इसे छोड़कर कंटेंट पर जाएं
Qubit Finance Hack

$80 मिलियन चोरी। किसी को जवाबदेह नहीं ठहराया गया।

28 जनवरी, 2022 को Qubit Finance के क्रॉस-चेन ब्रिज का शोषण किया गया। Mound Inc. — जिसे Binance का समर्थन प्राप्त था — ने उपयोगकर्ताओं की $80M की धनराशि ली और चुप हो गए। चार साल बाद, कुछ भी नहीं बदला है।
सबूत पढ़ें क्या हुआ था
$80Mएक हमले में चोरी
$0पीड़ितों को वापस किया गया
4 सालMound Inc. की चुप्पी
0लोगों को जवाबदेह ठहराया गया

स्थिति: अनसुलझा। Mound Inc. — Qubit Finance के पीछे की कोरियाई कंपनी, जिसे Binance का समर्थन प्राप्त था — ने अपने स्वयं के अनऑडिटेड ब्रिज कॉन्ट्रैक्ट में एक गंभीर कमज़ोरी का शोषण किया, जिससे उपयोगकर्ताओं की $80M की धनराशि खो गई। उनकी प्रतिक्रिया: पीड़ितों को Telegram से हटाना, CTO द्वारा अपना LinkedIn डिलीट करना, पुलिस रिपोर्ट दर्ज करने का दावा (कभी सत्यापित नहीं हुआ), और गायब हो जाना। कोई मुआवज़ा नहीं। कोई जवाबदेही नहीं। कोई जवाब नहीं।

घटना

क्या हुआ था

Section titled “क्या हुआ था”

Qubit Finance ने Ethereum और Binance Smart Chain के बीच एक क्रॉस-चेन ब्रिज (QBridge) चलाया। 28 जनवरी, 2022 को, एक हमलावर ने पाया कि depositETH() के बजाय deposit() कॉल करने से वही ऑन-चेन इवेंट ट्रिगर होता था — लेकिन इसमें शून्य वास्तविक ETH की आवश्यकता थी। ब्रिज रिलेयर, जो केवल इवेंट्स देख रहा था, ने BSC पर मुफ़्त में qXETH टोकन मिंट कर दिए। हमलावर ने इन्हें कोलैटरल के रूप में उपयोग करके $80 मिलियन निकाल लिए।

तीन चीज़ों ने इसे संभव बनाया: ब्रिज पूर्ण सुरक्षा ऑडिट के बिना तैनात किया गया था, एक कॉन्ट्रैक्ट पैरामीटर कुछ दिन पहले मालिक द्वारा गुप्त रूप से बदल दिया गया था (कोई टाइमलॉक नहीं, कोई घोषणा नहीं), और एक ज्ञात EVM व्यवहार — कि ज़ीरो एड्रेस पर किसी भी फ़ंक्शन को कॉल करना चुपचाप सफल हो जाता है — कभी ध्यान में नहीं लिया गया

पूरा विवरण

हमला कैसे काम किया, चरण दर चरण — कमज़ोरी, शोषण, और गायब हुए $80M।

क्या हुआ था →

तकनीकी विश्लेषण

deposit() बनाम depositETH() इवेंट टकराव। ज़ीरो-एड्रेस EOA ट्रिक। संदिग्ध पैरामीटर बदलाव।

तकनीकी विश्लेषण →

समयरेखा

28 जनवरी के शोषण से लेकर चार साल की चुप्पी तक — एक पूर्ण कालानुक्रमिक रिकॉर्ड।

समयरेखा →

नौ अनुत्तरित प्रश्न

टीम ने हैकर की जानकारी रखने वाले लोगों को क्यों अनदेखा किया? अनऑडिटेड कोड क्यों तैनात किया गया? CTO का LinkedIn क्यों डिलीट किया गया?

