تسعة أسئلة لم تجب عليها Mound Inc. أبداً
بعد أربع سنوات من الاختراق، لا تزال هذه الأسئلة التسعة دون إجابة. كل سؤال منها يشير إلى فريق خذل مستخدميه — قبل الاستغلال وأثناءه وبعده.
1. لماذا تجاهلتم الأشخاص الذين تقدموا بمعلومات عن المخترق؟
Section titled “1. لماذا تجاهلتم الأشخاص الذين تقدموا بمعلومات عن المخترق؟”طلب الفريق علنياً من أي شخص لديه معلومات عن المخترق التواصل معهم. فعل الناس ذلك. لكن الفريق لم يرد.
“تواصلت مع الفريق عبر Tox ولم أحصل على رد بعد.” — Reddit، مجتمع PancakeBunny
إذا كنت تحاول فعلاً استرداد 80 مليون دولار، فلا تتجاهل الخيوط.
2. من هو الضحية صاحب الـ 20 مليون دولار المرتبط بـ Binance — ولماذا يلتزم الصمت؟
Section titled “2. من هو الضحية صاحب الـ 20 مليون دولار المرتبط بـ Binance — ولماذا يلتزم الصمت؟”المحفظة 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d خسرت 8,510.12 ETH — ما يعادل تقريباً 20 مليون دولار — في هذه الحادثة وحدها. هذا يمثل ربع قيمة الاختراق بالكامل.
كل معاملة من هذه المحفظة مرت عبر محفظة Binance الساخنة. ومع ذلك، هذا الشخص — الضحية الأكبر على الإطلاق — لم يقل شيئاً، ولم يفعل شيئاً، ولم يسعَ إلى أي محاسبة علنية.
من هو هذا الشخص؟ هل له علاقة بـ Mound Inc. أو Binance؟ هل كان يعلم بالجسر غير المُدقَّق؟ لماذا لم يتحدث؟
3. لماذا لم تكن هناك مكافأة حقيقية للعثور على المخترق؟
Section titled “3. لماذا لم تكن هناك مكافأة حقيقية للعثور على المخترق؟”عرض الفريق على المهاجم 250,000 دولار لإعادة 80 مليون دولار. وعرض على المجتمع لا شيء لتحديد هوية المهاجم. صفر مكافأة على المعلومات. صفر حوافز لأي شخص قد يعرف شيئاً للتقدم.
هذه ليست طريقة عمل فريق جاد في استرداد الأموال.
4. لماذا تم نشر كود غير مُدقَّق في بيئة الإنتاج؟
Section titled “4. لماذا تم نشر كود غير مُدقَّق في بيئة الإنتاج؟”خضعت إصدارات Mound Inc. السابقة لتدقيقات أمنية. عقد QBridge — المكوّن نفسه الذي تم استغلاله — تم نشره عمداً دون إكمال تدقيقه. كان التدقيق قيد التنفيذ. اتخذ شخص ما قرار الإطلاق على أي حال.
من اتخذ هذا القرار؟ لماذا؟ لم تُقدَّم الإجابة أبداً.
5. لماذا تم تغيير معاملات العقد دون قفل زمني أو إعلان؟
Section titled “5. لماذا تم تغيير معاملات العقد دون قفل زمني أو إعلان؟”قبل الاختراق، تم استخدام دالة مقيدة بالمالك لإعادة تعيين ربط resourceID — بتغيير عنوان التوكن من العقد الحقيقي لـ WETH إلى العنوان الصفري. هذا التغيير الوحيد هو ما جعل الاستغلال ممكناً.
لم يكن هناك قفل زمني. لا إشعار للمجتمع. لا عملية حوكمة. تم إجراء تغييرات على عقد يحتفظ بملايين من أموال المستخدمين بشكل خفي وفوري.
هذا إما إهمال كارثي أو شيء أسوأ.
6. لماذا تمت إزالة الضحايا من مجموعة Telegram الرسمية؟
Section titled “6. لماذا تمت إزالة الضحايا من مجموعة Telegram الرسمية؟”عندما حاول المستخدمون الذين خسروا مدخراتهم للتو التواصل في مجموعة Telegram الرسمية، قام مشرف الفريق @moleh بإزالتهم. بشكل متكرر.
الأشخاص الأكثر تضرراً من الاختراق تم إسكاتهم بشكل منهجي من قبل الفريق المسؤول عنه.
7. لماذا لم يتواصل الفريق مع Binance والمنصات الكبرى فوراً؟
Section titled “7. لماذا لم يتواصل الفريق مع Binance والمنصات الكبرى فوراً؟”أول ما يفعله أي فريق مسؤول بعد استغلال في DeFi هو التواصل مع المنصات الكبرى والجسور وبروتوكولات التبادل لحظر محفظة المهاجم. هذا يمنع المخترق من تحويل الأموال المسروقة.
فريق Qubit لم يفعل ذلك. لم يتم حظر عنوان المهاجم على الفور. كل ساعة تأخير كانت ساعة يمكن للمخترق فيها تحريك 80 مليون دولار.
8. لماذا لم تُنشر بلاغات الشرطة علناً؟
Section titled “8. لماذا لم تُنشر بلاغات الشرطة علناً؟”ادّعى الفريق أنه قدم بلاغات للشرطة في ولايتين قضائيتين. لكنهم لم يقدموا أبداً:
- أرقام القضايا
- تأكيدات التقديم
- أي تحديث من جهات إنفاذ القانون
بدون إثبات، هذه الادعاءات غير قابلة للتحقق. تقديم بلاغ للشرطة يستغرق يوماً. مشاركة رقم القضية تستغرق دقيقة. لم يتم أي منهما.
9. لماذا تخلى الفريق عن الضحايا بدلاً من العمل معهم؟
Section titled “9. لماذا تخلى الفريق عن الضحايا بدلاً من العمل معهم؟”بدلاً من الوقوف إلى جانب الضحايا — بشفافية وتواصل ومتابعة فعالة لاسترداد الأموال — أرسلت Mound Inc. ممثلاً واحداً (@moleh) لإزالة الضحايا من قنوات مجتمعهم الخاصة.
لا خطة استرداد. لا آلية تعويض. لا تحديثات. مجرد صمت، ومشرف بزر حظر.
لا تزال بلا إجابات
Section titled “لا تزال بلا إجابات”إذا كانت لديك معلومات تلقي الضوء على أي من هذه الأسئلة — حول تغيير المعاملات قبل الاختراق، أو الضحية الصامت صاحب الـ 20 مليون دولار، أو قرارات الفريق الداخلية، أو مكان الأموال المسروقة — يرجى الإبلاغ عنها.