22세의 캐나다 출신 해커가 두 개의 탈중앙화 금융(DeFi) 프로토콜에서 총 6,500만 달러(약 940억 원)를 탈취한 뒤 세르비아에서 구금 상태에서 사라진 사실이 밝혀졌다. 그는 미국 등 다수의 사법 관할권에서 범죄 혐의를 받고 있으며 현재 그의 행방은 여전히 오리무중이다.
해커의 이름은 안디언 메드제도비치로, 그는 캐나다 해밀턴 출신으로 18세에 순수수학으로 석사 학위를 취득한 ‘수학 천재’로 알려져 있다. 미국 법무부가 최근 제출한 기소장에 따르면, 그는 2021년부터 DeFi 프로토콜을 목표로 해킹을 감행하며 막대한 암호화폐를 탈취하고 그 자산을 세탁했다는 혐의를 받고 있다.
그의 첫 번째 범행은 2021년 10월로 거슬러 올라간다. 메드제도비치는 인덱스드 파이낸스(Indexed Finance)에서 암호화폐를 차입하여 지수 풀을 조작함으로써 1,650만 달러(약 239억 원)를 훔쳤다. 이후 공범과 함께 거래소 계정과 믹서 서비스를 이용해 자금을 은닉했다.
가장 대담한 두 번째 공격은 2023년 11월 ‘카이버스왑(KyberSwap)’ 프로토콜에서 발생했다. 그는 알고리즘의 취약점을 활용하여 자동화 마켓 메이커(AMM)의 가격을 임의로 왜곡하고 이 과정에서 약 4,880만 달러(약 706억 원)를 탈취했다. 해킹 직후 그는 “충분히 쉬고 나서 몇 시간 내에 협상을 시작하겠다”는 메시지를 공개했지만, 플랫폼 측의 보상금 제안을 거부하고 카이버스왑의 전체 통제권을 요구함으로써 논란을 불러일으켰다.
해킹 과정에서 그는 폴리곤(MATIC)과 아발란체(AVAX) 체인에서 봇을 이용해 추가로 570만 달러(약 83억 원)를 추출한 정황도 포착되었다. 이 자금 중 약 90%는 봇 운영자들과의 협상을 통해 사용자에게 환급된 것으로 알려졌다.
메드제도비치는 해킹 이후 가명과 가짜 여권을 사용하여 네덜란드, 암스테르담, 이스탄불, 쿠웨이트를 거쳐 도피한 것으로 확인됐다. 유럽에서는 그의 체포를 위한 영장과 인터폴 적색 수배령이 내려졌고, 그는 세르비아에서 호화로운 생활을 이어왔다. 2024년 8월 9일, ‘로렌조’라는 이름을 사용하며 베오그라드에 입국했으나, 다시 신원을 숨긴 채 사라졌다.
그는 세르비아 법원에서 보스니아 여권만 소지하고 있다고 주장하며, 네덜란드로의 송환을 거부하고 세르비아에 정착할 의사를 전했다. 또한 그는 “세르비아에서 가족을 만들고 새로운 삶의 도전을 하고 싶다”고 말했다.
미국 측의 기소 내용에 따르면, 메드제도비치는 해킹 및 자금세탁을 위해 정교한 매뉴얼을 작성하여 운영했다. 해당 문서에는 ‘가짜 신분증으로 새 은행 계좌 만들기’, ‘온라인 문서 주문(러시아, 브라질, 미국 국적 포함)’과 같은 세부 실행 계획이 담겨 있었다. 암호화폐 추적 기술이 날로 발전하고 있는 현 상황에서 메드제도비치는 그 시점부터 자산의 흐름을 완전히 숨기지 않는 이상, 추적망에서 벗어나는 것이 불가능하다는 경고도 제기되고 있다.
현재까지 회수된 자산은 없으며, 메드제도비치의 지갑에 있는 암호화폐 자산은 이동 없이 잠겨 있는 상태다. 수사 당국은 그가 자금을 반환하지 않거나 협조하지 않을 경우, 10년 이상의 실형을 받을 수 있다고 경고하고 있다.
이번 사건은 기술적 재능
