"O padrão vai ser 'quem fez isso, e por que são os desenvolvedores?'", Day Laurence diz.
Em 14 de outubro, em uma casa perto de Leeds, Inglaterra, o Laurence Day estava sentado para um jantar de peixe e batatas fritas no sofá quando o telefone tocou.O texto era de um colega que trabalhou com ele no Indexed Finance, uma plataforma de criptomoeda que cria tokens representando cestas de outros tokens - como um fundo de índice, mas no blockchain.
O colega enviou uma captura de tela mostrando uma negociação recente, seguida de um ponto de interrogação."Se você não sabia o que estava olhando, pode dizer: 'Comércio bonito'", diz Day.Mas ele sabia o suficiente para ficar alarmado: um usuário havia comprado certos tokens em valores drasticamente desanimados, o que não deveria ter sido possível.Algo estava muito errado.
Day pulou, derramando a comida no chão e correu para o quarto para chamar Dillon Kellar, co-fundador da Indexeded.Kellar estava sentado na sala de estar de sua mãe a seis fusos horários perto de Austin, desmontando um DVD Player para que ele pudesse salvar um de seus lasers.Ele pegou o telefone para ouvir um dia sem fôlego explicando que a plataforma havia sido atacada.“Tudo o que eu disse foi: 'O quê?'Kellar lembra.
Eles puxaram seus laptops e cavaram o código da plataforma, com a ajuda de um punhado de conhecidos e Cat de Day, Finney (nomeado após o pioneiro do Bitcoin Hal Finney), que empoleirou -se em seu ombro em apoio.Indexado foi construído no Blockchain Ethereum, um livro público onde os detalhes da transação são armazenados, o que significava que havia um registro do ataque.
Levaria semanas para descobrir com precisão o que havia acontecido, mas parecia que a plataforma havia sido enganada em tokens severamente que pertencia a seus usuários e vendendo -os ao atacante com um desconto extremo.No total, a pessoa ou as pessoas responsáveis havia desviado com US $ 16 milhões em ativos.
Kellar e Day apertaram o sangramento e repararam o código o suficiente para evitar mais ataques, depois se transformaram para enfrentar o pesadelo das relações públicas.
Nos canais de discórdia e telegrama da plataforma, os requerentes de token trocaram teorias e recriminações, em alguns casos culpando a equipe e exigindo compensação.
Kellar pediu desculpas no Twitter às centenas de usuários da Indexed e assumiu a responsabilidade pela vulnerabilidade que ele não conseguiu detectar."Eu fito", ele escreveu.
A questão agora foi quem lançou o ataque e se eles devolveriam os fundos.Presume -se que a maioria das explorações criptográficas esteja dentro dos trabalhos até que se prove o contrário.“O padrão será: 'Quem fez isso e por que são os desenvolvedores?'Day diz.
Enquanto ele tentava dormir na manhã após o ataque, Day percebeu que não tinha ouvido falar de um colaborador em particular.Semanas antes, um codificador passando pelo nome de usuário "Umbalupsilon" - o anonimato é padrão nas comunidades criptográficas - houve alcançou o dia e o Kellar na discórdia, oferecendo um bot que tornaria sua plataforma mais eficiente.
Eles concordaram e enviaram uma taxa inicial."Esperávamos que ele fosse um colaborador regular", diz Kellar.
Dada a extensão de seus bate -papos, o dia esperava que a Umbalupsilon oferecesse ajuda ou simpatia após o ataque.Em vez disso, nada.Day puxou o registro de bate -papo e descobriu que apenas sua metade da conversa permaneceu;Umbalupsilon havia excluído suas mensagens e mudou seu nome de usuário."Isso me tirou da cama como uma foto", diz Day.
Ele compartilhou suas suspeitas com a equipe, que nos próximos dias vasculharam a trilha digital do atacante.Eles descobriram que a carteira Ethereum usada para transferir tokens durante o ataque estava conectada a outra carteira usada para coletar ganhos em um recente concurso de hackers por um participante que às vezes se identificava como umbalupsilon.Puxando o registro do participante, eles viram que ele está ligado a um perfil na plataforma de codificação colaborativa Github.
O perfil do GitHub foi criado por alguém cujo endereço de e -mail começou com "Amedjedo" e estava associado a um domínio de propriedade de um conselho escolar público em Ontário.Day e seus colegas também encontraram um colaborador da Wikipedia com um nome de usuário semelhante ao do Github.
