घटना के बाद टीम की प्रतिक्रिया

एक बड़ी सुरक्षा घटना के बाद के घंटों, दिनों और हफ्तों में एक टीम क्या करती है, वह उनके चरित्र के बारे में सब कुछ बताता है। यह रहा प्रलेखित रिकॉर्ड।

आधिकारिक स्वीकृति — 28 जनवरी, 2022

Qubit Finance टीम ने Twitter पर हैक की पुष्टि करते हुए पोस्ट किया:

“प्रोटोकॉल का शोषण किया गया; 0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7। हैकर ने BSC पर उधार लेने के लिए असीमित xETH मिंट किए। टीम वर्तमान में अगले कदमों पर सुरक्षा और नेटवर्क भागीदारों के साथ काम कर रही है। उपलब्ध होने पर हम आगे के अपडेट साझा करेंगे।” — @QubitFin, सुबह 9:14, 28 जनवरी, 2022

Qubit Finance का हैक की पुष्टि करने वाला आधिकारिक ट्वीट

BSCScan: शोषण के लेन-देन

हैकर के लेन-देन — BSCScan द्वारा “QubitFin Exploiter” के रूप में लेबल किए गए — उसी दिन तेज़ी से लगातार Borrow कॉल दिखाते हैं:

BSCScan पर QubitFin Exploiter के उधार लेन-देन दिखाई दे रहे हैं

दिखाई देने वाले प्रमुख लेन-देन:

0x4c32d6b8... — Borrow, Block 14742193
0xeed8cb88... — Borrow, Block 14742163
0xa39e7323... — Borrow, Block 14742157
0xcfa4379a... — Borrow, Block 14742046
0x4d2112f7... — Borrow, Block 14742004

सभी एक ही अनुबंध को निर्देशित: 0xf70314eb9c7fe7d88e6...

टीम ने क्या किया

हैकर को $80M लौटाने के लिए $250,000 की पेशकश की

टीम की सार्वजनिक प्रतिक्रिया हमलावर को $250,000 का “बग बाउंटी” देने की थी — उनसे $250K रखने और शेष $79.75M लौटाने का अनुरोध किया। हैकर ने कोई जवाब नहीं दिया।

पुलिस रिपोर्ट दर्ज करने का दावा किया (असत्यापित)

टीम ने कहा कि उन्होंने दो अधिकार क्षेत्रों में पुलिस को हैक की रिपोर्ट की। कोई केस नंबर, कोई दाखिल पुष्टि, और कोई कानून प्रवर्तन अपडेट कभी सार्वजनिक रूप से प्रदान नहीं किए गए।

पीड़ितों को संभालने के लिए @moleh को भेजा

टीम ने पीड़ित संचार को संभालने के लिए एक प्रतिनिधि — मॉडरेटर @moleh — को तैनात किया।

टीम जो करने में विफल रही

✗ CTO ने LinkedIn हटाया — 1 फरवरी, 2022

iShot 2022-02-01 — CTO LinkedIn हटाना

हैक के चार दिन बाद, CTO Aaron Yooshin Kim ने अपनी LinkedIn प्रोफ़ाइल (linkedin.com/in/aaromkimys) हटा दी। समुदाय ने तुरंत इसे नोटिस किया और दस्तावेज़ित किया।

iShot 2022-02-01 — LinkedIn हटाने का साक्ष्य

iShot 2022-02-01 — LinkedIn हटाने का साक्ष्य 2

iShot 2022-02-01 — LinkedIn हटाने का साक्ष्य 3

✗ पीड़ितों को आधिकारिक Telegram से हटाया गया

मॉडरेटर @moleh ने व्यवस्थित रूप से पीड़ितों को आधिकारिक Telegram ग्रुप से हटा दिया। जिन लोगों ने अपनी बचत खो दी थी, उनके लिए संचार चैनल खुले रखने के बजाय, टीम ने उन्हें चुप करा दिया।

iShot 2022-02-13 — पीड़ितों को Telegram से हटाए जाने / टीम के व्यवहार का स्क्रीनशॉट

✗ हैकर की जानकारी रखने वाले समुदाय के सदस्यों को कोई जवाब नहीं

एक Reddit उपयोगकर्ता ने पोस्ट किया कि उन्होंने हैकर की पहचान के बारे में जानकारी के साथ टीम से संपर्क किया था — और कोई जवाब नहीं मिला:

Reddit पोस्ट — उपयोगकर्ता के पास हैकर की जानकारी थी, टीम ने कभी जवाब नहीं दिया

“मेरे पास उस ‘डेवलपर’ की पहचान है जिसने Qubit पूल खाली किए। मेरे पास सब कुछ है — वह जगहें जहाँ वह गया, जिन होटलों में वह रुका और जो अनुभव उसने जिए। सब कुछ। मैं यहाँ उनके द्वारा दी गई बाउंटी के लिए हूँ लेकिन ऐसा लगता है कि बाउंटी नकली है।” — u/Helpful-Ad8004, r/PancakeBunny

✗ हैकर को ब्लैकलिस्ट करने के लिए Binance या प्रमुख एक्सचेंजों से संपर्क नहीं किया

एक्सचेंजों, ब्रिजों और स्वैप प्रोटोकॉल में 0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7 को ब्लैकलिस्ट करने के लिए कोई त्वरित कार्रवाई नहीं की गई — जो DeFi शोषण के बाद मानक प्रथा है।

✗ सामने आने वाले लोगों को कोई जवाब नहीं दिया

हैकर की पहचान करने के लिए सार्वजनिक रूप से समुदाय से मदद माँगने के बावजूद, जब सदस्यों ने Tox और अन्य चैनलों के माध्यम से संपर्क किया, तो टीम चुप हो गई।

6-7 फरवरी, 2022 — निरंतर चुप्पी

iShot 2022-02-06

iShot 2022-02-06 विस्तार

iShot 2022-02-07

Binance की भूमिका

Qubit Finance एक Binance-समर्थित परियोजना थी और Mound Inc. को अप्रैल 2021 में Binance Labs से $1.6M प्राप्त हुआ था। जब पीड़ितों ने Binance और CZ से मदद की अपील की — हैकर के वॉलेट को ब्लैकलिस्ट करने के लिए, दबाव डालने के लिए — उन्हें अनदेखा कर दिया गया।

चार साल बाद

2026 तक:

Mound Inc. की वेबसाइट (mound.finance) ऑफ़लाइन है
टीम से कोई सार्वजनिक अपडेट नहीं
कोई मुआवज़ा तंत्र स्थापित नहीं
कोई धन वापस नहीं किया गया
पीड़ित अभी भी इंतज़ार कर रहे हैं