Um “hacker” de 18 anos pode ter aberto um novo precedente legal ao explorar uma falha no código da Indexed Finance e se recusar a devolver o dinheiro sob a premissa de que “o código é lei”. O prodígio matemático está desaparecido.
O código é lei – A história do prodígio matemático e os 16 milhões de dólares
Um polêmico caso que ganhou protagonismo nas cortes canadenses foi também um dos maiores “hacks” do mercado DeFi, que dividiu – e continua dividindo – opiniões e julgamentos de entusiastas, traders, desenvolvedores e investidores desta crescente indústria que já estaria entre os maiores bancos do mundo em valor de gestão de ativos.
A história foi protagonizada por Andean Medjedovic, um gênio matemático de 18 anos, com um currículo impressionante, que estava para se transformar em Ph.D em tempo recorde e agora está completamente desaparecido, com US $16 milhões em ativos protegidos por uma chave privada cripto.
Momentos antes do desastre
No dia 14 de outubro de 2021, Laurence Day, recebeu a mensagem de um companheiro de trabalho na Indexed Finance (NXD) – protocolo de fundos de investimentos descentralizados em DeFi – que continha a captura de tela de um trade recente realizado na plataforma, seguido de um ponto de interrogação.
Ver esta imagem foi suficiente para fazer com que Laurence deixasse seu prato de peixe com batata chips no sofá na Inglaterra e corresse para fazer uma ligação para Dillon Kellar, co-fundador da plataforma, sentado na sala da casa de sua mãe em Austin, Texas.
A reação do que aconteceu na ligação e nas horas seguintes pode ser resumida com este tweet, publicado por Dillon no dia 15 de outubro:
“Eu tenho que assumir pessoalmente a responsabilidade por isto. Eu f*** tudo.”
O gênio de 18 anos
Atendendo pelo pseudônimo de UmbralUpsilon, quem foi descoberto como sendo Andean Medjedovic, um garoto prodígio de 18 anos, residente em Ontário, Canadá, reconhecido como um “notável matemático”, pela Universidade de Waterloo, na mesma cidade – o responsável pelo desastre que tirou ambos Laurence Day, Dillon Kellar e mais centenas de investidores cripto às pressas do sofá.
Andrean, era conhecido por sempre tirar nota 10 nas provas de matemática do ensino fundamental; terminou o colegial com 14 anos, ingressando em seguida na faculdade de matemática da Universidade de Waterloo; que terminou em 3 anos, aos 17.
“Não consigo pensar em nenhum outro aluno do meu tempo aqui que tenha obtido esse diploma tão cedo”, diz David Jao, professor de matemática em Waterloo.
Este aluno era Medjedovic, também conhecido pelo pseudônimo de “amedjedo”, no Wikipedia, que foi o que entregou sua identidade após conexão com e-mail registrado no Github e relacionado com o nome UmbralUpsilon – que se aplicou para um trabalho na Indexed Finance semanas antes lucrar US $16 milhões, explorando uma vulnerabilidade no código do contrato inteligente de indexação dos fundos.
O hack – O que aconteceu na Indexed Finance?
A Indexed Finance é uma plataforma que cria fundos indexados em um grupo de tokens a partir de contratos inteligentes (smartcontracts), mais ou menos como é feito com índices de bolsas de valores, como o IBOV ou S&P500.
Alguns de seus produtos eram o DEFI5 e o CC10, que selecionavam os melhores tokens de diferentes categorias, agrupando em um único token cujo valor, em teoria, acompanhava os demais ativos.
No entanto, para economizar com taxas e otimizar o trabalho de indexação e cálculo de preços, alguns dos índices se baseavam, não em todos os tokens incluídos na cesta, mas no que era chamado de “Benchmark Token” – o ativo com maior capitalização entre os outros, dirigindo o preço do índice e, com isso, criando boas oportunidades de arbitragem, como a que foi explorada por Andean Medjedovic.
Enquanto desenvolvia bots sob encomenda para a equipe sob o nome de usuário UmbralUpsilon, o gênio matemático percebeu que a mecânica do contrato inteligente permitia com que uma forte alteração de preço no Bechmark Token, criasse o cenário ideal para fazer trade entre ele, o índice e tokens recém incluídos na cesta.
AMM, índices preguiçosos e arbitragem
Os índices como o DEFI5 funcionavam da seguinte maneira:
- Os tokens mais relevantes da categoria DeFi eram selecionados pela equipe, que criava uma “cesta” de ativos através de contrato inteligente;
- O contrato permitia com que investidores depositassem os tokens da cesta, em troca de uma quantidade do token do índice (DEFI5), que era cunhado (mint) segundo demanda;
- O sistema funcionava através do modelo Automatic Market Maker (AMM), onde o preço dos tokens de uma determinada pool (cesta) eram definidos de acordo com a oferta e demanda destes tokens: incentivando os investidores a retirar ou acrescentar mais unidades conforme boas oportunidades de arbitragem surgissem entre os tokens na plataforma e os mesmos tokens negociados em outras Exchanges Descentralizadas (DEX);
- Também era possível queimar o DEFI5 e receber todos os ativos que compunham a cesta segundo sua proporção dentro da pool, que variava com as oportunidades de arbitragem, regulando o preço.
