Indexed Finance Rebalancing-Exploit

Am 14. Oktober 2021 um 18:37 UTC wurde das Index-Pool-Protokoll Indexed Finance um rund 16 Millionen $ exploitet — abgezogen aus seinen zwei größten Indizes, DEFI5 und CC10. Der Angreifer, später als 18-jähriger kanadischer Mathematiker Andean Medjedovic identifiziert, wurde zu einem der berühmtesten „code is law"-Beschuldigten in der Krypto-Geschichte.

Was geschah

Indexed Finance ließ Nutzer Exposure zu Körben von DeFi-Tokens über Index-Pools kaufen — DEFI5 (5 große DeFi-Assets) und CC10 (10 Large-Cap-Krypto-Assets). Die Pools rebalanced ihre internen Gewichte basierend auf der aktuellen Pool-Komposition, die direkt während der Rebalancing-Aufrufe gelesen wurde.

Der Angreifer erkannte, dass das Flash-Borrowing großer Mengen eines einzelnen Underlying-Tokens in den Pool das interne Accounting des Pools in einer Weise verschieben würde, die die Rebalancing-Logik falsch interpretiert — der effektive TVL des Pools relativ zu seiner Index-Token-Supply unterbewertet, und ließ den Angreifer enorm mehr Index-Tokens minten, als die Einlage wirklich wert war.

Der Angriff:

1. Flash-borgte UNI von Aave und anderen Quellen.
2. Pumpte das geliehene UNI in DEFI5 und CC10 im Tausch gegen Index-Tokens.
3. Die Rebalancing-Logik, mit manipulierten internen Bilanzen gefüttert, berechnete den Wert des Pools deutlich niedriger, als er hätte sein sollen — und ließ den Angreifer viel mehr Index-Tokens pro Dollar UNI minten, als die Formel beabsichtigte.
4. Burnte die frisch geminteten Index-Tokens, um den Underlying-Korb einzulösen — und erhielt weit mehr Wert heraus als den Wert des eingezahlten UNI.
5. Zahlte den Flash Loan zurück und ging.

Gestohlene Assets über DEFI5 und CC10: 15 ETH, 226,9K UNI, 7,5K AAVE, 6,4K COMP, 845,8K CRV, 516 MKR, 45,4K SNX, 33,2K LINK, 5,2K YFI, 17,8K UMA, 131,6K BAT — insgesamt rund 16 Mio. $. NDX (Indexeds Governance-Token) fiel intraday um 27 %.

Folgen

• Indexed Finance pausierte Pool-Operationen und veröffentlichte ein detailliertes Post-Mortem.
• Das Team identifizierte den Angreifer binnen Tagen — On-Chain-Forensik verfolgte die Gelder und KYC'te Konten; das Team nannte Andean Medjedovic öffentlich, einen 18-jährigen Kanadier.
• Medjedovic weigerte sich, die Gelder zurückzugeben, und vertrat öffentlich die „code is law"-Position — er argumentierte, das Exploiten von Smart Contracts, die wie designed funktionieren, solle nicht illegal sein.
• Indexed Finance verfolgte eine Zivilklage vor kanadischen Gerichten; Medjedovic wurde mehrere Jahre lang ein wiederkehrendes „code is law"-Symbol in der DeFi-Community.
• Medjedovic wurde später in den USA wegen des KyberSwap-Exploits im November 2023 angeklagt, der ein strukturell ähnliches Präzisions-Fehler-Angriffsmuster nutzte.

Warum es wichtig ist

Indexed Finance war der prominenteste „code is law"-Testfall seiner Ära. Die juristische Frage — ob das Ausnutzen einer unbeabsichtigten, aber realen Konsequenz von Smart-Contract-Logik eine Straftat darstellt — ist durch nachfolgende Urteile progressiv eingegrenzt worden. Der Mango-Markets-Fall 2025 sah einen Bundesrichter Avraham Eisenbergs Verurteilungen aufheben aus ähnlichen Gründen; dieselbe juristische Theorie liegt Medjedovics Verteidigung sowohl im Indexed- als auch im KyberSwap-Fall zugrunde.

Die strukturelle Lektion auf der technischen Seite — dass Index-Pool-Rebalancing-Berechnungen orakelartige Reads manipulierbaren States sind und Flash-Loan-resistenten Schutz brauchen — wurde von Index-Protokollen gelernt, die danach kamen. Die Kategorie „Auto-Rebalancing-Index-Fonds mit internen Preis-Reads" wird heute von Designs dominiert, die entweder externe Orakel-Anker nutzen oder Mindesthaltedauern erzwingen, um Single-Block-Manipulation abzuwehren.