Aller au contenu
Qubit Finance Hack

80 millions de dollars volés. Personne n'a rendu de comptes.

Le 28 janvier 2022, le pont inter-chaînes de Qubit Finance a été exploité. Mound Inc. — soutenue par Binance — a emporté 80 M$ de fonds d'utilisateurs et s'est murée dans le silence. Quatre ans plus tard, rien n'a changé.
Lire les preuves Ce qui s'est passé
80 M$Volés en une seule attaque
0 $Restitués aux victimes
4 ansDe silence de la part de Mound Inc.
0Personne tenue responsable

STATUT : NON RÉSOLU. Mound Inc. — l’entreprise coréenne derrière Qubit Finance, soutenue par Binance — a exploité une vulnérabilité critique dans son propre contrat de pont non audité, perdant 80 M$ de fonds d’utilisateurs. Leur réponse : supprimer les victimes de Telegram, faire effacer le LinkedIn du CTO, prétendre avoir déposé des plaintes (jamais vérifiées), et disparaître. Aucune compensation. Aucune responsabilité. Aucune réponse.

L’incident

Ce qui s’est passé

Section intitulée « Ce qui s’est passé »

Qubit Finance exploitait un pont inter-chaînes (QBridge) entre Ethereum et Binance Smart Chain. Le 28 janvier 2022, un attaquant a découvert qu’appeler deposit() au lieu de depositETH() déclenchait le même événement on-chain — mais ne nécessitait aucun ETH réel. Le relayer du pont, ne surveillant que les événements, a émis des tokens qXETH sur BSC gratuitement. L’attaquant les a utilisés comme collatéral pour drainer 80 millions de dollars.

Trois facteurs ont rendu cela possible : le pont a été déployé sans audit de sécurité finalisé, un paramètre du contrat a été secrètement modifié par le propriétaire quelques jours avant (pas de timelock, pas d’annonce), et un comportement connu de l’EVM — le fait qu’appeler n’importe quelle fonction sur l’adresse zéro réussit silencieusement — n’a jamais été pris en compte.

Récit complet

Comment l’attaque a fonctionné, étape par étape — la vulnérabilité, l’exploit et les 80 M$ qui ont disparu.

Ce qui s’est passé →

Analyse technique

La collision d’événements entre deposit() et depositETH(). L’astuce de l’adresse zéro EOA. Le changement de paramètre suspect.

Analyse technique →

Chronologie

De l’exploit du 28 janvier à quatre ans de silence — un historique chronologique complet.

Chronologie →

Neuf questions sans réponse

Pourquoi l’équipe a-t-elle ignoré les personnes ayant des informations sur le hacker ? Pourquoi du code non audité a-t-il été déployé ? Pourquoi le LinkedIn du CTO a-t-il été supprimé ?

Les preuves →

Réponse de l'équipe

Le modérateur qui a supprimé les victimes. Le CTO qui a disparu de LinkedIn. L’équipe de sécurité de Binance qui n’a jamais été contactée.

Réponse de l’équipe →

Suivre l'argent

Le portefeuille du hacker. La victime silencieuse de 20 M$ liée au Binance Hot Wallet. Quatre ans sans aucune action de récupération.

Flux financiers →

L’entreprise

Mound Inc. — Qui est responsable

Section intitulée « Mound Inc. — Qui est responsable »

Qubit Finance a été créé par Mound Inc., enregistrée à Daejeon, Corée du Sud (Immatriculation : 160111-0556766). L’entreprise est détenue à 90,5 % par Krypton PTE. LTD. (Singapour), elle-même détenue à 60 % par le PDG Jun Hur. Mound Inc. avait déjà perdu environ 45 M$ lors du hack de PancakeBunny en mai 2021. Ils ont créé Qubit Finance pour se relancer — puis ont perdu 80 M$ de plus.

Jun HurPDG — 60 % de Krypton PTESeocho-gu, Séoul · LinkedIn actifAaron Yooshin KimCTO — 20 % de Krypton PTE⚠ LinkedIn supprimé le 1er février 2022 — 4 jours après le hackKim HyungchulCSO — 20 % de Krypton PTEResponsable de la sécurité — a déployé le pont non auditéYonggon KimDirecteur de la rechercheArchitecture et conception du protocoleKim TaeeunProduct OwnerA approuvé le lancement sans audit finalisé

Structure complète de l’entreprise, adresses et documents d’actionnariat →

L’argent

Portefeuille du hacker — Non récupéré

Section intitulée « Portefeuille du hacker — Non récupéré »
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7

Etherscan (ETH) · BSCScan (BSC) · Analyse complète des flux financiers →

Un portefeuille a perdu 8 510,12 ETH (environ 20 M$ USD à l’époque) — soit un quart de l’ensemble du hack. Toutes les transactions sont passées par le Binance Hot Wallet. Cette personne n’a jamais dit un mot publiquement.

Binance

Binance a soutenu ce projet

Section intitulée « Binance a soutenu ce projet »

Qubit Finance était un projet Binance Smart Chain avec le soutien explicite de Binance. Lorsque les victimes ont directement appelé CZ et Binance à intervenir — pour mettre le portefeuille de l’attaquant sur liste noire, pour faire pression sur Mound Inc., pour utiliser leur influence — ils ont été ignorés.

« Bonjour Monsieur, sur la même BSC, pourquoi avez-vous protégé Squid Game, mais n’avez rien fait pour Bunny cette fois ? Ce n’est pas du jeu équitable. » — Appel d’une victime à @cz_binance, 2022

Lire les appels des victimes à Binance →

Agir

Rejoignez le combat pour la responsabilité

Section intitulée « Rejoignez le combat pour la responsabilité »

Signaler des informations

Vous avez des informations sur le hacker, les mouvements de fonds ou les décisions internes de Mound Inc. ? Soumettez-les — de manière confidentielle si nécessaire.

Signaler des informations →

Communauté des victimes

Connectez-vous avec d’autres victimes. L’Alliance des victimes de Qubit se bat pour la responsabilité depuis 2022.

Telegram : @qbtvictims →

Couverture médiatique

Bloomberg, CoinDesk, The Verge, ZDNet, The Register et d’autres ont couvert cette affaire. Ce n’est pas terminé.

Articles de presse →

Partager ce site

Le meilleur moyen de maintenir la pression sur Mound Inc. est de garder cette histoire en vie. Partagez qbt.wiki.

Comment partager →