O editor da Wikipedia já alterou a página para uma popular competição canadense de quiz para estudantes do ensino médio, acrescentando um nome em "Alumni": "Andean Medjedovic, matemático notável.”Google preencheu o resto.Medjedovic até recentemente era estudante de mestrado na Universidade de Waterloo em Ontário, especializado em matemática.Seu currículo disse que ele tinha interesse em criptomoeda.
A equipe deu um suspiro de alívio.Uma vez identificados os cibertackers, eles geralmente retornam fundos em troca de uma recompensa e crédito para salvar o rosto por serem um hacker de "chapéu branco".Day já havia entrado em contato com a Umbalupsilon para oferecer uma recompensa de 10% pelo retorno seguro dos tokens, marcando uma nota de elogio resumido - "bem tocado", ele escreveu -, mas não havia recebido resposta de volta.
Então Kellar tentou uma tática diferente, enviando mensagens Medjedovic e abordando -o como “Andean.Desta vez, Medjedovic reagiu, provocando usuários indexados publicamente no Twitter: “Você foi contratado.Não há nada que você possa fazer sobre isso.… Tal é cripto.”
Quando um membro da equipe enviou um e -mail para ele de forma independente, dizendo que, se ele devolvesse os tokens, eles pagariam US $ 50.000, Medjedovic respondeu com um link para um endereço Ethereum."Envie o dinheiro", ele escreveu.Eles não tomaram a isca do atormentador - quem aprenderam, para sua surpresa, tinha apenas 18 anos.
Finalmente, Kellar mandou uma mensagem de texto para Medjedovic para fazer um último apelo antes, ele disse que eles seriam forçados a trazer advogados e policiais."Eu imploro que você desista agora e faça isso fácil", escreveu ele.O adolescente respondeu com "xdxdxd", um emoticon que evoca a morte de risadas e acrescentou: "Boa sorte.”
Quando Kellar e seus co-fundadores criaram indexados, eles o imaginaram como um passo à frente para o Defi, ou finanças descentralizadas, um movimento baseado em blockchain que pretende oferecer uma versão mais automatizada e menos intermediária de empréstimos e empréstimos, negociação de ativos e portfóliogerenciamento.
Alguns proponentes têm uma visão utilitária do Defi, considerando uma versão aprimorada das finanças tradicionais, com seus intermediários que tomam taxas e tomada de decisão humana lenta.Outros são mais libertários, vendo Defi como uma fuga do sistema existente, uma maneira de contornar as regras e restrições impostas por governos ou corporações.Depois, há os céticos, que acham que tudo é um Grift.
Kellar, que se descreve como "muito progressista", se encaixa diretamente no acampamento utilitário.Aos 23 anos, depois de abandonar a Universidade do Texas em Dallas, quando as aulas de ciência da computação não estavam ensinando nada a ele novo, ele começou a indexar para resolver um problema: e se você quisesse trocar criptografia, mas não quisesse o aborrecimento diário deGerenciando um portfólio?
Nas finanças tradicionais, os investidores que desejam uma ampla e equilibrada gama de ações podem comprar ações de fundos de índice, terceirizando o trabalho diário de comprar e vender as ações para um gerente de portfólio.Kellar começou a criar um arranjo semelhante no blockchain, mas com um algoritmo dirigindo a negociação.
Enquanto um gerente de fundos de índice manteria um portfólio contendo os ativos subjacentes de uma participação no índice, o algoritmo indexado manteve um "pool" de tokens subjacentes para cada token de índice.Os usuários podem trocar um ou todos os ativos subjacentes ao pool em troca de um token de índice - um processo chamado “Mingagem.”
Eles também poderiam "queimar" um token de índice negociando -o de volta à piscina em troca de um ou todos os ativos subjacentes.Ou, como em um fundo negociado em bolsa, os usuários podem simplesmente comprar ou vender tokens de índice em trocas descentralizadas, como o Uniswap.
Os fundos de índice assumem várias formas, cada uma com uma estratégia de investimento diferente. Some, such as the S&P500, are market-capitalization-weighted: If the value of one of its stocks goes up, the proportional value of that stock within the portfolio rises accordingly.
