安第恩·梅杰多维奇（Andean Medjedovic），一名来自加拿大的22岁男子，被指控策划了从KyberSwap用户那里窃取超过4800万美元（约合人民币3.3亿元）的攻击事件。

  这起黑客攻击事件发生在2023年，美国司法部（DOJ）于2月3日在其网站以及纽约联邦法院公布了有关攻击者的信息。这名年轻男子梅杰多维奇被指控利用两个去中心化金融（DeFi）平台——KyberSwap和Indexed Finance的漏洞，共计窃取约6500万美元，其中从KyberSwap窃取的金额为4840万美元。

  Kyber Network的联合发起人兼首席执行官陈辉武（Trần Huy Vũ）表示，目前尚未能追回被黑客窃取的全部资金。不过，该平台已于2月2日主动完成了对全用户的赔偿工作。

  在被攻击之前，KyberSwap是规模较大的去中心化交易买卖平台之一，其交易量相当于44亿美元，服务全球超过90万名用户。此次事件发生于2023年11月26日，被称为“去中心化金融（DeFi）历史上最复杂的攻击”，因为黑客利用了KyberSwap智能合约中罕见的漏洞，并多次实施攻击以窃取上述金额。

  KyberSwap是一个允许在不同密码货币之间进行互换的平台，因此就需要在从用户处募集少数资金的“流动性池”中储备特定数量的加密货币。他们还构建了一种机制，在提出的价格合适且对用户最有利时匹配订单。

  梅杰多维奇主要的攻击步骤如下：首先从闪贷（flash loan）工具借款；然后将这笔钱存入名为KyberSwap Elastic的流动性池；接着操纵价格并精心计算多次交易以利用漏洞，使计算工具错误判断可用流动性。这样一来，黑客就能够提取比存入金额更多的钱。

  根据起诉书，梅杰多维奇精心策划了这一计划，甚至研究了首席执行官以及美国、欧洲用户的作息时间，进而选择在活动人数较少的时段作案以便于操纵。

  梅杰多维奇还利用了KyberSwap智能合约中一个非常深的“数学四舍五入”漏洞，并计算出可能使平台发生故障的交易价值。例如，工具限制代币交换的数量为1.056.056.735.638.220.800.000。黑客下达了1.056.056.735.638.220.799.999的交换订单（在该限制范围内），但由于数字四舍五入的原因，一些函数的运行不像最初设定的那样准确，从而创造了可被利用的漏洞。

  起诉书称，梅杰多维奇对KyberSwap的77个流动性池实施了攻击并窃取了4840万美元。之后这笔钱被发现被多次转移到多个交易所进行兑换，经过混币处理以抹去来源。

  此外，这位加拿大黑客多次发送信息，威胁如果想要追回部分资金就必须控制公司。因此，除了敲诈勒索罪之外，梅杰多维奇还被指控洗钱和非法破坏计算机系统罪，每项罪名可能面临10 - 20年的监禁。

  负责此案的调查员查维斯（Chavis）表示：“这是一起复杂的诈骗案，利用智能合约漏洞窃取数百万美元的密码货币。”美国司法部还表示，在将加密货币转入“混币器”的过程中，梅杰多维奇遇到了故障并联系了一名“软件研发人员”寻求帮助，但实际上这是一名卧底调查员。“即使去中心化金融（DeFi）很复杂，我们仍旧是找出了这起大规模盗窃案的罪魁祸首，他现在正在被通缉。”

  此次攻击也影响了越南区块链项目。2024年，他们不得不进行重组，削减人力和成本，专注于核心服务，并履行对所有受影响用户的退款承诺。“我们大家都希望越南的公司在与全球用户打交道时从始至终保持信誉。”陈辉武说道。

  他表示，重组也带来了一些积极的变化。2024年，随着密码货币市场的复苏，KyberSwap的交易量达到约267亿美元，比2023年增长了六倍多，服务的用户数量达到190万。