नौ सवाल जिनका Mound Inc. ने कभी जवाब नहीं दिया
हैक के चार साल बाद भी, ये नौ सवाल अनुत्तरित हैं। हर एक सवाल एक ऐसी टीम की ओर इशारा करता है जिसने अपने उपयोगकर्ताओं को धोखा दिया — शोषण से पहले, उसके दौरान, और उसके बाद।
1. हैकर की जानकारी लेकर आने वाले लोगों को क्यों नज़रअंदाज़ किया गया?
Section titled “1. हैकर की जानकारी लेकर आने वाले लोगों को क्यों नज़रअंदाज़ किया गया?”टीम ने सार्वजनिक रूप से कहा था कि हैकर के बारे में जानकारी रखने वाला कोई भी व्यक्ति उनसे संपर्क करे। लोगों ने किया। टीम ने कोई जवाब नहीं दिया।
“मैंने Tox पर टीम से संपर्क किया है और अभी तक कोई जवाब नहीं आया।” — Reddit, PancakeBunny समुदाय
अगर आप सच में $80M वापस पाने की कोशिश कर रहे हैं, तो आप सुरागों को नज़रअंदाज़ नहीं करते।
2. $20M का पीड़ित जिसके Binance से संबंध हैं — वह कौन है और वह चुप क्यों है?
Section titled “2. $20M का पीड़ित जिसके Binance से संबंध हैं — वह कौन है और वह चुप क्यों है?”वॉलेट 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d ने इस एक घटना में 8,510.12 ETH — लगभग $20M — खोए। यह पूरे हैक का एक चौथाई हिस्सा है।
इस वॉलेट का हर लेनदेन Binance Hot Wallet के माध्यम से हुआ। और फिर भी यह व्यक्ति — सबसे बड़ा एकल पीड़ित — ने न कुछ कहा, न कुछ किया, और न ही कोई सार्वजनिक जवाबदेही माँगी।
यह कौन है? क्या इनका Mound Inc. या Binance से कोई संबंध है? क्या उन्हें बिना ऑडिट वाले ब्रिज के बारे में पता था? उन्होंने कुछ क्यों नहीं कहा?
3. हैकर को खोजने के लिए कोई सार्थक इनाम क्यों नहीं रखा गया?
Section titled “3. हैकर को खोजने के लिए कोई सार्थक इनाम क्यों नहीं रखा गया?”टीम ने हमलावर को $80M लौटाने के लिए $250,000 की पेशकश की। उन्होंने समुदाय को हमलावर की पहचान करने के लिए कुछ भी नहीं दिया। सुरागों के लिए शून्य इनाम। कुछ जानने वाले किसी भी व्यक्ति के लिए आगे आने का शून्य प्रोत्साहन।
वसूली के प्रति गंभीर टीम इस तरह काम नहीं करती।
4. बिना ऑडिट किया हुआ कोड प्रोडक्शन में क्यों तैनात किया गया?
Section titled “4. बिना ऑडिट किया हुआ कोड प्रोडक्शन में क्यों तैनात किया गया?”Mound Inc. की पिछली रिलीज़ सुरक्षा ऑडिट से गुज़री थीं। QBridge कॉन्ट्रैक्ट — वही घटक जिसका शोषण किया गया — जानबूझकर बिना ऑडिट पूरा किए तैनात किया गया। ऑडिट प्रगति पर था। किसी ने फिर भी इसे लॉन्च करने का फैसला किया।
यह निर्णय किसने लिया? क्यों? इसका जवाब कभी नहीं दिया गया।
5. कॉन्ट्रैक्ट पैरामीटर बिना टाइमलॉक या घोषणा के क्यों बदले गए?