Outros procuram manter um equilíbrio fixo de ações.Por exemplo, se você deseja que as ações da Microsoft compensem consistentemente 20% do seu portfólio e o valor das ações aumentou, o gerente do portfólio venderia ações da Microsoft para manter seus 20% de peso.
Kellar e sua equipe modelaram indexados nesse tipo de fundo, usando um mecanismo chamado "criador de mercado automatizado" para manter o equilíbrio de ativos subjacentes, como muitas plataformas defi fazem.
Ao contrário de um fabricante de mercado tradicional, o AMM não compraria e venderia ativos;Em vez disso, ajudaria a piscina a alcançar o equilíbrio de ativos desejado, ajustando o "preço do pool" dos tokens de componentes para dar aos traders um incentivo para comprá -los na piscina ou vendê -los para ele.
Quando a piscina precisava de mais um determinado token, seu preço dentro dela aumentaria;Quando a piscina precisava de menos, o preço diminuiria.Esse modelo assumiu que os usuários interagiriam racionalmente com o protocolo, comprando baixo e vendendo alto.
Ao eliminar os gerentes humanos, o indexado poderia renunciar a taxas de gerenciamento como o 0.95% seu maior rival, Index Coop, cobrado por simplesmente manter seu token de índice mais popular.(Indexado cobraria uma taxa por queimar tokens e trocar ativos dentro de uma piscina, mas aqueles aplicados apenas a uma pequena fração de usuários.)
Também economizou os custos limitando o número de interações entre a plataforma e as entidades externas.Por exemplo, quando indexado, precisava calcular o valor total mantido dentro de um pool, em vez de verificar os preços dos token em uma troca como o Uniswap, às vezes extrapolado do valor e peso do maior token dentro da piscina, chamado de "benchmark".
Dessa forma, reduziu as taxas que pagou por transações no Blockchain Ethereum.Kellar viu a passividade completa como uma “extensão natural dos fundos de índice de maneira como já operam.”
Mas a passividade também criou risco.Se houvesse um problema com o código, alguém poderia explorá -lo diretamente, sem precisar ignorar qualquer salvaguardas humanas.E limitando as interações blockchain para reduzir os custos implicando uma troca: quando um contrato inteligente-um script que é executado automaticamente quando certos critérios são atendidos-tem menos etapas, pode deixar mais espaço para vulnerabilidades de segurança.
A lista de plataformas de criptografia explorada é longa e cresce por semana: rede poli, buraco de minhoca, financiamento de creme, capital rari e muito mais."Há um ditado comum em Defi que existem dois tipos de protocolos", diz Day.“Aqueles que foram invadidos e aqueles que serão hackeados.”
Kellar estava ciente de um caminho possível para ataques: o mecanismo indexado usado para introduzir um token em uma piscina.Quando uma “reindexação” ocorre-depois, digamos, um token ultrapassou outro em valor de mercado para se qualificar para a inclusão em um fundo de chip azul-a piscina define o preço inicial do novo token usando uma equação complexa.
Uma variável dessa equação é o valor do token de referência;Se você pudesse de alguma forma Futz com os preços da piscina desse token, teoricamente pode obrigar a piscina a prejudicar seus outros tokens.
"Passei pelo menos duas semanas investigando isso", diz Kellar.Mas ele não conseguiu encontrar erros, nem dois pesquisadores de segurança que ele pagou para examinar o código.Então, ele diz: “Eu decidi que não é um vetor de ataque.”
Ainda assim, o indexado postou um aviso em seu site: “Estamos confiantes na segurança de nossos contratos ... [mas] não podemos ter certeza de que nenhum erro foi esquecido.”
A plataforma fez sua estréia em dezembro de 2020, oferecendo inicialmente dois tokens de índice: CC10, representando 10 dos tokens principais baseados em Ethereum por capitalização de mercado, e Defi5, representando cinco tokens principais de Defi.O projeto logo conquistou seguidores pequenos, mas dedicados, incluindo dia.Ele tinha um pH.D.em ciência teórica da computação e mestrado em engenharia financeira, para a qual ele escreveu uma tese sobre otimização de portfólio de índices de mercado de ações.Indexado alinhado com seus interesses e seu apetite relativamente baixo por risco."Estou fundamentalmente, quando se trata de investir fora da criptografia, bastante chata", diz ele.
