(Medjedovic n'a pas répondu aux demandes de commentaires à ce sujet avant la publication.)
Pourtant, Medjedovic s'est fait des amis, se connectant avec eux à travers des activités telles que les échecs et la Video Game League of Legends.Il aimait aussi lire la fiction, en particulier la science-fiction.Son profil sur un réseau social comprenait une citation du berceau de Kurt Vonnegut sur la futilité de la quête de la connaissance de l'humanité: «Tiger a pu chasser, Bird a pu voler;L'homme doit s'asseoir et se demander «pourquoi, pourquoi, pourquoi?Tiger s'est endormi, Bird s'est mis à terre;L'homme doit se dire qu'il comprend."
Medjedovic devenait également un codeur compétent, participant régulièrement à un concours de piratage en ligne appelé Code4rena, ou C4, dans lequel les développeurs sont en concurrence pour des prix versés par les entreprises pour trouver des défauts de sécurité dans leurs systèmes.Il a réussi à gagner des récompenses dans deux compétitions C4. “He seemed pretty friendly and cool," says Adam Avenir, who helps run C4 and corresponded with Medjedovic before and after the Indexed attack.«Comme un enfant jeune et sérieux."
Medjedovic s'est intéressé à Defi, en particulier à la mécanique de l'AMMS. “Whenever I would hear of a new type of DeFi product I would take a close look at how it operates and throw some money into it if I came up with a good idea," he said in an email.(Medjedovic a refusé les demandes d'un entretien téléphonique mais a accepté de répondre aux questions par e-mail.) Il a estimé qu'il avait passé des centaines d'heures à «jouer avec les mathématiques derrière eux, expérimentant la rentabilité de différentes stratégies." He then wrote bots that would execute arbitrage trades on those platforms, turning a small profit and helping the pools run more efficiently.
After reading about Indexed on a forum, he pored over its smart contract and noticed a “mispricing opportunity" in the code—the instrument Kellar had worried might let users distort the pool's internal price calculations when new tokens were being introduced.Il a également vu qu'il était possible de contourner une sauvegarde limitant la taille de certains métiers dans la piscine. “At first, I didn't believe it," he said.Il a exécuté les calculs plusieurs fois et, «sur papier, cela a fonctionné." He spent the next month writing a script to exploit the vulnerability.
Il a également contacté l'équipe indexée sur Discord en tant qu'Umbralupsilon, posant des questions de base sur le mélange et les prix des actifs et proposant d'écrire un bot d'arbitrage pour la plate-forme.Rétrospectivement, Day dit: «Je soupçonne qu'il aurait pu incomber de voir si je pouvais ouvrir une fissure pour lui pour entrer dans." Kellar and Day say the information they shared wasn't instrumental in the attack.
Enfin, à la mi-octobre, Medjedovic était prêt à déployer le code.Et tout aussi important, deux des plus grandes piscines indexées étaient mûres pour «réindexer." All they needed was a user to introduce a minimal amount of the new token—in both cases, Sushi, the token corresponding to the DeFi exchange SushiSwap.
Exploiter la vulnérabilité exigeait des centaines de commandes, que les documents judiciaires ont ensuite pris des dizaines de pages pour expliquer.Mais le processus contenait quelques étapes clés. For his attack on the pool of tokens that made up the DEFI5 index (and later, on the CC10 pool), Medjedovic wrote a program that took out a “flash loan"—a mechanism in crypto trading that gives users access to funds as long as they're returned within the same set of preprogrammed transactions—worth $157 million.Son script a ensuite utilisé une grande partie des fonds empruntés pour acheter presque tous les unités de la piscine, le jeton correspondant à la Defi échange uniswap.La soudaine sous-approvisionnement d'Uni a provoqué une montée en flèche de son prix dans la piscine, alors que l'algorithme cherchait à inciter les commerçants à arrêter d'échanger Uni et à recommencer.Plus Medjedovic a acheté d'unité, plus le prix augmentait, atteignant finalement 860 fois son prix externe.Au total, il a dépensé 109 millionss de dollars de jetons pour acheter Uni qui ne valait vraiment que 5 $.2 millions.
Cela aurait été un métier fou sur son visage, sauf que Uni a joué un rôle unique dans la piscine Defi5.C'était le jeton de référence - celui d'où la piscine a extrapolé sa valeur totale.Avec la quantité d'université dans la piscine considérablement réduite, la piscine estimait maintenant que sa propre valeur soit 380 fois plus petite qu'elle ne l'était vraiment.En conséquence, le montant du jeton nouvellement introduit, les sushis, qui aurait été nécessaire aux jetons de Defi5 frappés.S'il le voulait, Medjedovic aurait maintenant pu échanger 3 200 $ de sushis pour des jetons Defi5 d'une valeur de 1 172 000 $.Et s'il avait simplement fait ça, indexé aurait été bien.Le protocole limite la quantité d'un nouveau jeton que les utilisateurs peuvent échanger dans la piscine, il aurait donc pu extraire seulement environ 1.5% de la valeur de la piscine - qui, compte tenu des frais de transaction, n'aurait pas été rentable pour lui.