सबूत →

टीम की प्रतिक्रिया

वह मॉडरेटर जिसने पीड़ितों को हटाया। वह CTO जो LinkedIn से गायब हो गया। Binance सुरक्षा टीम जिसे कभी बुलाया नहीं गया।

टीम की प्रतिक्रिया →

पैसे का पीछा करें

हैकर का वॉलेट। Binance Hot Wallet से जुड़ा $20M का मूक पीड़ित। रिकवरी की दिशा में चार साल शून्य प्रगति।

धनप्रवाह →

कंपनी

Mound Inc. — कौन है जिम्मेदार

Section titled “Mound Inc. — कौन है जिम्मेदार”

Qubit Finance को Mound Inc. द्वारा बनाया गया था, जो दक्षिण कोरिया के दायजॉन में पंजीकृत है (पंजीकरण: 160111-0556766)। कंपनी का 90.5% स्वामित्व Krypton PTE. LTD. (सिंगापुर) के पास है, जिसका 60% CEO Jun Hur के पास है। Mound Inc. ने पहले ही मई 2021 के PancakeBunny हैक में ~$45M खो दिए थे। उन्होंने रिकवरी के लिए Qubit Finance बनाया — और फिर $80M और खो दिए।

Jun HurCEO — Krypton PTE का 60%सेओचो-गु, सियोल · LinkedIn सक्रियAaron Yooshin KimCTO — Krypton PTE का 20%⚠ 1 फ़रवरी, 2022 को LinkedIn डिलीट किया — हैक के 4 दिन बादKim HyungchulCSO — Krypton PTE का 20%सुरक्षा के लिए जिम्मेदार — अनऑडिटेड ब्रिज तैनात कियाYonggon Kimअनुसंधान निदेशकप्रोटोकॉल आर्किटेक्चर और डिज़ाइनKim Taeeunप्रोडक्ट ओनरपूर्ण ऑडिट के बिना लॉन्च को मंज़ूरी दी

पूर्ण कॉर्पोरेट संरचना, पते, और शेयरधारक फ़ाइलिंग →

पैसा

हैकर वॉलेट — अप्राप्त

Section titled “हैकर वॉलेट — अप्राप्त”
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7

Etherscan (ETH) · BSCScan (BSC) · पूर्ण धनप्रवाह विश्लेषण →

एक वॉलेट ने 8,510.12 ETH (~उस समय $20M USD) खो दिए — पूरे हैक का एक चौथाई। सभी ट्रांसफ़र Binance Hot Wallet के माध्यम से हुए। इस व्यक्ति ने कभी सार्वजनिक रूप से एक शब्द भी नहीं कहा।

Binance

Binance ने इस प्रोजेक्ट का समर्थन किया

Section titled “Binance ने इस प्रोजेक्ट का समर्थन किया”

Qubit Finance एक Binance Smart Chain प्रोजेक्ट था जिसे Binance का स्पष्ट समर्थन प्राप्त था। जब पीड़ितों ने सीधे CZ और Binance से हस्तक्षेप की अपील की — हमलावर के वॉलेट को ब्लैकलिस्ट करने, Mound Inc. पर दबाव डालने, अपने प्लेटफ़ॉर्म के प्रभाव का उपयोग करने के लिए — उन्हें अनदेखा कर दिया गया।

“सर नमस्ते, उसी BSC पर, आपने Squid Game की रक्षा क्यों की, लेकिन इस बार Bunny के साथ कुछ क्यों नहीं किया? यह निष्पक्ष खेल नहीं है।” — @cz_binance को पीड़ित की अपील, 2022

Binance को पीड़ितों की अपील पढ़ें →

कार्रवाई करें

जवाबदेही की लड़ाई में शामिल हों

Section titled “जवाबदेही की लड़ाई में शामिल हों”

जानकारी दें

क्या आपके पास हैकर, फंड मूवमेंट, या Mound Inc. के आंतरिक निर्णयों के बारे में जानकारी है? इसे जमा करें — ज़रूरत हो तो गोपनीय रूप से।

जानकारी दें →

पीड़ित समुदाय

अन्य पीड़ितों से जुड़ें। Qubit Victims Alliance 2022 से जवाबदेही के लिए लड़ रहा है।

Telegram: @qbtvictims →

मीडिया कवरेज

Bloomberg, CoinDesk, The Verge, ZDNet, The Register और अन्य ने इस कहानी को कवर किया। यह अभी खत्म नहीं हुई है।

मीडिया रिपोर्ट →

इस साइट को शेयर करें

Mound Inc. पर दबाव बनाए रखने का सबसे अच्छा तरीका इस कहानी को जीवित रखना है। qbt.wiki शेयर करें।

कैसे शेयर करें →