- No caso do DEFI5 na época do “hack”, seu valor era definido principalmente pelo Bechmark Token: Uniswap (UNI).
Arbitragem é a operação de trade onde o trader busca lucrar com a diferença de preço de um token em dois mercados diferentes. Por exemplo: comprar em uma exchange cujo preço está mais barato e vender em outra onde o preço está mais caro.
É uma operação completamente normal e legal. Inclusive é muito importante, pois é o que garante um equilíbrio de preço entre todos os mercados globais, enquanto traders buscam lucro com estas oportunidades.
O “hack”, que na verdade foi uma operação de arbitragem bem feita
Ao compreender o funcionamento e identificar a oportunidade, Andean tomou emprestado US $157 milhões utilizando seu próprio patrimônio como colateral, em plataformas de liquidez como a AAVE.
Com o dinheiro emprestado ele comprou quase todos os tokens UNI da pool do DEFI5, fazendo com que o preço do UNI subisse mais de 860 vezes de uma vez, em relação aos outros tokens da cesta. Seguindo a lógica do AMM, o preço do DEFI5 caiu cerca de 380 vezes em relação ao UNI, incentivando os traders a depositarem UNI, para “suprir o aumento de demanda” fabricado por Andean.
Com os tokens UNI recém adquiridos e mais uma nova quantidade do mesmo ativo que também foi tomada emprestada, o prodígio matemático de 18 anos agora trocou de volta pelo “desvalorizado” token DEFI5.
Neste ponto, Medjedovic estaria lucrando em sua operação, mas sendo proprietário de um índice sem valor monetário fora da plataforma (sem liquidez). Ele precisava agora de um próximo passo perfeitamente executado pelo script que ele havia desenvolvido.
A segunda fase do plano envolvia a tomada de um novo empréstimo, desta vez em SUHI (token da SushiSwap), que havia sido recentemente listado na pool de DEFI5 e, portanto, por funcionamento do próprio código e sistema da Indexed Finance, tinha um valor mais atrativo em relação aos outros ativos da cesta, para incentivar investidores depositarem o token na pool.
Ao invés de depositar os tokens em processo normal, o “hacker” fez um depósito no formato de doação (uma doação de US $2,4 milhões), sem solicitar o proporcional em DEFI5.
Esta operação que não havia sido prevista pelo código, confundiu o contrato “inteligente” da Indexed Finance, eliminando o limite máximo de retirada de um determinado token para o endereço do doador e ainda fazendo com que o SUSHI tivesse uma queda de preço na pool, com o aumento repentino da oferta disponível.
Agora, UmbralUpsilon conseguiu trocar todos os seus tokens DEFI5 através da queima, recebendo SUSHI “com desconto”, em um preço muito inferior ao que estava sendo negociado em outras plataformas.
Nesta complexa operação que envolveu compreensão avançada do código usado na plataforma, uma “falha” do próprio contrato inteligente criado pelos desenvolvedores da Indexed Finance, uso de bastante capital do próprio prodígio que foi colocado em risco e a inteligência matemática proporcional, o garoto de 18 anos conseguiu lucrar $ 16 milhões de dólares, que foram movimentados para outro endereço e colocados em segurança.
Polêmica jurídica
De acordo com o “hacker”:
“Nada do que eu fiz envolve ter acesso forçado a um sistema que eu não tinha acesso. Eu não roubei as chaves privadas de ninguém. Eu interagi com o contrato inteligente de acordo com suas próprias regras disponíveis publicamente.”
E continuou, em um e-mail enviado para a Bloomberg:
“As pessoas que perderam tokens neste market maker eram outras pessoas que procuravam usar o contrato inteligente para sua própria vantagem e assumir posições de trade arriscadas que, aparentemente, não entendiam bem o suficiente.”
Sua justificativa é bastante plausível e a lógica pode ser aplicada em qualquer mercado, até mesmo em Wall Street, onde grandes instituições financeiras utilizam conhecimento avançado de mercado para identificar (ou criar) boas oportunidades de negociação e lucrar utilizando as regras do próprio sistema.
De acordo com alguns especialistas jurídicos, condenar Andrean abriria precedentes gigantes para todo o mercado financeiro do Canadá e também para todo o mercado cripto e DeFi, que envolvem sistemas semelhantes onde traders ganham e perdem o tempo todo, com operações de risco.
Ainda assim, a corte que está julgando o caso emitiu mandado de prisão preventiva para o gênio matemático, que no momento está desaparecido e recentemente movimentou parte dos fundos, enviando para um sistema de mixagem, que visa dificultar o rastreamento das moedas.
O código é a lei
Durante o desenrolar do caso, a reportagem da Bloomberg afirma que Medjedovic publicou o seguinte poema em seu twitter:
“A single frog hops in the pool, does something cool;/ To boil him, they try. ‘Don’t arb that,’ and they start to cry./ But the frog is not dismayed, for he has god on his side.”
“Um único sapo pula na piscina, faz algo legal;/ Cozinhá-lo, eles tentam. ‘Não arbitre isso’, e eles começam a chorar./ Mas o sapo não fica desanimado, pois ele tem deus [o código] do seu lado.”
De acordo com Andean, neste caso, o código é a lei de deus.
