سرقة 80 مليون دولار. لم يُحاسَب أحد.

80 مليون دولارسُرقت في هجوم واحد

$0أُعيد للضحايا

4 سنواتمن صمت Mound Inc.

0أشخاص تمت محاسبتهم

الحالة: لم تُحل. شركة Mound Inc. — الشركة الكورية التي تقف خلف Qubit Finance، المدعومة من Binance — استغلت ثغرة حرجة في عقد الجسر الخاص بها غير المُراجَع أمنياً، مما أدى إلى خسارة 80 مليون دولار من أموال المستخدمين. ردهم: حذف الضحايا من Telegram، وقيام المدير التقني بحذف حسابه على LinkedIn، والادعاء بتقديم بلاغات للشرطة (لم يتم التحقق منها أبداً)، ثم الاختفاء. لا تعويض. لا محاسبة. لا إجابات.

الحادثة

ماذا حدث

أدارت Qubit Finance جسراً عبر السلاسل (QBridge) بين Ethereum وBinance Smart Chain. في 28 يناير 2022، اكتشف مهاجم أن استدعاء deposit() بدلاً من depositETH() يُطلق نفس الحدث على السلسلة — لكنه لا يتطلب أي ETH فعلي. قام مُرحّل الجسر، الذي يراقب الأحداث فقط، بسك رموز qXETH على BSC مجاناً. استخدم المهاجم هذه الرموز كضمان لاستنزاف 80 مليون دولار.

ثلاثة أمور جعلت هذا ممكناً: تم نشر الجسر بدون إتمام المراجعة الأمنية، وتم تغيير مُعامل في العقد سراً من قِبَل المالك قبل أيام (بدون قفل زمني، بدون إعلان)، وسلوك معروف في EVM — أن استدعاء أي دالة على العنوان الصفري ينجح بصمت — لم يُؤخذ في الاعتبار أبداً.

الرواية الكاملة

كيف نُفذ الهجوم خطوة بخطوة — الثغرة، والاستغلال، والـ 80 مليون دولار التي اختفت.

ماذا حدث ←

التحليل التقني

تصادم الأحداث بين deposit() وdepositETH(). خدعة العنوان الصفري EOA. التغيير المشبوه في المُعامل.

التحليل التقني ←

الجدول الزمني

من استغلال 28 يناير إلى أربع سنوات من الصمت — سجل زمني كامل.

الجدول الزمني ←

تسعة أسئلة بلا إجابة

لماذا تجاهل الفريق أشخاصاً لديهم معلومات عن المخترق؟ لماذا تم نشر كود غير مُراجَع؟ لماذا حُذف حساب المدير التقني على LinkedIn؟

الأدلة ←

رد الفريق

المشرف الذي حذف الضحايا. المدير التقني الذي اختفى من LinkedIn. فريق أمان Binance الذي لم يُستدعَ أبداً.

رد الفريق ←

تتبّع الأموال

محفظة المخترق. الضحية الصامت بـ 20 مليون دولار المرتبط بمحفظة Binance الساخنة. أربع سنوات من عدم التحرك نحو الاسترداد.

مسار الأموال ←

الشركة

Mound Inc. — من المسؤول

تم بناء Qubit Finance بواسطة Mound Inc.، المسجلة في دايجون، كوريا الجنوبية (رقم التسجيل: 160111-0556766). الشركة مملوكة بنسبة 90.5% لشركة Krypton PTE. LTD. (سنغافورة)، التي يملك 60% منها الرئيس التنفيذي Jun Hur. كانت Mound Inc. قد خسرت بالفعل نحو 45 مليون دولار في اختراق PancakeBunny في مايو 2021. قاموا ببناء Qubit Finance للتعافي — ثم خسروا 80 مليون دولار إضافية.

Jun Hurالرئيس التنفيذي — 60% من Krypton PTEسيوتشو-غو، سيول · LinkedIn نشطAaron Yooshin Kimالمدير التقني — 20% من Krypton PTE⚠ حذف LinkedIn في 1 فبراير 2022 — بعد 4 أيام من الاختراقKim Hyungchulكبير مسؤولي الأمن — 20% من Krypton PTEالمسؤول عن الأمان — نشر الجسر بدون مراجعة أمنيةYonggon Kimمدير الأبحاثهندسة البروتوكول وتصميمهKim Taeeunمالك المنتجوافق على الإطلاق بدون إتمام المراجعة الأمنية

الهيكل المؤسسي الكامل، العناوين، وملفات المساهمين ←

الأموال

محفظة المخترق — لم تُسترد

0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7

Etherscan (ETH) · BSCScan (BSC) · تحليل مسار الأموال الكامل ←

محفظة واحدة خسرت 8,510.12 ETH (نحو 20 مليون دولار في ذلك الوقت) — ربع الاختراق بالكامل. جميع التحويلات مرت عبر محفظة Binance الساخنة. هذا الشخص لم ينطق بكلمة واحدة علناً.

Binance

Binance دعمت هذا المشروع

كان Qubit Finance مشروعاً على Binance Smart Chain بدعم صريح من Binance. عندما ناشد الضحايا مباشرةً CZ وBinance للتدخل — لحظر محفظة المهاجم، للضغط على Mound Inc.، لاستخدام نفوذهم على المنصة — تم تجاهلهم.

“مرحباً سيدي، على نفس BSC، لماذا حميتم Squid Game، ولم تفعلوا شيئاً مع Bunny هذه المرة؟ هذا ليس عدلاً.” — مناشدة ضحية لـ @cz_binance، 2022

اقرأ مناشدات الضحايا لـ Binance ←

اتخذ إجراءً

انضم إلى معركة المحاسبة

أبلغ عن معلومات

هل لديك معلومات عن المخترق، أو تحركات الأموال، أو قرارات Mound Inc. الداخلية؟ أرسلها — بسرية إن لزم الأمر.

أبلغ عن معلومات ←

مجتمع الضحايا

تواصل مع ضحايا آخرين. تحالف ضحايا Qubit يناضل من أجل المحاسبة منذ 2022.

Telegram: @qbtvictims ←

التغطية الإعلامية

Bloomberg وCoinDesk وThe Verge وZDNet وThe Register وغيرها غطت هذه القصة. لم تنتهِ بعد.

التقارير الإعلامية ←

شارك هذا الموقع

أفضل طريقة للحفاظ على الضغط على Mound Inc. هي إبقاء هذه القصة حية. شارك qbt.wiki.

كيف تشارك ←