Exploit de rebalanceo en Indexed Finance

El 14 de octubre de 2021 a las 18:37 UTC, el protocolo de pools de índice Indexed Finance fue explotado por aproximadamente 16 millones de dólares, drenados de sus dos índices más grandes, DEFI5 y CC10. El atacante, identificado luego como el matemático canadiense de 18 años Andean Medjedovic, se convirtió en uno de los acusados más famosos de "code is law" de la historia del cripto.

Qué ocurrió

Indexed Finance permitía a los usuarios comprar exposición a cestas de tokens DeFi mediante pools de índice: DEFI5 (5 activos DeFi principales) y CC10 (10 activos cripto de gran capitalización). Los pools rebalanceaban sus pesos internos basados en la composición actual del pool leída directamente durante las llamadas de rebalanceo.

El atacante se dio cuenta de que prestar grandes cantidades de un único token subyacente al pool con préstamo flash desplazaría la contabilidad interna del pool de formas que la lógica de rebalanceo interpretaba incorrectamente, infravalorando el TVL efectivo del pool en relación con el suministro de tokens de índice y dejando al atacante acuñar muchísimos más tokens de índice de lo que valía realmente el depósito.

El ataque:

1. Pidió préstamo flash de UNI desde Aave y otras fuentes.
2. Bombeó el UNI prestado en DEFI5 y CC10 a cambio de tokens de índice.
3. La lógica de rebalanceo, alimentada con saldos internos manipulados, calculó el valor del pool mucho más bajo de lo que debería haber sido, dejando al atacante acuñar muchos más tokens de índice por dólar de UNI de lo que la fórmula pretendía.
4. Quemó los tokens de índice recién acuñados para redimir la cesta subyacente, recibiendo mucho más valor del que el UNI depositado valía.
5. Repagó el préstamo flash y se marchó.

Activos robados en DEFI5 y CC10: 15 ETH, 226.900 UNI, 7.500 AAVE, 6.400 COMP, 845.800 CRV, 516 MKR, 45.400 SNX, 33.200 LINK, 5.200 YFI, 17.800 UMA, 131.600 BAT: unos 16 M$ en total. NDX (token de gobernanza de Indexed) cayó un 27% intradía.

Consecuencias

• Indexed Finance pausó las operaciones del pool y publicó un análisis post-mortem detallado.
• El equipo identificó al atacante en cuestión de días: la forense on-chain rastreó los fondos y las cuentas KYC; el equipo nombró públicamente a Andean Medjedovic, un canadiense de 18 años.
• Medjedovic se negó a devolver los fondos y tomó públicamente la posición "code is law", argumentando que explotar contratos inteligentes que funcionan según diseño no debería ser ilegal.
• Indexed Finance siguió la vía civil en tribunales canadienses; Medjedovic se convirtió en un símbolo recurrente de "code is law" en la comunidad DeFi durante varios años.
• Medjedovic fue luego imputado en EE. UU. por el exploit de KyberSwap en noviembre de 2023, que usó un patrón de ataque por error de precisión estructuralmente similar.

Por qué importa

Indexed Finance fue el caso de prueba más prominente de "code is law" de su era. La cuestión legal —si explotar una consecuencia no prevista pero real de la lógica de un contrato inteligente constituye un crimen— ha sido progresivamente acotada por fallos posteriores. El caso Mango Markets en 2025 vio a un juez federal anular las condenas de Avraham Eisenberg por motivos similares; la misma teoría legal subyace a la defensa de Medjedovic tanto en el caso Indexed como en el de KyberSwap.

La lección estructural en el lado técnico —que los cálculos de rebalanceo de pools de índice son lecturas tipo oráculo de estado manipulable y necesitan protecciones resistentes a préstamos flash— la aprendieron los protocolos de índice que vinieron después. La categoría de "fondos de índice de auto-rebalanceo con lecturas de precio internas" está ahora dominada por diseños que o bien usan anclajes de oráculo externos o imponen períodos mínimos de retención para derrotar la manipulación de un solo bloque.