Dia e kellar se deram bem.Eles compartilharam um senso de humor absurdo e extremamente on -line e, como especialista em finanças, com um codificador Writerly Bent e um Creative, respectivamente, eles tinham habilidades complementares."Eu sou muito o Wordcel para o rotador da forma de Dillon", diz Day, que tem 33 anos.Ele deixou o emprego em uma empresa de petróleo e gás e ingressou em tempo integral em tempo integral em abril de 2021.
Impulsionado por um aumento no interesse criptográfico daquele ano, indexado decolou, logo se tornando o segundo maior protocolo de índice baseado em Ethereum por valor, após o índice Coop.Eles escalaram suas ambições, lançando tokens de índice e planejando uma atualização que permitiria que os ativos nas piscinas ganhassem juros.O balanceador da plataforma Defi, no qual o indexado modelou seu código, ficou impressionado o suficiente por ter indexado uma concessão - um voto de confiança em seu futuro.
Quando indexado foi lançado, Medjedovic, que passa por Andy, acabara de começar a trabalhar em seu mestrado.Ele estava a caminho de terminar em um ano.Ele tendia a fazer as coisas rapidamente.Ele tirou a 10ª série de matemática na escola primária, se formou no ensino médio aos 14 anos e atravessou seu bacharelado em três anos em Waterloo, uma das principais escolas de matemática e ciência da computação do Canadá e o co-fundador da Alma Mater of Ethereum, Vitalik Buterin.No outono de 2021, Medjedovic apresentou sua tese de mestrado sobre a teoria da matriz aleatória e planejava se inscrever em pH.D.programas."Não consigo pensar em nenhum outro aluno no meu tempo aqui que obtenha esse grau tão cedo", diz David Jao, professor de matemática em Waterloo.
Tão avançado quanto Medjedovic era academicamente, sua maturidade social atrasada.Um ex-colega de classe, que solicitou o anonimato que falasse abertamente sobre questões sensíveis, lembra-se de que ele é "autoconfiante ao ponto de arrogância" e condescendente abertamente aos estudantes que considerou menos inteligente."Sempre que ele fazia ou dizia alguma coisa, ele acreditava que era infalível, a verdade absoluta", diz o colega de classe.Medjedovic aparentemente flertou com idéias extremistas: o colega diz que o ouviu falar favoravelmente sobre supremacia branca e eugenia.(Medjedovic não respondeu aos pedidos de comentário sobre isso antes da publicação.)
Ainda assim, Medjedovic fez amigos, conectando -se com eles por meio de atividades como xadrez e a Liga das Legends de videogame.Ele também gostava de ler ficção, principalmente ficção científica.Seu perfil em uma rede social incluiu uma citação do berço do gato de Kurt Vonnegut sobre a futilidade da busca pelo conhecimento da humanidade: “Tiger conseguiu caçar, Bird teve que voar;O homem conseguiu sentar e se perguntar: 'Por que, por quê?'Tiger começou a dormir, Bird chegou a pousar;O homem tem que dizer a si mesmo que entende.”
Medjedovic também estava se tornando um codificador proficiente, participando regularmente de uma competição de hackers on -line chamada Code4rena, ou C4, na qual os desenvolvedores competem por prêmios em dinheiro colocado pelas empresas para encontrar falhas de segurança em seus sistemas.Ele conseguiu ganhar recompensas em duas competições C4."Ele parecia bastante amigável e legal", diz Adam Avenir, que ajuda a executar o C4 e se correspondeu com Medjedovic antes e depois do ataque indexado.“Como um garoto jovem e sincero.”
Medjedovic se interessou por Defi, particularmente a mecânica dos AMMs."Sempre que eu ouvia falar de um novo tipo de produto defi, olhava de perto como ele opera e jogava algum dinheiro nele se tivesse uma boa ideia", disse ele em um email.(Medjedovic recusou os pedidos de uma entrevista por telefone, mas concordou em responder a perguntas por e -mail.) Ele estimou que passou centenas de horas “brincando com as contas por trás deles, experimentando a lucratividade de diferentes estratégias.”Ele então escreveu bots que executariam negociações de arbitragem nessas plataformas, ganhando um pequeno lucro e ajudando as piscinas a executar com mais eficiência.