Au lieu de cela, le script de Medjedovic a contracté un autre prêt flash composé de 2 $.4 millions de jetons de sushi.Et plutôt que de les échanger dans la piscine, cela lui a offert un mouvement apparemment irrationnel qui a été conçu pour gérer pour gérer. The “donation" overwhelmed the pool and circumvented its usual trade limit for new tokens.Cela a permis au programme de Medjedovic de négocier librement les sushis surévalués pour les jetons Defi5 sous-évalués, puis de les terminer pour les actifs sous-jacents de la piscine, de rembourser les prêts et de garder le reste, qui vaut maintenant 11 $.9 millions.L'attaque contre la piscine CC10 a porté le transport total à 16 millions de dollars.
Medjedovic, dans ses courriels, se souvient avoir été surpris que l'exploit a réussi. “I only had a few tries to get it right," he wrote, before he would run out of funds to pay for blockchain transaction fees.
“It was definitely very impressive," Kellar says.«Mais c'était une mauvaise utilisation de son talent."
Si Medjedovic envisageait de retourner les jetons, ce n'était pas longtemps.Après que l'équipe indexée l'a identifié, il a publié un poème provocant sur Twitter: «Une seule grenouille saute dans la piscine, fait quelque chose de cool; / Pour le faire bouillir, ils essaient."Ne vous arbez pas" et ils commencent à pleurer./ Mais la grenouille n'est pas consternée, car il a Dieu de son côté." Commenters egged him on.Un emojis de la couronne affichée.Un autre a écrit: «J'adore ce gars."
Some called out his use of racist language and tropes: The Ethereum address Medjedovic used for the attack included the number “1488"—shorthand for a neo-Nazi slogan—and he'd written the N-word into the code itself, 16 times. A Twitter user called him the “Dylan [sic] Roof of Balancer Pools," a reference to the mass shooter who killed nine Black people at a church in Charleston, S.C., en 2015.Medjedovic a aimé le tweet.
Les semaines après l'attaque ont été l'enfer pour Kellar et Day.Ils se sont précipités entre la reconstruction du protocole, la mise à l'épreuve en ligne et l'élaboration d'un plan de rémunération pour leurs détenteurs de jetons.Dans un virage cruel, le chat du jour, Finney, a été heurté par une voiture et est mort.
En décembre.9, près de deux mois après l'attaque, Kellar et Day ont déposé une plainte contre Medjedovic en Ontario, arguant que ses actions équivalaient à une fraude et qu'il devrait être contraint de retourner les jetons à leurs propriétaires d'origine.Il s'est avéré qu'ils n'étaient pas les premiers à le faire.Une société anonyme enregistrée par le Delaware appelé Cicada 137 LLC avait déjà poursuivi Medjedovic, mais l'affaire avait été scellée, et Kellar et Day ne s'en ont pas appris avant d'avoir déposé leur propre requête. According to the complaint, Cicada 137 represents the largest holder of tokens lost in the exploit, which were worth about $9 millions at the time of the attack.(Benjamin Bathgate, avocat de Cicada 137, a refusé d'identifier son client ou ses clients.)
Au moment où Kellar et Day sont allés au tribunal, Cicada avait déjà obtenu une ordonnance gelant les jetons contestés.Le tribunal ne pouvait pas vraiment contrôler les portefeuilles de Medjedovic, mais il enfreindrait maintenant la loi s'il les émourait.Cicada a également obtenu une commande pour une recherche de la maison des parents de Medjedovic, où il vivait.Mais quand la recherche a été exécutée sur Dec.6, il était déjà parti, emportant son équipement informatique avec lui.Ses parents et son frère cadet ont dit qu'ils ne savaient pas où il était.
Dans leur plainte, les avocats de Kellar et Day ont fait valoir que deux étapes particulières de l'attaque ont violé les lois contre la manipulation du marché et le piratage informatique.L'un échangeait presque tous les jetons uni du pool Defi5, le commerce autrement irrationnel qui a déformé le prix de telle sorte que Medjedovic puisse acheter des jetons sous les utilisateurs indexés, qui ont été forcés par l'algorithme pour vendre. “The only purpose of that trade was to mislead token holders to part with tokens on terms they never would have agreed to," says Stephen Aylward, a lawyer representing Kellar and Day.«Nous disons que c'est une forme de manipulation du marché." The same argument applied to Medjedovic's interaction with the CC10 pool.
