콘텐츠로 이동
Qubit Finance Hack

8천만 달러 도난. 누구도 책임지지 않았다.

2022년 1월 28일, Qubit Finance의 크로스체인 브릿지가 해킹당했습니다. Binance의 지원을 받은 Mound Inc.는 사용자 자금 8천만 달러를 잃고 침묵했습니다. 4년이 지난 지금도 아무것도 달라지지 않았습니다.
증거 확인하기 사건 개요
$80M한 번의 공격으로 도난
$0피해자에게 반환된 금액
4년Mound Inc.의 침묵 기간
0책임을 진 사람 수

상태: 미해결. Binance의 지원을 받은 한국 기업 Mound Inc.는 Qubit Finance의 운영사로서, 자체 감사되지 않은 브릿지 컨트랙트의 치명적 취약점으로 인해 사용자 자금 8천만 달러를 잃었습니다. 그들의 대응: 피해자를 텔레그램에서 추방하고, CTO는 LinkedIn을 삭제하고, 경찰 신고를 했다고 주장했으나(확인된 적 없음), 이후 잠적했습니다. 보상도, 책임도, 답변도 없었습니다.

사건 개요

무슨 일이 있었나

섹션 제목: “무슨 일이 있었나”

Qubit Finance는 Ethereum과 Binance Smart Chain 간의 크로스체인 브릿지(QBridge)를 운영했습니다. 2022년 1월 28일, 공격자는 depositETH() 대신 deposit()를 호출해도 동일한 온체인 이벤트가 발생하지만 실제 ETH는 전혀 필요하지 않다는 사실을 발견했습니다. 이벤트만 감시하던 브릿지 릴레이어는 BSC에서 qXETH 토큰을 무상으로 발행했습니다. 공격자는 이를 담보로 사용하여 8천만 달러를 탈취했습니다.

이를 가능하게 한 세 가지 요인이 있었습니다: 브릿지가 보안 감사가 완료되지 않은 상태로 배포되었고, 컨트랙트 매개변수가 사건 며칠 전에 소유자에 의해 비밀리에 변경(타임락 없음, 공지 없음)되었으며, 제로 주소에 대한 함수 호출이 조용히 성공하는 알려진 EVM 동작이 전혀 고려되지 않았습니다.

상세 사건 경위

공격이 어떻게 이루어졌는지 단계별로 설명합니다 — 취약점, 익스플로잇, 그리고 사라진 8천만 달러.

사건 경위 →

기술 분석

deposit() vs depositETH() 이벤트 충돌. 제로 주소 EOA 트릭. 의심스러운 매개변수 변경.

기술 분석 →

타임라인

1월 28일 익스플로잇부터 4년간의 침묵까지 — 완전한 시간순 기록.

타임라인 →

9가지 미답변 질문

팀은 왜 해커 정보를 가진 사람들을 무시했는가? 왜 감사되지 않은 코드가 배포되었는가? 왜 CTO의 LinkedIn이 삭제되었는가?

증거 보기 →

팀의 대응

피해자를 추방한 모더레이터. LinkedIn에서 사라진 CTO. 한 번도 연락받지 못한 Binance 보안팀.

팀 대응 →

자금 추적

해커의 지갑. Binance Hot Wallet과 연결된 2천만 달러 규모의 익명 피해자. 4년간 자금 회수를 위한 움직임 전무.

자금 흐름 →

운영사

Mound Inc. — 누가 책임져야 하는가

섹션 제목: “Mound Inc. — 누가 책임져야 하는가”

Qubit Finance는 대한민국 대전에 등록된 Mound Inc.(사업자등록번호: 160111-0556766)가 개발했습니다. 이 회사는 싱가포르 소재 **Krypton PTE. LTD.**가 90.5%를 소유하고 있으며, Krypton PTE. LTD.는 CEO Jun Hur가 60%를 보유하고 있습니다. Mound Inc.는 이미 2021년 5월 PancakeBunny 해킹으로 약 4,500만 달러를 잃은 전력이 있습니다. 그들은 이를 만회하기 위해 Qubit Finance를 만들었지만 — 8천만 달러를 추가로 잃었습니다.

Jun HurCEO — Krypton PTE 60% 지분 보유서울 서초구 · LinkedIn 활성 상태Aaron Yooshin KimCTO — Krypton PTE 20% 지분 보유⚠ 2022년 2월 1일 LinkedIn 삭제 — 해킹 4일 후Kim HyungchulCSO — Krypton PTE 20% 지분 보유보안 담당 — 감사되지 않은 브릿지를 배포Yonggon Kim연구 이사프로토콜 아키텍처 및 설계Kim Taeeun프로덕트 오너감사 완료 없이 출시를 승인

전체 기업 구조, 주소 및 주주 등기 →

자금

해커 지갑 — 미회수

섹션 제목: “해커 지갑 — 미회수”
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7

Etherscan (ETH) · BSCScan (BSC) · 전체 자금 흐름 분석 →

한 지갑에서 8,510.12 ETH(당시 약 2천만 달러)가 유출되었으며 — 이는 전체 해킹 금액의 4분의 1에 해당합니다. 모든 이체는 Binance Hot Wallet을 통해 이루어졌습니다. 이 피해자는 공개적으로 단 한마디도 하지 않았습니다.

Binance

Binance는 이 프로젝트를 지지했다

섹션 제목: “Binance는 이 프로젝트를 지지했다”

Qubit Finance는 Binance의 명시적 지지를 받은 Binance Smart Chain 프로젝트였습니다. 피해자들이 CZ와 Binance에 직접 호소하여 — 공격자의 지갑을 블랙리스트에 올리고, Mound Inc.에 압력을 가하고, 플랫폼의 영향력을 행사해 달라고 요청했지만 — 모두 무시당했습니다.

“안녕하세요, 같은 BSC에서 Squid Game은 보호해주셨는데, 왜 이번 Bunny 건은 아무 조치도 안 하셨나요? 이건 공정하지 않습니다.” — 피해자의 @cz_binance 호소, 2022년

피해자들의 Binance 호소문 읽기 →

행동하기

책임 추궁에 동참하세요

섹션 제목: “책임 추궁에 동참하세요”

정보 제공

해커, 자금 이동, 또는 Mound Inc.의 내부 의사결정에 대한 정보를 갖고 계신가요? 제출해 주세요 — 필요시 비밀이 보장됩니다.

정보 제공하기 →

피해자 커뮤니티

다른 피해자들과 연결하세요. Qubit 피해자 연합은 2022년부터 책임 추궁을 위해 싸워왔습니다.

Telegram: @qbtvictims →

언론 보도

Bloomberg, CoinDesk, The Verge, ZDNet, The Register 등이 이 사건을 보도했습니다. 아직 끝나지 않았습니다.

언론 보도 →

이 사이트 공유하기

Mound Inc.에 대한 압력을 유지하는 가장 좋은 방법은 이 이야기를 계속 알리는 것입니다. qbt.wiki를 공유해 주세요.

공유 방법 →