コンテンツにスキップ
Qubit Finance Hack

インシデント後のチームの対応

重大なセキュリティインシデント発生後の数時間、数日、数週間におけるチームの行動は、その組織の本質をすべて物語ります。以下はその記録文書です。

公式声明 — 2022年1月28日

Section titled “公式声明 — 2022年1月28日”

Qubit FinanceチームはTwitterにハッキングを認める投稿を行いました:

“プロトコルは以下のアドレスによって悪用されました:0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7。ハッカーは無制限のxETHを発行し、BSC上で借り入れを行いました。チームは現在、セキュリティおよびネットワークパートナーと今後の対応について協議中です。新たな情報が入り次第、続報をお伝えします。” — @QubitFin、2022年1月28日 午前9時14分

Qubit Financeのハッキングを認める公式ツイート

BSCScan:エクスプロイト取引

Section titled “BSCScan:エクスプロイト取引”

ハッカーの取引はBSCScanで「QubitFin Exploiter」とラベル付けされており、同日に連続して繰り返されたBorrow呼び出しが確認できます:

BSCScanに表示されたQubitFin Exploiterの借り入れ取引

確認できる主な取引:

  • 0x4c32d6b8... — Borrow、ブロック 14742193
  • 0xeed8cb88... — Borrow、ブロック 14742163
  • 0xa39e7323... — Borrow、ブロック 14742157
  • 0xcfa4379a... — Borrow、ブロック 14742046
  • 0x4d2112f7... — Borrow、ブロック 14742004

すべて同一コントラクトに向けられています:0xf70314eb9c7fe7d88e6...

チームが行ったこと

Section titled “チームが行ったこと”

8000万ドルに対し、ハッカーに25万ドルの返還報酬を提示

Section titled “8000万ドルに対し、ハッカーに25万ドルの返還報酬を提示”

チームの公式対応は、攻撃者に「バグバウンティ」として25万ドルを提示し、25万ドルを手元に残して残りの7975万ドルを返還するよう求めるものでした。ハッカーからの応答はありませんでした。

警察への届出を主張(未確認)

Section titled “警察への届出を主張(未確認)”

チームは2つの管轄区域で警察にハッキングを届け出たと述べました。しかし、事件番号、届出確認書、法執行機関からの続報は一切公開されていません。

@molehを被害者対応に配置

Section titled “@molehを被害者対応に配置”

チームは1名の担当者 — モデレーターの@moleh — を被害者とのコミュニケーション対応に充てました。

チームが行わなかったこと

Section titled “チームが行わなかったこと”

✗ CTOがLinkedInを削除 — 2022年2月1日

Section titled “✗ CTOがLinkedInを削除 — 2022年2月1日”

iShot 2022-02-01 — CTOのLinkedIn削除

ハッキングから4日後、CTOのAaron Yooshin KimはLinkedInプロフィール(linkedin.com/in/aaromkimys)を削除しました。コミュニティはこれに即座に気づき、記録を残しました。

iShot 2022-02-01 — LinkedIn削除の証拠

iShot 2022-02-01 — LinkedIn削除の証拠 2

iShot 2022-02-01 — LinkedIn削除の証拠 3

✗ 被害者が公式Telegramから排除された

Section titled “✗ 被害者が公式Telegramから排除された”

モデレーターの@molehは公式Telegramグループから被害者を組織的に排除しました。貯蓄を失った人々のためにコミュニケーションチャネルを開いておくのではなく、チームは彼らを沈黙させたのです。

iShot 2022-02-13 — 被害者がTelegramから排除されている様子/チームの対応を示すスクリーンショット

✗ ハッカーの情報を持つコミュニティメンバーへの無応答

Section titled “✗ ハッカーの情報を持つコミュニティメンバーへの無応答”

あるRedditユーザーが、ハッカーの身元に関する情報をチームに提供したにもかかわらず、一切応答がなかったと投稿しました:

Redditの投稿 — ハッカーの情報を持つユーザーに対しチームは応答せず

“qubitのプールを抜き取った『開発者』の身元を特定しています。彼が行った場所、滞在したホテル、過ごした体験、すべてを把握しています。報奨金のために情報提供しようとしましたが、報奨金は偽りのようです。” — u/Helpful-Ad8004、r/PancakeBunny

✗ Binanceや主要取引所にハッカーのブラックリスト登録を依頼しなかった

Section titled “✗ Binanceや主要取引所にハッカーのブラックリスト登録を依頼しなかった”

0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7を取引所、ブリッジ、スワッププロトコル全体でブラックリストに登録する迅速な措置は取られませんでした — これはDeFiエクスプロイト後の標準的な対応です。

✗ 情報提供者に対応しなかった

Section titled “✗ 情報提供者に対応しなかった”

ハッカーの特定のためにコミュニティの協力を公に求めたにもかかわらず、Toxやその他のチャネルを通じて連絡してきたメンバーに対してチームは沈黙を貫きました。

2022年2月6〜7日 — 沈黙の継続

Section titled “2022年2月6〜7日 — 沈黙の継続”

iShot 2022-02-06

iShot 2022-02-06 詳細

iShot 2022-02-07

Binanceの役割

Section titled “Binanceの役割”

Qubit FinanceはBinanceが推薦したプロジェクトであり、Mound Inc.は2021年4月にBinance Labsから160万ドルの出資を受けていました。被害者がBinanceとCZにハッカーのウォレットのブラックリスト登録や圧力をかけるよう訴えたとき、彼らは無視されました。

4年後

Section titled “4年後”

2026年現在:

  • Mound Inc.のウェブサイト(mound.finance)はオフライン
  • チームからの公式アップデートなし
  • 補償メカニズムは確立されず
  • 資金の返還なし
  • 被害者たちは今も待ち続けている