コンテンツにスキップ
Qubit Finance Hack

8000万ドルが盗まれた。誰も責任を取らない。

2022年1月28日、Qubit Financeのクロスチェーンブリッジが攻撃されました。Binanceの支持を受けたMound Inc.はユーザーの8000万ドルを奪い、沈黙しました。4年が経った今も、何も変わっていません。
証拠を読む 何が起きたのか
$80M一度の攻撃で盗まれた金額
$0被害者への返還額
4年Mound Inc.の沈黙期間
0責任を問われた人数

状況:未解決。 Mound Inc.は、Binanceの支援を受けたQubit Financeの運営元である韓国企業であり、自社の未監査ブリッジコントラクトの重大な脆弱性を悪用され、ユーザー資金8000万ドルを失いました。彼らの対応は:被害者をTelegramから排除し、CTOにLinkedInを削除させ、警察への届出を主張し(未確認)、そして姿を消すことでした。補償なし。説明責任なし。回答なし。

事件

何が起きたのか

Section titled “何が起きたのか”

Qubit FinanceはEthereumとBinance Smart Chain間のクロスチェーンブリッジ(QBridge)を運営していました。2022年1月28日、攻撃者はdepositETH()の代わりにdeposit()を呼び出しても同じオンチェーンイベントが発火することを発見しました。しかも実際のETHは一切不要でした。イベントのみを監視していたブリッジリレイヤーは、BSC上でqXETHトークンを無料で発行しました。攻撃者はこれを担保として使用し、8000万ドルを流出させました。

これを可能にした3つの要因があります:ブリッジはセキュリティ監査が完了しないまま展開され、コントラクトのパラメータは数日前にオーナーによって密かに変更されており(タイムロックなし、告知なし)、そしてゼロアドレスへの関数呼び出しが静かに成功するというEVMの既知の動作が一切考慮されていませんでした

事件の全容

攻撃がどのように行われたか — 脆弱性、エクスプロイト、そして消えた8000万ドルをステップごとに解説します。

何が起きたのか →

技術分析

deposit()depositETH()のイベント衝突。ゼロアドレスのEOAトリック。不審なパラメータ変更。

技術分析 →

タイムライン

1月28日のエクスプロイトから4年間の沈黙まで — 完全な時系列記録。

タイムライン →

9つの未回答の疑問

なぜチームはハッカーの情報を持つ人々を無視したのか?なぜ未監査のコードが展開されたのか?なぜCTOのLinkedInが削除されたのか?

証拠 →

チームの対応

被害者を排除したモデレーター。LinkedInから消えたCTO。一度も呼ばれなかったBinanceのセキュリティチーム。

チームの対応 →

資金の追跡

ハッカーのウォレット。Binance Hot Walletに接続された2000万ドルの沈黙の被害者。4年間、資金回収に向けた動きはゼロ。

資金の流れ →

運営企業

Mound Inc. — 責任者は誰か

Section titled “Mound Inc. — 責任者は誰か”

Qubit Financeは韓国・大田市に登記されたMound Inc.(登記番号:160111-0556766)によって構築されました。同社の90.5%はシンガポールの**Krypton PTE. LTD.**が保有しており、Krypton PTE. LTD.の60%はCEOのJun Hurが所有しています。Mound Inc.は2021年5月のPancakeBunnyハッキングで既に約4500万ドルを失っていました。彼らは復活のためにQubit Financeを構築しましたが、さらに8000万ドルを失いました。

Jun HurCEO — Krypton PTEの60%保有ソウル市瑞草区 · LinkedIn活動中Aaron Yooshin KimCTO — Krypton PTEの20%保有⚠ 2022年2月1日にLinkedIn削除 — ハッキングの4日後Kim HyungchulCSO — Krypton PTEの20%保有セキュリティ責任者 — 未監査のブリッジを展開Yonggon Kim研究ディレクタープロトコルのアーキテクチャと設計Kim Taeeunプロダクトオーナー監査未完了のまま公開を承認

企業構造、所在地、株主届出の全容 →

資金

ハッカーのウォレット — 未回収

Section titled “ハッカーのウォレット — 未回収”
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7

Etherscan (ETH) · BSCScan (BSC) · 資金の流れの全分析 →

一つのウォレットが8,510.12 ETH(当時のレートで約2000万ドル)を失いました — ハッキング全体の4分の1に相当します。全ての送金はBinance Hot Walletを経由していました。この人物は公に一言も発言していません。

Binance

Binanceはこのプロジェクトを支持していた

Section titled “Binanceはこのプロジェクトを支持していた”

Qubit FinanceはBinanceの明確な支持を受けたBinance Smart Chainプロジェクトでした。被害者がCZやBinanceに直接介入を求め — 攻撃者のウォレットのブラックリスト登録、Mound Inc.への圧力、プラットフォームの影響力の行使を訴えたとき — すべて無視されました。

「CZさん、同じBSC上で、なぜSquid Gameは保護したのに、今回のBunnyでは何もしてくれないのですか?これはフェアプレーではありません。」 — 被害者からの@cz_binanceへの訴え、2022年

Binanceへの被害者の訴えを読む →

行動を起こす

説明責任を求める闘いに参加する

Section titled “説明責任を求める闘いに参加する”

情報を提供する

ハッカー、資金の動き、またはMound Inc.の内部決定に関する情報をお持ちですか?必要に応じて匿名で提出できます。

情報を提供する →

被害者コミュニティ

他の被害者とつながりましょう。Qubit被害者連盟は2022年から説明責任を求めて闘い続けています。

Telegram: @qbtvictims →

メディア報道

Bloomberg、CoinDesk、The Verge、ZDNet、The Registerなどがこの事件を報道しました。この話はまだ終わっていません。

メディア報道 →

このサイトを共有する

Mound Inc.に圧力をかけ続ける最善の方法は、この話を風化させないことです。qbt.wikiを共有してください。

共有方法 →