La deuxième transaction illégale, a-t-elle soutenu, a été lorsque Medjedovic a submergé la piscine de sushis libres, incitant ainsi l'algorithme à le laisser contourner la limite de taille de certains métiers.Aylward appelle cela «un acte intentionnel par les Andes pour désactiver une mesure de sécurité, comme désactiver le système de sécurité dans une banque." He argues that this falls under Canada's “extremely broad" legal definition of a hack, which can be interpreted as “subverting the intended purpose of a computer system."
Medjedovic n'a officiellement répondu à aucun des deux;Il m'a dit qu'il n'avait même pas d'avocat en Ontario.Mais dans nos échanges de courriels, il a soutenu qu'il avait exécuté une série de métiers parfaitement légale. Nothing he did “involves getting access to a system I was not allowed access into," he said.«Je n'ai volé les clés privées de personne.J'ai interagi avec le contrat intelligent en fonction de ses propres règles accessibles au public.Les personnes qui ont perdu des jetons Internet dans ce métier étaient d'autres personnes cherchant à utiliser le contrat intelligent à leur propre avantage et à prendre des positions de négociation risquées qu'ils ne comprenaient apparemment pas pleinement." Medjedovic added that he'd taken on “substantial risk" in pursuing this strategy.S'il avait échoué, il aurait perdu «une assez grande partie de mon portefeuille." (The 3 ETH he stood to lose in fees was worth about $11,000 at the time.)
L'affaire soulève plusieurs questions délicates sur la façon dont les gens devraient être autorisés à interagir avec le code sur la blockchain. For instance, the plaintiffs allege that Medjedovic made a “false representation" by manipulating the value of the tokens in the pools.Mais Medjedovic a-t-il fait cela, ou l'algorithme?Barry Sookman, un avocat de Toronto spécialisé dans les technologies de l'information, dit que c'est une distinction sans différence: «Les individus sont responsables des activités des technologies qu'ils contrôlent."
Et si Medjedovic était engagé dans la tromperie, qui était trompé?C'est une base sur laquelle Andrew Lin, un avocat basé à Dallas qui conseille Medjedovic mais n'est pas officiellement impliqué dans les affaires de l'Ontario, rejette l'argument de fausse représentation. “It's unclear who he made a misrepresentation to," Lin says.«Il a présenté des lignes de code.Le code lui-même n'est ni vrai ni faux."
Il est impossible de prédire comment un juge gouvernerait sans connaître tous les faits qui pourraient émerger lors de la découverte, explique Andrea Matwyshyn, professeur de droit et d'ingénierie à l'Université d'État de Pennsylvanie qui étudie la cybersécurité.Mais l'affaire est à peine claire, en particulier en considérant l'argument de Medjedovic selon lequel il a pris le risque. “People on Wall Street often make a lot of money very quickly when they see a gap and do strategic research," Matwyshyn says.«Je peux imaginer un monde où un juge pèse divers facteurs, après avoir examiné les spécificités techniques et financières d'un scénario comme celui-ci, et atteint la conclusion qu'il y avait des variables qui rendent cette conduite plus semblable à un scénario de trading hautement spéculatif."
L'incertitude ajoute la zone grise légale et réglementaire dans laquelle Defi opère.Toute personne ayant le savoir-faire technique peut créer un véhicule d'investissement, le mettre en ligne et exposer les utilisateurs à d'éventuels exploits. US Securities and Exchange Commission Chair Gary Gensler has indicated he plans to rein in crypto trading platforms, and Dan Berkovitz, a former commissioner at the Commodities Futures Trading Commission and now general counsel at the SEC, has called DeFi a “Hobbesian marketplace" with products that violate statutes on commodities trading.En mars, la Maison Blanche a publié un décret exécutif appelant à des réglementations qui, entre autres objectifs, «réduiraient les risques que les actifs numériques pourraient poser aux consommateurs, aux investisseurs et aux protections commerciales."
Les réglementations proposées n'ont peut-être pas empêché l'attaque contre l'indexation, mais ils pourraient aider à réduire les risques et à informer les commerçants des dangers potentiels, explique Ryan Clements, professeur de droit à l'Université de Calgary. “Code audits" by accredited parties, for example, could be required prior to launch, as well as real-name registration.Cependant, dit Clements, l'application serait un défi. Governments can't “block" decentralized platforms the way they can websites, since they operate on globally distributed blockchains.Et même s'ils le pouvaient, les plates-formes de copie peuvent apparaître.
Les puristes Defi préféreraient éloigner les gouvernements de leurs plateformes. Chris Blec, who runs the watchdog site DeFi Watch, tweeted that the attack on Indexed was “an embarrassment for DeFi" and criticized the team for turning to a centralized institution like the courts for help.Kellar dit qu'il ne voit pas une alternative - ce n'est pas comme Defi a son propre système judiciaire.Et de toute façon, il pense que Defi devrait opérer dans le cadre juridique existant. “I think it should be decentralized in terms of governance and the management of projects," he says.«Mais vous avez besoin d'une autorité centrale pour faire respecter les règles de base."
