加拿大“数学天才”成黑客 盗取$6500万加密货币

当航班从阿姆斯特丹史基浦机场起飞，经伊斯坦布尔飞往科威特时，加拿大加密货币“在逃人物”安迪恩·梅杰多维奇(Andean Medjedovic)还不知道，他这种满世界跑的生活，很快就要被按下暂停键了。

仅仅两周后，也就是2023年12月11日，荷兰当局对这名当时只有21岁的年轻人发出了欧洲逮捕令，指控他实施了一起“高度复杂的黑客攻击”，非法获取了价值4800万美元的加密货币。

这名来自安省哈密尔顿的年轻人，14岁就高中毕业，18岁拿到滑铁卢大学的纯数学硕士学位。九个月后，他在塞尔维亚首都贝尔格莱德被捕，并很快被带到法官面前。

在Indexed Finance因加密货币损失1650万美元后，该公司沿着网上线索和用户名追踪，最终找到了梅杰多维奇(Andean Medjedovic)，一位18岁的加拿大青年，他刚刚获得纯数学硕士学位。

CBC新闻调查节目(The Fifth Estate)和巴尔干调查报道网络(BIRN)拿到的贝尔格莱德高等法院引渡文件，罕见地揭示了这名年轻人的生活方式和行踪——他被指手握约6500万美元的加密资产，同时被多个国家通缉。

过去四年里，梅杰多维奇的去向几乎一直是个谜。网络上的各种猜测，很大程度来自他自己对记者的说法——他提到过南美、某些不知名的小岛，以及“欧洲某个地方的一座监狱”。

根据他在塞尔维亚司法程序中的陈述(已翻译)，自2021年底消失后，他曾前往巴西、迪拜、西班牙等地。

“他可能确实过得很奢侈，”前FBI探员、现任区块链情报公司TRM Labs员工凯尔·阿姆斯特朗(Kyle Armstrong)说。“但现实是，交房租、买车、旅行，愿意直接收加密货币的地方并不多，”他说。

不过，“如果他一路上成功掩盖了资金流向，确实有办法把其中一部分变成真金白银。”

在加密货币圈里，梅杰多维奇因被指利用数学和编程能力，从两个加密平台“抽干”数百万美元而出名。他更引人注目的，是他事后与受害者以及围观网友的互动方式——这完全不符合大多数黑客“拿钱就消失”的常规套路。

梅杰多维奇曾于2016年和2017年参加安省高中国际象棋锦标赛 图源：HWDSB Educational Archives

在越南加密平台KyberSwap被盗走数百万美元后(美方和荷兰当局都将这起事件归因于梅杰多维奇)，当时身份尚未确认的攻击者给该公司发了一条所有人都能看到的公开信息：“等我休息好，几个小时后就开始谈判。谢谢。”

KyberSwap随后提出了10%的“漏洞奖励金”(bug bounty)——这在类似事件中很常见，等于是把攻击包装成一次“安全测试”。黑客归还部分资金，就可以不被追责。“他直接拒绝了，”阿姆斯特朗说。

前FBI探员、现任区块链情报公司 TRM Labs 员工凯尔·阿姆斯特朗(Kyle Armstrong)图源：Jonathan Castell

相反，攻击者要求完全接管Kyber平台，并表示只向受损投资者返还50%的资金。他写道：“我知道这可能比你们期望的要少，但也比你们应得的多。”

“这就是一封勒索信，”阿姆斯特朗说。他补充，这正是美国司法部在2025年初解封起诉书、对梅杰多维奇提出敲诈指控的关键依据。

根据荷兰方面的引渡文件，这次黑客攻击是在海牙一家酒店里完成的，而他们称，梅杰多维奇是用一本伪造的斯洛伐克护照登记入住的。文件称，攻击发生后的第二天早上，他“突然”离开了酒店，尽管他已经付清了接下来一个月的住宿费。

这些模糊不清的图片被包含在对梅杰多维奇的欧洲逮捕令中，图片显示了据称他使用的卢卡·克拉约维奇名下的护照，以及他在一家酒店的监控录像。图源：District Public Prosecutor’s Office, The Hague

实际上，到那时他已经逃亡两年了。早在2021年底，安省高等法院的一名法官就因他未出庭应对一宗民事诉讼，对他发出了拘捕令。该诉讼由加密公司Indexed Finance的一名投资者提起。

检方指控，梅杰多维奇在18岁时利用Indexed程序漏洞，卷走了1650万美元。美国当局称，他在Kyber 和 Indexed案件中“使用了类似手法”：先借入数亿美元资金，通过密集交易人为制造供需假象，导致平台误判，最终让攻击者几乎不花钱就买走大量资产。

