Saltearse al contenido
Qubit Finance Hack

$80 Millones Robados. Nadie Rindió Cuentas.

El 28 de enero de 2022, el puente cross-chain de Qubit Finance fue explotado. Mound Inc. — respaldada por Binance — se llevó $80M de fondos de usuarios y guardó silencio. Cuatro años después, nada ha cambiado.
Leer la Evidencia Qué Sucedió
$80MRobados en un solo ataque
$0Devueltos a las víctimas
4 añosDe silencio de Mound Inc.
0Personas que rindieron cuentas

ESTADO: SIN RESOLVER. Mound Inc. — la empresa coreana detrás de Qubit Finance, respaldada por Binance — explotó una vulnerabilidad crítica en su propio contrato de puente sin auditar, perdiendo $80M de fondos de usuarios. Su respuesta: eliminar a las víctimas de Telegram, hacer que el CTO borrara su LinkedIn, afirmar que presentaron denuncias policiales (nunca verificadas) y desaparecer. Sin compensación. Sin rendición de cuentas. Sin respuestas.

El Incidente

Qué Sucedió

Sección titulada «Qué Sucedió»

Qubit Finance operaba un puente cross-chain (QBridge) entre Ethereum y Binance Smart Chain. El 28 de enero de 2022, un atacante descubrió que llamar a deposit() en lugar de depositETH() activaba el mismo evento on-chain — pero no requería ETH real alguno. El relayer del puente, que solo monitoreaba eventos, acuñó tokens qXETH en BSC de forma gratuita. El atacante los usó como colateral para drenar $80 millones.

Tres cosas lo hicieron posible: el puente fue desplegado sin una auditoría de seguridad completada, un parámetro del contrato fue cambiado en secreto por el propietario días antes (sin timelock, sin anuncio), y un comportamiento conocido de EVM — que llamar a cualquier función en la dirección cero tiene éxito silenciosamente — nunca fue contemplado.

Relato Completo

Cómo funcionó el ataque, paso a paso — la vulnerabilidad, el exploit y los $80M que desaparecieron.

Qué Sucedió →

Análisis Técnico

La colisión de eventos entre deposit() y depositETH(). El truco de la dirección cero EOA. El cambio sospechoso de parámetros.

Análisis Técnico →

Cronología

Desde el exploit del 28 de enero hasta cuatro años de silencio — un registro cronológico completo.

Cronología →

Nueve Preguntas Sin Respuesta

¿Por qué el equipo ignoró a personas con información sobre el hacker? ¿Por qué se desplegó código sin auditar? ¿Por qué se borró el LinkedIn del CTO?

La Evidencia →

Respuesta del Equipo

El moderador que eliminó a las víctimas. El CTO que desapareció de LinkedIn. El equipo de seguridad de Binance que nunca fue contactado.

Respuesta del Equipo →

Sigue el Dinero

La billetera del hacker. La víctima silenciosa de $20M conectada a Binance Hot Wallet. Cuatro años sin ningún avance hacia la recuperación.

Flujo del Dinero →

La Empresa

Mound Inc. — Quién Es Responsable

Sección titulada «Mound Inc. — Quién Es Responsable»

Qubit Finance fue construido por Mound Inc., registrada en Daejeon, Corea del Sur (Registro: 160111-0556766). La empresa es propiedad en un 90,5% de Krypton PTE. LTD. (Singapur), que a su vez es propiedad en un 60% del CEO Jun Hur. Mound Inc. ya había perdido ~$45M en el hackeo de PancakeBunny en mayo de 2021. Construyeron Qubit Finance para recuperarse — y perdieron $80M más.

Jun HurCEO — 60% de Krypton PTESeocho-gu, Seúl · LinkedIn activoAaron Yooshin KimCTO — 20% de Krypton PTE⚠ Borró LinkedIn el 1 de feb de 2022 — 4 días después del hackeoKim HyungchulCSO — 20% de Krypton PTEResponsable de seguridad — desplegó puente sin auditarYonggon KimDirector de InvestigaciónArquitectura y diseño del protocoloKim TaeeunProduct OwnerAprobó el lanzamiento sin auditoría completada

Estructura corporativa completa, direcciones y documentos de accionistas →

El Dinero

Billetera del Hacker — Sin Recuperar

Sección titulada «Billetera del Hacker — Sin Recuperar»
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7

Etherscan (ETH) · BSCScan (BSC) · Análisis completo del flujo de dinero →

Una billetera perdió 8.510,12 ETH (~$20M USD en ese momento) — una cuarta parte de todo el hackeo. Todas las transferencias pasaron por la Binance Hot Wallet. Esta persona nunca ha dicho una palabra públicamente.

Binance

Binance Respaldó Este Proyecto

Sección titulada «Binance Respaldó Este Proyecto»

Qubit Finance era un proyecto de Binance Smart Chain con respaldo explícito de Binance. Cuando las víctimas apelaron directamente a CZ y Binance para que intervinieran — para poner en lista negra la billetera del atacante, para presionar a Mound Inc., para usar su influencia como plataforma — fueron ignoradas.

“Hola señor, en la misma BSC, ¿por qué protegieron a Squid Game, pero no hicieron nada con Bunny esta vez? Esto no es juego limpio.” — Apelación de una víctima a @cz_binance, 2022

Leer las apelaciones de las víctimas a Binance →

Actúa

Únete a la Lucha por la Rendición de Cuentas

Sección titulada «Únete a la Lucha por la Rendición de Cuentas»

Reportar Información

¿Tienes información sobre el hacker, movimientos de fondos o decisiones internas de Mound Inc.? Envíala — de forma confidencial si es necesario.

Reportar Información →

Comunidad de Víctimas

Conéctate con otras víctimas. La Qubit Victims Alliance ha luchado por la rendición de cuentas desde 2022.

Telegram: @qbtvictims →

Cobertura Mediática

Bloomberg, CoinDesk, The Verge, ZDNet, The Register y más cubrieron esta historia. No ha terminado.

Reportajes de Medios →

Comparte Este Sitio

La mejor manera de mantener la presión sobre Mound Inc. es mantener viva esta historia. Comparte qbt.wiki.

Cómo Compartir →