22歲加拿大駭客涉竊 6,500 萬美元加密貨幣後神秘失蹤

一位年僅 22 歲、曾被讚譽為「數學天才」的加拿大籍駭客，涉嫌自兩個去中心化金融（DeFi）協議中盜取總計 6,500 萬美元（約新台幣 20 億元），在遭到塞爾維亞當局拘留後神秘失蹤，至今下落不明。根據 Bloomberg 於 24 日（當地時間）報導，美國等多國司法機關已對其提起刑事指控。

這位駭客名為安迪恩·梅德傑多維奇（Andien Medjedovic），來自加拿大漢密爾頓，18 歲時即取得純數學碩士學位。美國司法部在公開的起訴書中指出，梅德傑多維奇自 2021 年起針對 DeFi 協議發動一連串攻擊，除竊取加密貨幣外，還涉嫌進行複雜的資金洗錢活動。

根據指控，他的第一起駭客行動發生於 2021 年 10 月，目標是 DeFi 協議「Indexed Finance」，透過操縱指數流動池，他竊取了約 1,650 萬美元（約新台幣 5.2 億元）。為掩蓋資金流向，他與共犯利用各大交易所帳戶與混幣器將資金迅速分散並藏匿。

第二起、也是最嚴重的攻擊則發生在 2023 年 11 月，對象為「KyberSwap」協議。梅德傑多維奇利用自動化做市商（AMM）演算法的漏洞，人為扭曲價格機制，成功盜取約 4,880 萬美元（約新台幣 15.3 億元）。在攻擊後，他於開源平台上留言稱打算「幾小時內協商」，但當 KyberSwap 提出懸賞金誘使其交還資金時，他不僅拒絕，更要求全面控制平台，引發業界震撼。

更進一步的分析指出，他還在 Polygon(MATIC)、Avalanche(AVAX) 等鏈上運行機器人，再額外抽出約 570 萬美元（約新台幣 1.8 億元）資金，雖然其中約 90% 最終透過談判返還用戶手中，但金額與手法仍顯示攻擊企圖極為複雜與縝密。

梅德傑多維奇於駭客事件後展開全球躲藏行動，捲入多方調查。荷蘭警方追查其足跡，發現他使用伪造的斯洛伐克護照入住海牙酒店，行經地涵蓋阿姆斯特丹、伊斯坦堡與科威特等地。歐洲刑警組織（Europol）隨後對其發布紅色通緝令，並展開跨國追捕。

根據美國司法文件，他曾利用贓款在巴西、杜拜、西班牙、波士尼亞與塞爾維亞等地進行奢華消費。2024 年 8 月 9 日，他以「洛倫佐」（Lorenzo）為化名進入塞爾維亞，並於貝爾格勒被捕。但數週後，在監視中卻神秘消失，目前行蹤依然成謎。

他於塞爾維亞出庭時聲稱自己沒有加拿大護照，只持有波士尼亞國籍，並表示拒絕引渡至荷蘭，意圖在當地定居。他甚至表示：「想在塞爾維亞建立家庭，展開人生新挑戰。」

根據美國檢方的進一步揭露，梅德傑多維奇在籌備駭客行動前，便撰寫了一份精密的攻擊與資金洗錢手冊，內容涵蓋如何利用假身份開設銀行帳戶、從俄羅斯、巴西、美國等地訂製偽造證件等環節，以構建一套「往返式」的洗錢機制。

TRM Labs 的前 FBI 探員凱爾·阿姆斯壯（Kyle Armstrong）指出：「只要他無法徹底隱匿資金軌跡，就不可能永遠逃避執法追蹤。」TRM 政策長亞里·拉德博德（Ari Redbord）也補充：「加密貨幣分析技術日新月異，長期藏匿資金的可能性已大幅降低。」

目前官方尚未成功追回任何失竊資產，其錢包也仍呈凍結狀態。當局強調，若他拒絕交還資金或不配合調查，面臨的刑責將超過 10 年。

評論：此次事件突顯「去中心化金融」在快速擴張下所面臨的潛在風險。駭客擁有高度技術能力與跨國藏匿技巧，讓傳統執法體系備受挑戰。隨著 DeFi 生態系持續成長，對於安全防護、數位鑑識與司法合作的需求也將與日俱增。