“本来是一块钱换一块钱的交易，”阿姆斯特朗说，“结果变成了一块钱换回价值好几块钱的资产。”CBC新闻曾发邮件向梅杰多维奇征求回应。他的回复只有一句：“我对这些指控只有一个辩护：‘我是个种族主义者。’请把这句话写进去，就这些，谢谢。”

《环球邮报》2016年报道称，梅杰多维奇(如图所示，照片出自学校年鉴)在小学期间就完成了九年级和十年级的数学课程。图源：HWDSB Educational Archives

调查发现，用于Indexed攻击的代码中，藏着针对黑人的种族歧视词语;而Kyber的代码中，则把盗窃行为比作性侵。一个与梅杰多维奇有关联的加密地址里，还出现了一个知名的新纳粹符号。

关于在塞尔维亚被捕以及荷兰的引渡请求，梅杰多维奇在贝尔格莱德高等法院表示：“我否认引渡请求中提到的所有指控，也不想去荷兰。”他还说：“我想在塞尔维亚生孩子，在这里实现更多事情。”

“在迪拜待了4个月”

谈到2023年KyberSwap被黑时的行踪，梅杰多维奇对法庭说：“我确实在国际通缉令所提到的时间段里待在荷兰，当时是以游客身份停留了三个月。”他说自己先去了波黑，然后是塞尔维亚、西班牙，最后从西班牙去了荷兰。

荷兰当局指出，在他停留荷兰期间，与其海牙酒店相关的一个IP地址曾出现与黑客攻击有关的“可疑活动”。他们还表示，梅杰多维奇曾使用波黑护照登上一趟离境航班;三天后，在他21岁生日的前两天，又用一本斯洛伐克护照前往萨拉热窝。

梅杰多维奇对法庭称，他持有波黑护照，但并没有加拿大护照，尽管他是加拿大公民。

加拿大环球事务部回应相关询问时表示，已知“一名加拿大公民于2024年夏天在海外被拘留”，领事官员当时向其提供了协助。

在他2023年前往波黑后，荷兰方面对他发出了逮捕令，同时国际刑警组织也发布了红色通缉令。接下来近半年，他的行踪不明，直到出现在阿联酋。

他对贝尔格莱德法院说，自己“在迪拜待了四个月”，并使用“Lorenzo”这个名字活动。他还用这个名字在贝尔格莱德租了公寓，但在2024年8月9日抵达该市当天被捕，国际刑警贝尔格莱德分部当天就联系了荷兰当局。

他承认使用过假证件，但坚称没有用假证件出入境：“我住酒店时会用假名字和假护照。尤其是在荷兰，我用的是假斯洛伐克护照，这是为了保护隐私——做加密交易的人经常会成为犯罪分子的目标。”

贝尔格莱德高等法院听取了梅杰多维奇的证词，称截至2024年8月，他是一名加密货币自由职业者，每月收入约为10万美元。图源：BIRN

美国起诉书称，梅杰多维奇曾在文件中写下诸如“用假身份证开新银行账户”“网上订购证件(俄罗斯 + 巴西 + 美国公民)”等内容。

起诉书还指出，他记录了详细的洗钱计划，文件名叫《moneyMovementSystem》，里面一步步说明如何通过“混币器”转移加密货币。混币器的作用，是掩盖加密货币的来源和去向。文件中还包含“让共谋者能够接触被盗资金的操作指引”。

其中一名共谋者未被点名，只被描述为“一名亲属”，曾居住在加拿大、美国马萨诸塞州剑桥等地。

2024年秋季，梅杰多维奇被关押在贝尔格莱德监狱。图源：BIRN

在梅杰多维奇被关押在贝尔格莱德监狱期间，超过600万美元、与其相关的加密货币被转入了名为Tornado Cash的混币器。

根据美方起诉书，该共谋者还通过某加密混币器收到了15.5万美元。起诉书称，两人合作清洗了KyberSwap和Indexed Finance案件中的非法所得。

“被认为仍在波黑逍遥法外”

在被羁押105天后，梅杰多维奇获释。贝尔格莱德高等法院在拒绝荷兰引渡请求时表示，荷方未能充分证明梅杰多维奇就是犯罪实施者;即便是，他所涉罪行在塞尔维亚法律下刑期过轻，不足以引渡。

一份此前未公开的美国司法部文件显示，他们一直在盯着他的下一步行动，并认为他很可能已迅速离开塞尔维亚，前往其西侧邻国。文件在2025年1月17日写道：“被告被认为仍在波黑逍遥法外。”