Nueve preguntas que Mound Inc. nunca ha respondido
Cuatro años después del hackeo, estas nueve preguntas siguen sin respuesta. Cada una señala a un equipo que falló a sus usuarios — antes, durante y después del exploit.
1. ¿Por qué ignorar a las personas que se presentaron con información sobre el hacker?
Sección titulada «1. ¿Por qué ignorar a las personas que se presentaron con información sobre el hacker?»El equipo pidió públicamente que cualquier persona con información sobre el hacker los contactara. La gente lo hizo. El equipo no respondió.
“He contactado al equipo en Tox y aún no hay respuesta.” — Reddit, comunidad de PancakeBunny
Si genuinamente estás intentando recuperar $80M, no ignoras las pistas.
2. ¿Quién es la víctima de $20M con conexiones a Binance — y por qué guarda silencio?
Sección titulada «2. ¿Quién es la víctima de $20M con conexiones a Binance — y por qué guarda silencio?»La billetera 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d perdió 8,510.12 ETH — aproximadamente $20M — en este único incidente. Eso es una cuarta parte de todo el hackeo.
Cada transacción de esta billetera pasó por la Binance Hot Wallet. Y sin embargo, esta persona — la mayor víctima individual — no ha dicho nada, no ha hecho nada, y no ha buscado ninguna rendición de cuentas pública.
¿Quién es? ¿Tiene conexión con Mound Inc. o Binance? ¿Sabía del bridge sin auditar? ¿Por qué no ha hablado?
3. ¿Por qué no hubo una recompensa significativa para encontrar al hacker?
Sección titulada «3. ¿Por qué no hubo una recompensa significativa para encontrar al hacker?»El equipo ofreció al atacante $250,000 para devolver $80M. No ofrecieron nada a la comunidad por identificar al atacante. Cero recompensa por pistas. Cero incentivo para que alguien que pudiera saber algo se presentara.
Así no opera un equipo serio respecto a la recuperación.
4. ¿Por qué se desplegó código sin auditar en producción?
Sección titulada «4. ¿Por qué se desplegó código sin auditar en producción?»Los lanzamientos anteriores de Mound Inc. pasaron por auditorías de seguridad. El contrato QBridge — el componente exacto que fue explotado — fue desplegado a sabiendas sin completar su auditoría. La auditoría estaba en curso. Alguien tomó la decisión de lanzarlo de todos modos.
¿Quién tomó esa decisión? ¿Por qué? La respuesta nunca ha sido dada.
5. ¿Por qué se cambiaron los parámetros del contrato sin timelock ni anuncio?
Sección titulada «5. ¿Por qué se cambiaron los parámetros del contrato sin timelock ni anuncio?»Antes del hackeo, se utilizó una función onlyOwner para reasignar el mapeo de resourceID — cambiando la dirección del token de la dirección real del contrato de WETH a la dirección cero. Este único cambio hizo posible el exploit.
No hubo timelock. Ni notificación a la comunidad. Ni proceso de gobernanza. Los cambios a un contrato que contenía millones en fondos de usuarios se hicieron de forma invisible e instantánea.
Esto es negligencia catastrófica o algo peor.
6. ¿Por qué se eliminó a las víctimas del grupo oficial de Telegram?
Sección titulada «6. ¿Por qué se eliminó a las víctimas del grupo oficial de Telegram?»Cuando los usuarios que acababan de perder sus ahorros intentaron comunicarse en el grupo oficial de Telegram, el moderador del equipo @moleh los eliminó. Repetidamente.
Las personas más afectadas por el hackeo fueron silenciadas sistemáticamente por el equipo responsable del mismo.
7. ¿Por qué el equipo no contactó a Binance y a los principales exchanges inmediatamente?
Sección titulada «7. ¿Por qué el equipo no contactó a Binance y a los principales exchanges inmediatamente?»Lo primero que hace cualquier equipo responsable después de un exploit DeFi es contactar a los principales exchanges, bridges y protocolos de intercambio para poner en lista negra la billetera del atacante. Esto impide que el hacker convierta los fondos robados.
El equipo de Qubit Finance no hizo esto. La dirección del atacante no fue puesta en lista negra rápidamente. Cada hora de retraso fue una hora en la que el hacker pudo mover $80M.
8. ¿Por qué nunca se hicieron públicos los informes policiales?
Sección titulada «8. ¿Por qué nunca se hicieron públicos los informes policiales?»El equipo afirmó que presentó denuncias ante la policía en dos jurisdicciones. Nunca proporcionaron:
- Números de caso
- Confirmaciones de presentación
- Ninguna actualización de las fuerzas del orden
Sin pruebas, estas afirmaciones son inverificables. Presentar una denuncia policial toma un día. Compartir el número de caso toma un minuto. Ninguna de las dos cosas se hizo.
9. ¿Por qué el equipo abandonó a las víctimas en lugar de trabajar con ellas?
Sección titulada «9. ¿Por qué el equipo abandonó a las víctimas en lugar de trabajar con ellas?»En lugar de estar junto a las víctimas — siendo transparentes, comunicativos, persiguiendo activamente la recuperación — Mound Inc. envió a un representante (@moleh) para eliminar a las víctimas de sus propios canales comunitarios.
Sin plan de recuperación. Sin mecanismo de compensación. Sin actualizaciones. Solo silencio, y un moderador con un botón de baneo.
Aún sin respuestas
Sección titulada «Aún sin respuestas»Si tienes información que arroje luz sobre cualquiera de estas preguntas — sobre el cambio de parámetros previo al hackeo, la víctima silenciosa de $20M, las decisiones internas del equipo, o el paradero de los fondos robados — por favor repórtala.