Mound Inc.が一度も回答していない9つの質問

ハッキングから4年が経過した今も、これら9つの質問は未回答のままです。そのすべてが、攻撃の前、最中、そして後において、ユーザーを裏切ったチームの姿を浮き彫りにしています。

1. ハッカーの情報を持つ人々からの連絡をなぜ無視したのか？

チームはハッカーに関する情報を持つ人がいれば連絡するよう公に呼びかけました。実際に連絡した人がいました。しかしチームは返答しませんでした。

「ToxでチームにI連絡しましたが、まだ返答がありません。」 — Reddit、PancakeBunnyコミュニティ

本気で8000万ドルを回収しようとしているなら、手がかりを無視するはずがありません。

ウォレット 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d は、この一件だけで 8,510.12 ETH——約2000万ドル——を失いました。これはハッキング被害総額の4分の1に相当します。

このウォレットからのすべてのトランザクションは Binance Hot Wallet を経由していました。にもかかわらず、最大の被害者であるこの人物は、何も発言せず、何も行動せず、公に説明責任を求めることもしていません。

この人物は誰なのか？ Mound Inc.やBinanceと繋がりがあるのか？監査未実施のブリッジについて知っていたのか？なぜ声を上げないのか？

チームは攻撃者に対して8000万ドルの返還と引き換えに25万ドルを提示しました。コミュニティに対しては攻撃者の特定に対する報奨金を一切提示しませんでした。手がかりに対する報奨金はゼロ。何かを知っている人が名乗り出るインセンティブもゼロ。

これは本気で資金回収を目指すチームのやり方ではありません。

Mound Inc.のそれまでのリリースはセキュリティ監査を経ていました。QBridgeコントラクト——まさに攻撃に利用されたコンポーネント——は、監査が完了していないことを承知の上でデプロイされました。監査は進行中でした。誰かがそれでもリリースするという判断を下したのです。

誰がその判断を下したのか？なぜか？その答えは一度も示されていません。

ハッキングの前に、onlyOwner関数を使用してresourceIDのマッピングが再割り当てされました——トークンアドレスがWETHの正規のコントラクトからゼロアドレスに変更されたのです。この一つの変更が攻撃を可能にしました。

タイムロックはありませんでした。コミュニティへの通知もありません。ガバナンスプロセスもありません。数百万ドルのユーザー資金を保持するコントラクトへの変更が、見えないところで即座に行われました。

これは壊滅的な過失か、それ以上に深刻な何かです。

貯蓄を失ったばかりのユーザーが公式Telegramグループでコミュニケーションを取ろうとした際、チームのモデレーター @moleh が彼らを排除しました。繰り返し。

ハッキングで最も大きな被害を受けた人々が、その責任を負うべきチームによって組織的に沈黙させられたのです。

DeFiの攻撃後に責任あるチームがまず行うべきことは、主要な取引所、ブリッジ、スワッププロトコルに連絡し、攻撃者のウォレットをブラックリストに登録することです。これによりハッカーが盗まれた資金を換金することを防げます。

Qubitチームはこれを行いませんでした。攻撃者のアドレスは速やかにブラックリストに登録されませんでした。遅れた1時間ごとに、ハッカーが8000万ドルを移動できる時間が生まれていたのです。

チームは2つの管轄区域で警察に届け出たと主張しました。しかし以下のいずれも提示されませんでした：

証拠がなければ、これらの主張は検証できません。被害届の提出には1日かかります。事件番号の共有には1分で済みます。いずれも行われませんでした。

被害者に寄り添い——透明性を持ち、積極的にコミュニケーションを取り、資金回収を追求する——のではなく、Mound Inc.は1人の担当者（@moleh）を送り込み、被害者を自分たちのコミュニティチャンネルから排除しました。

回収計画なし。補償の仕組みなし。進捗報告なし。あるのは沈黙と、BANボタンを持ったモデレーターだけでした。

これらの質問のいずれかを解明する情報をお持ちの方——ハッキング前のパラメータ変更、2000万ドルの沈黙する被害者、チーム内部の意思決定、または盗まれた資金の行方について——こちらからご報告ください。