Depois de ler sobre indexado em um fórum, ele examinou seu contrato inteligente e notou uma "oportunidade de preços incorretos" no código - o instrumento Kellar havia preocupado que os usuários distorçam os cálculos de preços internos do pool quando novos tokens estavam sendo introduzidos.Ele também viu que era possível contornar uma salvaguarda limitando o tamanho de certas negociações dentro da piscina."No começo, eu não acreditei", disse ele.Ele dirigiu os cálculos algumas vezes e, “no papel, funcionou.”Ele passou o mês seguinte escrevendo um script para explorar a vulnerabilidade.
Ele também estendeu a mão para a equipe indexada em discórdia como umbalupsilon, fazendo perguntas básicas sobre mix de ativos e preços e oferecendo para escrever um bot de arbitragem para a plataforma.Em retrospecto, Day diz: “Suspeito.Kellar e Day dizem que as informações que compartilharam não foram instrumentais no ataque.
Finalmente, em meados de outubro, Medjedovic estava pronto para implantar o código.E igualmente importante, dois dos maiores pools indexados estavam prontos para “Reindexing.”Tudo o que eles precisavam era um usuário para introduzir uma quantidade mínima do novo token - em ambos os casos, sushi, o token correspondente ao Defi Exchange Sushiswap.
Explorar a vulnerabilidade exigia centenas de comandos, que os documentos do tribunal mais tarde levaram dezenas de páginas para explicar.Mas o processo continha algumas etapas importantes.Por seu ataque ao pool de fichas que compunham o índice Defi5 (e mais tarde, no pool do CC10), Medjedovic escreveu um programa que fez um "empréstimo flash" - um mecanismo na negociação de criptografia que oferece aos usuários acesso a fundosComo eles são devolvidos no mesmo conjunto de transações pré -programadas - US $ 157 milhões.Seu roteiro usou uma grande parte dos fundos emprestados para comprar quase toda a uni da piscina, o token correspondente ao Defi Exchange Uniswap.O subsídio repentino da Uni fez com que seu preço dentro da piscina disparasse, pois o algoritmo procurou incentivar os traders a parar de trocar a uni e começar a trocá -lo de volta para restaurar seu saldo original.Quanto mais uni medjedovic comprou, mais o preço aumentou, chegando a 860 vezes o preço de mercado externo.No total, ele gastou US $ 109 milhões em tokens para comprar uni que realmente valia apenas US $ 5.2 milhões.
Teria sido um comércio louco de cara, exceto que a Uni desempenhou um papel único na piscina Defi5.Era o token de referência - aquele do qual a piscina extrapolou seu valor total.Com a quantidade de uni na piscina reduzida drasticamente, a piscina agora estava estimando seu próprio valor 380 vezes menor do que realmente era.Como resultado, a quantidade de token recém -introduzido, sushi, que seria obrigado a fazer os tokens de define5 em que despencavam.Se ele quisesse, Medjedovic agora poderia ter negociado US $ 3.200 em sushi por tokens Defi5 no valor de US $ 1.172.000.E se ele simplesmente tivesse feito isso, indexado teria sido bom.O protocolo coloca limites para a quantidade de um novo token que os usuários podem trocar no pool, para que ele fosse capaz de extrair apenas cerca de 1.5% do valor do pool - que, dadas as taxas de transação, não teriam sido lucrativas para ele.
Em vez.4 milhões de tokens de sushi.E, em vez de trocá -los na piscina, ele os presenteou - um movimento aparentemente irracional que o algoritmo de indexado não foi projetado para lidar.A "doação" sobrecarregou a piscina e contornou seu limite habitual de comércio para novos tokens.Isso permitiu que o programa de Medjedovic negociasse livremente sushi supervalorizado por tokens definidos de defi5, depois descontente os ativos subjacentes da piscina, devolva os empréstimos e mantenha o resto, agora vale US $ 11.9 milhões.O ataque à piscina do CC10 levou o total a US $ 16 milhões.
Medjedovic, em seus e -mails, lembrou -se de estar surpreso que o exploração tenha sido bem -sucedido."Eu só tive algumas tentativas para acertar", escreveu ele, antes de ficar sem fundos para pagar as taxas de transação blockchain.
"Foi definitivamente muito impressionante", diz Kellar.“Mas foi um mau uso de seu talento.”