Section titled “5. कॉन्ट्रैक्ट पैरामीटर बिना टाइमलॉक या घोषणा के क्यों बदले गए?”हैक से पहले, एक onlyOwner फ़ंक्शन का उपयोग करके resourceID मैपिंग को पुनः असाइन किया गया — टोकन पते को WETH के असली कॉन्ट्रैक्ट से शून्य पते में बदल दिया गया। इस एक बदलाव ने शोषण को संभव बनाया।
कोई टाइमलॉक नहीं था। कोई समुदाय सूचना नहीं। कोई गवर्नेंस प्रक्रिया नहीं। लाखों डॉलर के उपयोगकर्ता फंड रखने वाले कॉन्ट्रैक्ट में बदलाव अदृश्य रूप से और तुरंत किए गए।
यह या तो विनाशकारी लापरवाही है या इससे भी बदतर कुछ।
6. पीड़ितों को आधिकारिक Telegram ग्रुप से क्यों हटाया गया?
Section titled “6. पीड़ितों को आधिकारिक Telegram ग्रुप से क्यों हटाया गया?”जब उपयोगकर्ता जिन्होंने अभी-अभी अपनी बचत खोई थी, आधिकारिक Telegram ग्रुप में संवाद करने की कोशिश की, तो टीम के मॉडरेटर @moleh ने उन्हें हटा दिया। बार-बार।
हैक से सबसे अधिक प्रभावित लोगों को उसके लिए ज़िम्मेदार टीम द्वारा व्यवस्थित रूप से चुप कराया गया।
7. टीम ने Binance और प्रमुख एक्सचेंजों से तुरंत संपर्क क्यों नहीं किया?
Section titled “7. टीम ने Binance और प्रमुख एक्सचेंजों से तुरंत संपर्क क्यों नहीं किया?”DeFi शोषण के बाद कोई भी ज़िम्मेदार टीम सबसे पहले प्रमुख एक्सचेंजों, ब्रिजों, और स्वैप प्रोटोकॉल से संपर्क करती है ताकि हमलावर के वॉलेट को ब्लैकलिस्ट किया जा सके। इससे हैकर को चोरी किए गए फंड को बदलने से रोका जा सकता है।
Qubit टीम ने ऐसा नहीं किया। हमलावर के पते को तुरंत ब्लैकलिस्ट नहीं किया गया। देरी का हर घंटा हैकर के लिए $80M स्थानांतरित करने का एक घंटा था।
8. पुलिस रिपोर्ट सार्वजनिक क्यों नहीं की गईं?
Section titled “8. पुलिस रिपोर्ट सार्वजनिक क्यों नहीं की गईं?”टीम ने दावा किया कि उन्होंने दो क्षेत्राधिकारों में पुलिस में रिपोर्ट दर्ज की। उन्होंने कभी प्रदान नहीं किया:
- केस नंबर
- दाखिल करने की पुष्टि
- कानून प्रवर्तन से कोई अपडेट
बिना सबूत के, ये दावे सत्यापन योग्य नहीं हैं। पुलिस रिपोर्ट दर्ज करने में एक दिन लगता है। केस नंबर साझा करने में एक मिनट लगता है। दोनों में से कुछ भी नहीं किया गया।
9. टीम ने पीड़ितों के साथ काम करने के बजाय उन्हें छोड़ क्यों दिया?
Section titled “9. टीम ने पीड़ितों के साथ काम करने के बजाय उन्हें छोड़ क्यों दिया?”पीड़ितों के साथ खड़े होने के बजाय — पारदर्शी, संवादशील, सक्रिय रूप से वसूली का प्रयास करते हुए — Mound Inc. ने एक प्रतिनिधि (@moleh) को भेजा जिसने पीड़ितों को उनके अपने समुदाय चैनलों से हटा दिया।
कोई वसूली योजना नहीं। कोई मुआवज़ा तंत्र नहीं। कोई अपडेट नहीं। बस चुप्पी, और एक मॉडरेटर जिसके पास प्रतिबंध लगाने का बटन था।
अभी भी कोई जवाब नहीं
Section titled “अभी भी कोई जवाब नहीं”यदि आपके पास ऐसी जानकारी है जो इनमें से किसी भी सवाल पर प्रकाश डालती है — हैक से पहले के पैरामीटर बदलाव के बारे में, $20M के चुप पीड़ित के बारे में, टीम के आंतरिक निर्णयों के बारे में, या चोरी किए गए फंड के ठिकाने के बारे में — कृपया इसकी रिपोर्ट करें।