콘텐츠로 이동
Qubit Finance Hack

Mound Inc.가 한 번도 답하지 않은 아홉 가지 질문

해킹 이후 4년이 지났지만, 이 아홉 가지 질문은 여전히 답변되지 않은 채 남아 있습니다. 각각의 질문은 피해 발생 전, 도중, 그리고 이후에 걸쳐 사용자들을 저버린 팀을 가리키고 있습니다.

1. 해커 정보를 제공한 사람들을 왜 무시했는가?

섹션 제목: “1. 해커 정보를 제공한 사람들을 왜 무시했는가?”

팀은 공개적으로 해커에 대한 정보를 가진 사람에게 연락해달라고 요청했습니다. 실제로 연락한 사람들이 있었습니다. 팀은 응답하지 않았습니다.

“Tox로 팀에 연락했는데 아직 응답이 없습니다.”Reddit, PancakeBunny 커뮤니티

진정으로 8천만 달러를 회수하려는 팀이라면, 제보를 무시하지 않습니다.

2. Binance와 연결된 2천만 달러 피해자는 누구이며 — 왜 침묵하고 있는가?

섹션 제목: “2. Binance와 연결된 2천만 달러 피해자는 누구이며 — 왜 침묵하고 있는가?”

지갑 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d는 이 단일 사건으로 8,510.12 ETH — 약 2천만 달러를 잃었습니다. 이는 전체 해킹 피해액의 4분의 1에 해당합니다.

이 지갑의 모든 거래는 Binance 핫 월렛을 통해 이루어졌습니다. 그럼에도 불구하고 이 사람 — 단일 최대 피해자는 — 아무 말도 하지 않았고, 아무 조치도 취하지 않았으며, 공개적인 책임 추궁도 하지 않았습니다.

이 사람은 누구입니까? Mound Inc. 또는 Binance와 관련이 있습니까? 감사되지 않은 브릿지에 대해 알고 있었습니까? 왜 아무 말도 하지 않았습니까?

3. 해커를 찾기 위한 실질적인 포상금이 왜 없었는가?

섹션 제목: “3. 해커를 찾기 위한 실질적인 포상금이 왜 없었는가?”

팀은 공격자에게 8천만 달러 반환의 대가로 25만 달러를 제안했습니다. 커뮤니티에게는 공격자를 식별하기 위한 아무런 보상도 제공하지 않았습니다. 제보에 대한 포상금 제로. 무언가를 알고 있을 수 있는 사람이 나서도록 할 인센티브 제로.

이것은 회수에 진지한 팀의 행동 방식이 아닙니다.

4. 감사되지 않은 코드가 왜 프로덕션에 배포되었는가?

섹션 제목: “4. 감사되지 않은 코드가 왜 프로덕션에 배포되었는가?”

이전의 Mound Inc. 출시물은 보안 감사를 거쳤습니다. QBridge 컨트랙트 — 바로 익스플로잇된 그 구성 요소는 — 감사가 완료되지 않은 상태에서 의도적으로 배포되었습니다. 감사가 진행 중이었습니다. 누군가가 그대로 배포하기로 결정했습니다.

누가 그 결정을 내렸습니까? 왜? 그 답은 한 번도 주어진 적이 없습니다.

5. 타임락이나 공지 없이 컨트랙트 매개변수가 왜 변경되었는가?

섹션 제목: “5. 타임락이나 공지 없이 컨트랙트 매개변수가 왜 변경되었는가?”

해킹 전, onlyOwner 함수를 사용하여 resourceID 매핑이 재할당되었습니다 — 토큰 주소가 WETH의 실제 컨트랙트에서 제로 주소로 변경되었습니다. 이 단일 변경이 익스플로잇을 가능하게 만들었습니다.

타임락이 없었습니다. 커뮤니티 공지도 없었습니다. 거버넌스 절차도 없었습니다. 수백만 달러의 사용자 자금을 보유한 컨트랙트에 대한 변경이 보이지 않게, 즉시 이루어졌습니다.

이것은 치명적인 과실이거나 그보다 더 나쁜 것입니다.

6. 피해자들이 왜 공식 Telegram 그룹에서 제거되었는가?

섹션 제목: “6. 피해자들이 왜 공식 Telegram 그룹에서 제거되었는가?”

저축을 잃은 사용자들이 공식 Telegram 그룹에서 소통하려 했을 때, 팀의 모더레이터 @moleh가 그들을 제거했습니다. 반복적으로.

해킹으로 가장 큰 피해를 입은 사람들이 그 책임이 있는 팀에 의해 체계적으로 침묵당했습니다.

7. 팀은 왜 Binance와 주요 거래소에 즉시 연락하지 않았는가?

섹션 제목: “7. 팀은 왜 Binance와 주요 거래소에 즉시 연락하지 않았는가?”

DeFi 익스플로잇 이후 책임감 있는 팀이 가장 먼저 하는 일은 주요 거래소, 브릿지, 스왑 프로토콜에 연락하여 공격자의 지갑을 블랙리스트에 올리는 것입니다. 이를 통해 해커가 탈취한 자금을 전환하는 것을 방지합니다.

Qubit 팀은 이를 하지 않았습니다. 공격자의 주소는 신속하게 블랙리스트에 올려지지 않았습니다. 지연된 매 시간은 해커가 8천만 달러를 이동시킬 수 있는 시간이었습니다.

8. 경찰 신고서가 왜 공개되지 않았는가?

섹션 제목: “8. 경찰 신고서가 왜 공개되지 않았는가?”

팀은 두 관할 구역의 경찰에 신고했다고 주장했습니다. 그러나 다음을 제공한 적이 없습니다:

  • 사건 번호
  • 접수 확인서
  • 수사 기관의 어떠한 업데이트

증거 없이 이러한 주장은 검증할 수 없습니다. 경찰 신고서를 작성하는 데는 하루가 걸립니다. 사건 번호를 공유하는 데는 1분이면 됩니다. 어느 것도 이루어지지 않았습니다.

9. 팀은 왜 피해자들과 함께하지 않고 그들을 버렸는가?

섹션 제목: “9. 팀은 왜 피해자들과 함께하지 않고 그들을 버렸는가?”

피해자들과 함께 서서 — 투명하게, 소통하며, 적극적으로 회수를 추진하는 대신 — Mound Inc.는 한 명의 대리인(@moleh)을 보내 피해자들을 그들 자신의 커뮤니티 채널에서 제거했습니다.

회수 계획도 없었습니다. 보상 메커니즘도 없었습니다. 업데이트도 없었습니다. 오직 침묵과 차단 버튼을 가진 모더레이터만 있었습니다.

여전히 답변 없음

섹션 제목: “여전히 답변 없음”

이 질문 중 어떤 것이든 — 해킹 전 매개변수 변경, 2천만 달러 침묵의 피해자, 팀의 내부 결정, 또는 탈취된 자금의 행방에 대해 — 밝힐 수 있는 정보를 가지고 계시다면 제보해 주십시오.