Se Medjedovic considerou devolver os tokens, não foi por muito tempo.Depois que a equipe indexada o identificou, ele postou um poema desafiador no Twitter: “Um único lúpulo de sapos na piscina faz algo legal;/ para fervê -lo, eles tentam.‘Não seja isso 'e eles começam a chorar./ Mas o sapo não está consternado, pois ele tem Deus do seu lado."Comentaristas o criticaram.Um postado emojis da coroa.Outro escreveu: “Eu amo esse cara.”
Alguns chamaram seu uso de idioma racista e tropos: o endereço do Ethereum Medjedovic usado para o ataque incluiu o número “1488”-compensando um slogan neonazista-e ele escreveu a palavra n no próprio código, 16 vezes.Um usuário do Twitter o chamou de "teto de Dylan [sic] de piscinas de balancera", uma referência ao atirador em massa que matou nove negros em uma igreja em Charleston, S.C., em 2015.Medjedovic gostou do tweet.
As semanas após o ataque foram inferiores para Kellar e dia.Eles correram entre a reconstrução do protocolo, o blowback de campo on-line e a elaboração de um plano de compensação para seus detentores de tokens.Em uma virada cruel, o gato de Day, Finney, foi atingido por um carro e morreu.
Em dezembro.9, quase dois meses após o ataque, Kellar e Day entraram com uma ação contra Medjedovic em Ontário, argumentando que suas ações totalizaram fraude e que ele deveria ser forçado a devolver os tokens aos seus proprietários originais.Aconteceu que eles não foram os primeiros a fazer isso.Uma empresa anônima registrada em Delaware, chamada Cicada 137 LLC, já havia processado Medjedovic, mas o caso havia sido selado, e Kellar e Day não aprenderam sobre isso até que eles arquivassem seu próprio movimento. According to the complaint, Cicada 137 represents the largest holder of tokens lost in the exploit, which were worth about $9 milhões at the time of the attack.(Benjamin Bathgate, advogado da Cicada 137, se recusou a identificar seu cliente ou clientes.)
Quando Kellar e Day foi a tribunal, a cigarra já havia obtido um pedido congelando os tokens disputados.O Tribunal não poderia realmente controlar as carteiras de Medjedovic, mas agora ele estaria violando a lei se os movesse.Cicada também recebeu um pedido de busca da casa dos pais de Medjedovic, onde ele estava morando.Mas quando a pesquisa foi executada em dez.6, ele já havia saído, levando seu equipamento de informática com ele.Seus pais e irmão mais novo disseram que não sabiam onde ele estava.
Em sua queixa, os advogados de Kellar e Day argumentaram que duas etapas específicas do ataque violaram os estatutos contra a manipulação do mercado e o hacking de computador.Um deles estava trocando quase todos os tokens da Universidade do pool Defi5, o comércio irracional que distorcia o preço de modo que Medjedovic pudesse comprar tokens de Under Indexed Users, que foram forçados pelo algoritmo a vender."O único objetivo desse comércio era enganar os titulares de token para se separar dos tokens nos termos que nunca teriam concordado", diz Stephen Aylward, um advogado que representa Kellar e Day.“Dizemos que é uma forma de manipulação de mercado.”O mesmo argumento aplicado à interação de Medjedovic com o pool CC10.
A segunda transação ilegal, eles argumentaram, foi quando Medjedovic dominou a piscina com sushi livre, enganando o algoritmo para deixá -lo ignorar o limite de tamanho em determinadas negociações.Aylward chama isso de "um ato intencional de Andean para desativar uma medida de segurança, como desativar o sistema de segurança em um banco."Ele argumenta que isso se enquadra na definição legal" extremamente ampla "do Canadá de um hack, que pode ser interpretado como“ subverter o objetivo pretendido de um sistema de computador.”
Medjedovic não respondeu oficialmente a nenhum dos ternos;Ele me disse que nem sequer tem um advogado em Ontário.Mas em nossas trocas de e -mail, ele argumentou que havia executado uma série de negociações perfeitamente legal.Nada que ele fez "envolve obter acesso a um sistema em que eu não tinha acesso", disse ele.“Eu não roubei as chaves privadas de ninguém.Eu interagi com o contrato inteligente de acordo com suas próprias regras disponíveis ao público.As pessoas que perderam tokens na Internet nesse comércio eram outras pessoas que procuram usar o contrato inteligente para sua própria vantagem e assumir posições comerciais de risco que, aparentemente, não entenderam completamente."Medjedovic acrescentou que havia assumido" risco substancial "em buscar esta estratégia.Se ele tivesse falhado, teria perdido “um pedaço muito grande do meu portfólio.”(O 3 ETH que ele perdia em taxas valeu cerca de US $ 11.000 na época.)
