Neuf questions auxquelles Mound Inc. n'a jamais répondu
Quatre ans après le hack, ces neuf questions restent sans réponse. Chacune d’entre elles pointe vers une équipe qui a trahi ses utilisateurs — avant, pendant et après l’exploit.
1. Pourquoi ignorer les personnes qui se sont manifestées avec des informations sur le hacker ?
Section intitulée « 1. Pourquoi ignorer les personnes qui se sont manifestées avec des informations sur le hacker ? »L’équipe a publiquement demandé à toute personne disposant d’informations sur le hacker de les contacter. Des gens l’ont fait. L’équipe n’a pas répondu.
« J’ai contacté l’équipe sur Tox et aucune réponse pour l’instant. » — Reddit, communauté PancakeBunny
Quand on essaie véritablement de récupérer 80 M$, on n’ignore pas les pistes.
2. Qui est la victime à 20 M$ avec des liens avec Binance — et pourquoi reste-t-elle silencieuse ?
Section intitulée « 2. Qui est la victime à 20 M$ avec des liens avec Binance — et pourquoi reste-t-elle silencieuse ? »Le portefeuille 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d a perdu 8 510,12 ETH — soit environ 20 M$ — lors de ce seul incident. Cela représente un quart de l’intégralité du hack.
Chaque transaction de ce portefeuille est passée par le Hot Wallet de Binance. Et pourtant cette personne — la plus grande victime individuelle — n’a rien dit, n’a rien fait et n’a exigé aucune responsabilité publique.
Qui est-ce ? Est-elle liée à Mound Inc. ou à Binance ? Savait-elle que le bridge n’avait pas été audité ? Pourquoi n’a-t-elle pas pris la parole ?
3. Pourquoi n’y a-t-il eu aucune prime significative pour retrouver le hacker ?
Section intitulée « 3. Pourquoi n’y a-t-il eu aucune prime significative pour retrouver le hacker ? »L’équipe a offert à l’attaquant 250 000 $ pour restituer 80 M$. Elle n’a rien offert à la communauté pour identifier l’attaquant. Aucune prime pour les pistes. Aucune incitation pour quiconque pourrait détenir des informations à se manifester.
Ce n’est pas ainsi qu’une équipe sérieuse dans sa démarche de récupération opère.
4. Pourquoi du code non audité a-t-il été déployé en production ?
Section intitulée « 4. Pourquoi du code non audité a-t-il été déployé en production ? »Les précédentes versions de Mound Inc. avaient fait l’objet d’audits de sécurité. Le contrat QBridge — le composant exact qui a été exploité — a été sciemment déployé sans que son audit ne soit terminé. L’audit était en cours. Quelqu’un a pris la décision de le mettre en ligne malgré tout.
Qui a pris cette décision ? Pourquoi ? La réponse n’a jamais été donnée.
5. Pourquoi les paramètres du contrat ont-ils été modifiés sans timelock ni annonce ?
Section intitulée « 5. Pourquoi les paramètres du contrat ont-ils été modifiés sans timelock ni annonce ? »Avant le hack, une fonction onlyOwner a été utilisée pour réassigner le mapping resourceID — changeant l’adresse du token de celle du véritable contrat WETH vers l’adresse zéro. Ce seul changement a rendu l’exploit possible.
Il n’y a eu aucun timelock. Aucune notification à la communauté. Aucun processus de gouvernance. Les modifications d’un contrat détenant des millions en fonds d’utilisateurs ont été effectuées de manière invisible et instantanée.
C’est soit une négligence catastrophique, soit quelque chose de pire.
6. Pourquoi les victimes ont-elles été exclues du groupe Telegram officiel ?
Section intitulée « 6. Pourquoi les victimes ont-elles été exclues du groupe Telegram officiel ? »Lorsque des utilisateurs qui venaient de perdre leurs économies ont tenté de communiquer dans le groupe Telegram officiel, le modérateur de l’équipe @moleh les a exclus. À plusieurs reprises.
Les personnes les plus touchées par le hack ont été systématiquement réduites au silence par l’équipe qui en était responsable.
7. Pourquoi l’équipe n’a-t-elle pas contacté Binance et les principales plateformes d’échange immédiatement ?
Section intitulée « 7. Pourquoi l’équipe n’a-t-elle pas contacté Binance et les principales plateformes d’échange immédiatement ? »La première chose que toute équipe responsable fait après un exploit DeFi est de contacter les principales plateformes d’échange, les bridges et les protocoles de swap pour mettre l’adresse de l’attaquant sur liste noire. Cela empêche le hacker de convertir les fonds volés.
L’équipe Qubit ne l’a pas fait. L’adresse de l’attaquant n’a pas été mise sur liste noire rapidement. Chaque heure de retard était une heure de plus pour le hacker pour déplacer 80 M$.
8. Pourquoi les plaintes déposées à la police n’ont-elles jamais été rendues publiques ?
Section intitulée « 8. Pourquoi les plaintes déposées à la police n’ont-elles jamais été rendues publiques ? »L’équipe a affirmé avoir déposé des plaintes auprès de la police dans deux juridictions. Elle n’a jamais fourni :
- De numéros de dossier
- De confirmations de dépôt
- La moindre mise à jour de la part des forces de l’ordre
Sans preuve, ces affirmations sont invérifiables. Déposer une plainte prend une journée. Communiquer le numéro de dossier prend une minute. Ni l’un ni l’autre n’a été fait.
9. Pourquoi l’équipe a-t-elle abandonné les victimes au lieu de travailler avec elles ?
Section intitulée « 9. Pourquoi l’équipe a-t-elle abandonné les victimes au lieu de travailler avec elles ? »Au lieu de se tenir aux côtés des victimes — de manière transparente, communicative, en poursuivant activement la récupération des fonds — Mound Inc. a envoyé un représentant (@moleh) pour exclure les victimes de leurs propres canaux communautaires.
Aucun plan de récupération. Aucun mécanisme de compensation. Aucune mise à jour. Juste le silence, et un modérateur avec un bouton de bannissement.
Toujours aucune réponse
Section intitulée « Toujours aucune réponse »Si vous détenez des informations susceptibles d’éclairer l’une de ces questions — sur la modification des paramètres avant le hack, la victime silencieuse à 20 M$, les décisions internes de l’équipe ou la localisation des fonds volés — veuillez les signaler.