Une semaine après que Kellar et Day ont déposé leur procès, Medjedovic est apparu lors d'une audience virtuelle tenue sur Zoom.Son appareil photo était éteint, et il parlait à peine.Le juge lui a ordonné de transférer les actifs contestés à un tiers neutre ou de comparaître devant le tribunal en personne la semaine suivante.Lorsque la date limite est arrivée, Medjedovic n'avait toujours pas transféré les jetons, et il n'a pas réussi à se présenter.Le juge a émis un mandat d'arrêt contre son arrestation.
L'affaire est maintenant dans les limbes jusqu'à ce que les autorités puissent localiser Medjedovic ou qu'il décide d'apparaître.Dans une affaire non crypto, si les demandeurs ont obtenu un jugement par défaut, le tribunal pourrait simplement ordonner à sa banque de geler son compte ou de remettre ses actifs.Mais en raison de la nature des portefeuilles cryptographiques, qui ne peuvent être accessibles qu'avec une clé privée, les autorités ne peuvent pas obtenir les jetons sans Medjedovic.Quand je lui ai demandé s'il avait dépensé l'un des bénéfices, il a dit: «Je ne crois pas à dépenser de l'argent." Someone did recently move almost $400,000 worth of tokens from a wallet used in the Indexed attack to what appears to be a cryptocurrency mixing service, which makes tokens untraceable, suggesting that Medjedovic might be accessing some of the funds.
Presque tout le monde avec qui j'ai parlé veut qu'il fasse surface, sinon afin qu'il puisse récupérer son argent, alors un tribunal peut s'adresser aux questions juridiques épineuses impliquées. Bathgate, the lawyer for Cicada 137, says there's “good reason to believe" Medjedovic has fled the country.Les organisations d'application de la loi en Ontario disent qu'elles ne le poursuivent pas activement, et la police montée royale et le FBI a refusé de commenter.Mais se cacher ne fera disparaître ses problèmes juridiques. “I can assure Andean Medjedovic that litigation is not like a fine wine that improves with age," wrote Judge Frederick Myers, who's hearing the case.
Medjedovic ne semble pas intéressé par la sympathie du public, pour le dire légèrement.Dans ses e-mails, il a alterné entre des réponses simples et une pêche à la traîne apparente.Quand j'ai demandé s'il avait quelqu'un qui lui donnait des conseils, il est allé avec ce dernier: «J'ai échangé des DM avec mon mentor, Peter Thiel, à travers tout ça. … He was the one egging me on to do it!" (A representative for Thiel declined to comment.) Other answers included references to “ancestor simulations," families with “diamonds they have stored extraterrestrially," and a United Nations program “to sneak down other people's chimneys and leave copies of Thucydides under their pillows." The question of whether he means what he says is, per the tenets of internet s---posting, almost quaint.
Quant à son avenir, Medjedovic était insouciant: «Je ne suis pas soucieux de« trouver un emploi.'Waging in the Cage n'est pas mon idée d'une bonne vie." He didn't rule out the possibility of creating his own products: “If I ever get an idea for a necessary and useful technology I will, of course, build it.Jusqu'à présent, je n'ai pas eu d'inspiration divine sur ce front."
Entre-temps, l'équipe indexée va.Il a lancé un jeton d'index en janvier, mais la valeur totale de la plate-forme a encore chuté depuis lors, en pas avec l'ensemble de l'espace Defi, et la mise à niveau prévue a été suspendue. “Neither of us really has the same drive to work on the project after all that's happened," Kellar says.Day ajoute que «la plupart des gens reconnaissent que l'index ne revient pas en vigueur."
Du bon côté, Day a un nouveau chat, Katniss.Et aussi douloureux que l'attaque et ses conséquences l'ont été, il a attiré l'attention: Kellar et Day sont tous deux des offres d'emploi dans Defi.Le jour s'applique également aux facultés de droit. “There's not many people who can bridge that divide between technical and legal frameworks," he says.«J'ai pensé que je le ferais moi-même."
PromotedListen to the latest songs, only on JioSaavn.comEn février, Medjedovic se cachant toujours, Kellar et Day se sont envolés pour la convention ethdenver, assister aux parties et aux panels et rencontrant des collègues développeurs.Mais ils ont passé la plupart de leur temps à se parler.C'était leur tout premier hang irl, et ils avaient beaucoup à discuter.Jour commémoré le moment avec un selfie de tous les deux, des souriants et des kellars de Kellar, et l'ont tweeté avec une légende: «Forme de l'équipe de rotator."
(À l'exception du titre, cette histoire n'a pas été éditée par le personnel de NDTV et est publiée à partir d'un flux syndiqué.)