O caso levanta várias questões complicadas sobre como as pessoas devem ter permissão para interagir com o código no blockchain.Por exemplo, os demandantes alegam que Medjedovic fez uma "falsa representação" manipulando o valor dos tokens nas piscinas.Mas Medjedovic fez isso, ou o algoritmo?Barry Sookman, advogado de Toronto, especializado em tecnologia da informação, diz que é uma distinção sem diferença: “Os indivíduos são responsáveis pelas atividades das tecnologias que controlam.”
E se Medjedovic estava envolvido em engano, quem estava sendo enganado?Essa é uma base sobre a qual Andrew Lin, um advogado de Dallas que aconselha Medjedovic, mas não está formalmente envolvido nos casos de Ontário, rejeita o argumento da falsa representação."Não está claro para quem ele fez uma deturpação", diz Lin.“Ele estabeleceu linhas de código.O código em si não é verdadeiro nem falso.”
É impossível prever como um juiz governaria sem conhecer todos os fatos que possam surgir durante a descoberta, diz Andrea Matwyshyn, professora de direito e engenharia da Universidade Estadual da Pensilvânia que estuda a segurança cibernética.Mas o caso dificilmente é claro, especialmente considerando o argumento de Medjedovic de que ele assumiu o risco."As pessoas em Wall Street geralmente ganham muito dinheiro muito rapidamente quando vêem uma lacuna e fazem pesquisas estratégicas", diz Matwyshyn.“Posso imaginar um mundo em que um juiz pesa vários fatores, depois de examinar as especificações técnicas e financeiras de um cenário como esse, e chega à conclusão de que havia variáveis que tornam essa conduta mais semelhante a um cenário de negociação altamente especulativo.”
Adicionando à incerteza está a área cinzenta legal e regulatória na qual o Defi opera.Qualquer pessoa com o know-how técnico pode criar um veículo de investimento, colocá-lo on-line e expor os usuários a possíveis explorações.O presidente da Comissão de Valores Mobiliários dos EUA, Gary Gensler, indicou que planeja controlar as plataformas de negociação de criptografia, e Dan Berkovitz, ex -comissário da Comissão de Comércio de Futuros de Commodities e agora consultor geral da SEC, chamou a Defi de "mercado hobbesiano" com produtosque violam estatutos sobre negociação de commodities.Em março, a Casa Branca emitiu uma ordem executiva pedindo regulamentos que, entre outros objetivos, "reduziriam os riscos que os ativos digitais poderiam representar para consumidores, investidores e proteções de negócios.”
Os regulamentos propostos podem não ter impedido o ataque ao indexado, mas eles poderiam ajudar a reduzir o risco e informar os comerciantes sobre riscos em potencial, diz Ryan Clements, professor de direito da Universidade de Calgary.“Auditorias de código” por partes credenciadas, por exemplo, podem ser necessárias antes do lançamento, bem como registro de nome real.No entanto, Clements diz, a aplicação seria um desafio.Os governos não podem "bloquear" plataformas descentralizadas da maneira como podem sites, pois operam em blockchains distribuídos globalmente.E mesmo que pudessem, as plataformas copycat podem aparecer.
Defi Purists preferem manter os governos longe de suas plataformas.Chris Blec, que dirige o Watchdog Site Defi Watch, twittou que o ataque a indexado era "um constrangimento para o Defi" e criticou a equipe por se voltar para uma instituição centralizada como os tribunais para obter ajuda.Kellar diz que não vê uma alternativa - não é como se Defi tenha seu próprio sistema de justiça.E de qualquer maneira, ele acredita que o Defi deve operar dentro da estrutura legal existente."Acho que deve ser descentralizado em termos de governança e gerenciamento de projetos", diz ele.“Mas você precisa de uma autoridade central para aplicar regras básicas.”
Uma semana depois que Kellar and Day entrou com o processo, Medjedovic apareceu em uma audiência virtual realizada sobre o zoom.A câmera dele estava desligada, e ele mal falou.O juiz ordenou que ele transfira os ativos disputados para um terceiro neutro ou comparecesse pessoalmente no tribunal na semana seguinte.Quando o prazo chegou, Medjedovic ainda não havia transferido os tokens, e ele não apareceu.O juiz emitiu um mandado de prisão.
