Exploit de rebalancement d'Indexed Finance

Le 14 octobre 2021 à 18h37 UTC, le protocole de pool index Indexed Finance a été exploité pour environ 16 millions de dollars — drainés depuis ses deux plus grands indexes, DEFI5 et CC10. L'attaquant, plus tard identifié comme le mathématicien canadien de 18 ans Andean Medjedovic, est devenu l'un des défendeurs « code is law » les plus célèbres de l'histoire de la crypto.

Ce qui s'est passé

Indexed Finance permettait aux utilisateurs d'acheter une exposition à des paniers de tokens DeFi via des pools index — DEFI5 (5 actifs DeFi majeurs) et CC10 (10 actifs crypto large-cap). Les pools rebalançaient leurs poids internes sur la base de la composition actuelle du pool lue directement pendant les appels de rebalancement.

L'attaquant a réalisé que prêter en flash de grandes quantités d'un seul token sous-jacent dans le pool déplacerait la comptabilité interne du pool de manière à ce que la logique de rebalancement l'interprète incorrectement — sous-évaluant la TVL effective du pool par rapport à son offre de tokens index, et permettant à l'attaquant de minter beaucoup plus de tokens index que la valeur réelle du dépôt.

L'attaque :

1. A emprunté de l'UNI en flash depuis Aave et d'autres sources.
2. A pumpé l'UNI emprunté dans DEFI5 et CC10 en échange de tokens index.
3. La logique de rebalancement, alimentée par des soldes internes manipulés, a calculé la valeur du pool bien plus basse qu'elle n'aurait dû être — permettant à l'attaquant de minter bien plus de tokens index par dollar d'UNI que la formule ne le prévoyait.
4. A burné les tokens index fraîchement mintés pour redeemer le panier sous-jacent — recevant bien plus de valeur en sortie que la valeur de l'UNI déposé.
5. A remboursé le prêt flash et est parti.

Actifs volés sur DEFI5 et CC10 : 15 ETH, 226,9K UNI, 7,5K AAVE, 6,4K COMP, 845,8K CRV, 516 MKR, 45,4K SNX, 33,2K LINK, 5,2K YFI, 17,8K UMA, 131,6K BAT — environ 16 M$ au total. NDX (token de gouvernance d'Indexed) a chuté de 27 % en intraday.

Conséquences

• Indexed Finance a suspendu les opérations des pools et publié un post-mortem détaillé.
• L'équipe a identifié l'attaquant en quelques jours — la forensique on-chain a tracé les fonds et identifié les comptes KYC ; l'équipe a publiquement nommé Andean Medjedovic, un Canadien de 18 ans.
• Medjedovic a refusé de restituer les fonds et a publiquement pris une position « code is law » — arguant qu'exploiter des smart contracts fonctionnant comme conçus ne devrait pas être illégal.
• Indexed Finance a poursuivi en action civile devant les tribunaux canadiens ; Medjedovic est devenu un symbole récurrent « code is law » dans la communauté DeFi pendant plusieurs années.
• Medjedovic a été plus tard inculpé aux États-Unis pour l'exploit KyberSwap en novembre 2023, qui a utilisé un pattern d'attaque par erreur de précision structurellement similaire.

Pourquoi c'est important

Indexed Finance était le cas de test « code is law » le plus en vue de son époque. La question juridique — si exploiter une conséquence non intentionnelle mais réelle de la logique d'un smart contract constitue un crime — a été progressivement réduite par les décisions ultérieures. L'affaire Mango Markets en 2025 a vu un juge fédéral annuler les condamnations d'Avraham Eisenberg sur des bases similaires ; la même théorie juridique sous-tend la défense de Medjedovic dans les affaires Indexed et KyberSwap.

La leçon structurelle côté technique — que les calculs de rebalancement des pools index sont des lectures de type oracle sur un état manipulable, et ont besoin de protections résistantes aux prêts flash — a été apprise par les protocoles index qui sont venus après. La catégorie « fonds index auto-rebalançants avec lectures de prix internes » est désormais dominée par des designs qui utilisent soit des ancres d'oracle externes, soit imposent des périodes de détention minimales pour défaire la manipulation en un seul bloc.