O caso está agora no limbo até que as autoridades possam localizar Medjedovic ou ele decide aparecer.Em um caso não -Crypto, se os demandantes obtivessem uma sentença inadimplente, o tribunal poderia simplesmente ordenar que seu banco congelasse sua conta ou entregue seus ativos.Mas devido à natureza das carteiras criptográficas, que podem ser acessadas apenas com uma chave privada, as autoridades não podem obter os tokens sem Medjedovic.Quando perguntei se ele gastou algum dos lucros, ele disse: “Não acredito em gastar dinheiro.Alguém recentemente moveu quase US $ 400.000 em tokens de uma carteira usada no ataque indexado ao que parece ser um serviço de mistura de criptomoedas, o que torna os tokens não rastreáveis, sugerindo que Medjedovic pode estar acessando alguns dos fundos.
Quase todo mundo com quem falei quer que ele apareça, se não para que eles possam recuperar seu dinheiro, então um tribunal pode abordar as questões legais espinhosas envolvidas.Bathgate, o advogado da Cicada 137, diz que há "boas razões para acreditar" Medjedovic fugiu do país.As organizações de aplicação da lei em Ontário dizem que não o perseguiram ativamente, e a Polícia Real Canadense e o FBI se recusou a comentar.Mas se esconder não fará com que seus problemas legais desapareçam."Posso garantir que Andean Medjedovic que o litígio não é como um bom vinho que melhora com a idade", escreveu o juiz Frederick Myers, que está ouvindo o caso.
Medjedovic não parece interessado em simpatia pública, para dizer o mínimo.Em seus e -mails para mim, ele alternou entre respostas diretas e trolling aparente.Quando perguntei se ele tinha alguém dando -lhe conselhos, ele foi com o último: “Eu tenho trocado DMs com meu mentor, Peter Thiel, através de tudo isso.… Ele foi quem me incendiava para fazer isso! ”(Um representante de Thiel se recusou a comentar.) Outras respostas incluíram referências a "simulações de ancestrais", famílias com "diamantes que eles armazenaram extraterrestriamente" e um programa das Nações Unidas "para infiltrar as chaminés de outras pessoas e deixar cópias de Tucydides sob seus travesseiros.".
Quanto ao seu futuro, Medjedovic foi insuperado: “Não estou preocupado em 'conseguir um emprego.'Travar na gaiola não é minha ideia de uma boa vida.”Ele não descartou a possibilidade de criar seus próprios produtos:“ Se eu tiver uma ideia para uma tecnologia necessária e útil, vou, é claro, construir.Até agora eu não tive nenhuma inspiração divina nessa frente.”
Enquanto isso, a equipe indexada pressiona.Ele lançou um token de índice em janeiro, mas o valor total da plataforma caiu ainda mais desde então, em frente com todo o espaço Defi, e a atualização planejada foi colocada em espera."Nenhum de nós realmente tem o mesmo passeio para trabalhar no projeto depois de tudo o que aconteceu", diz Kellar.Day acrescenta que “a maioria das pessoas reconhece que o indexado não está voltando em vigor.”
Pelo lado positivo, Day tem um novo gato, Katniss.E, por mais doloroso que tenha sido o ataque e suas consequências, trouxe atenção: Kellar e Day estão ambos as ofertas de emprego em Defi.O dia também está se candidatando às faculdades de direito."Não há muitas pessoas que possam preencher que se dividem entre estruturas técnicas e legais", diz ele.“Eu imaginei que vou fazer isso sozinho.”
PromotedListen to the latest songs, only on JioSaavn.comEm fevereiro, com Medjedovic ainda se escondendo, Kellar e Day voaram para a Convenção Ethdenver, participando de partes e painéis e conhecendo colegas desenvolvedores.Mas eles passaram a maior parte do tempo conversando uns com os outros.Era o primeiro IRL de sempre, e eles tiveram muito a discutir.Day comemorou o momento com uma selfie dos dois, do dia sorrindo e Kellar parecendo confusos, e twittou com uma legenda: “Esquadrão rotador de forma Roll Roll Out.”
(Exceto pela manchete, esta história não foi editada pela equipe da NDTV e é publicada em um feed sindicado.)
