Pular para o conteúdo
Qubit Finance Hack

$80 Milhões Roubados. Ninguém Responsabilizado.

Em 28 de janeiro de 2022, a bridge cross-chain da Qubit Finance foi explorada. A Mound Inc. — endossada pela Binance — levou $80M em fundos de usuários e ficou em silêncio. Quatro anos depois, nada mudou.
Leia as Evidências O Que Aconteceu
$80MRoubados em um único ataque
$0Devolvidos às vítimas
4 anosDe silêncio da Mound Inc.
0Pessoas responsabilizadas

STATUS: NÃO RESOLVIDO. A Mound Inc. — empresa coreana por trás da Qubit Finance, apoiada pela Binance — explorou uma vulnerabilidade crítica em seu próprio contrato de bridge sem auditoria, perdendo $80M em fundos de usuários. A resposta deles: remover vítimas do Telegram, fazer o CTO apagar seu LinkedIn, alegar ter registrado boletins de ocorrência (nunca verificados) e sumir. Sem compensação. Sem responsabilização. Sem respostas.

O Incidente

O Que Aconteceu

Seção intitulada “O Que Aconteceu”

A Qubit Finance operava uma bridge cross-chain (QBridge) entre Ethereum e Binance Smart Chain. Em 28 de janeiro de 2022, um atacante descobriu que chamar deposit() em vez de depositETH() disparava o mesmo evento on-chain — mas não exigia nenhum ETH real. O relayer da bridge, monitorando apenas eventos, mintou tokens qXETH na BSC gratuitamente. O atacante usou estes como colateral para drenar $80 milhões.

Três fatores tornaram isso possível: a bridge foi implantada sem uma auditoria de segurança concluída, um parâmetro do contrato foi alterado secretamente pelo proprietário dias antes (sem timelock, sem anúncio), e um comportamento conhecido do EVM — de que chamar qualquer função no endereço zero silenciosamente é bem-sucedido — nunca foi considerado.

Relato Completo

Como o ataque funcionou, passo a passo — a vulnerabilidade, o exploit e os $80M que desapareceram.

O Que Aconteceu →

Análise Técnica

A colisão de eventos deposit() vs depositETH(). O truque do endereço zero EOA. A mudança suspeita de parâmetro.

Análise Técnica →

Linha do Tempo

Do exploit de 28 de janeiro a quatro anos de silêncio — um registro cronológico completo.

Linha do Tempo →

Nove Perguntas Sem Resposta

Por que a equipe ignorou pessoas com informações sobre o hacker? Por que código sem auditoria foi implantado? Por que o LinkedIn do CTO foi apagado?

As Evidências →

Resposta da Equipe

O moderador que removeu vítimas. O CTO que desapareceu do LinkedIn. A equipe de segurança da Binance que nunca foi acionada.

Resposta da Equipe →

Siga o Dinheiro

A carteira do hacker. A vítima silenciosa de $20M conectada à Binance Hot Wallet. Quatro anos de zero progresso na recuperação.

Fluxo do Dinheiro →

A Empresa

Mound Inc. — Quem É Responsável

Seção intitulada “Mound Inc. — Quem É Responsável”

A Qubit Finance foi construída pela Mound Inc., registrada em Daejeon, Coreia do Sul (Registro: 160111-0556766). A empresa é 90,5% de propriedade da Krypton PTE. LTD. (Singapura), que é 60% de propriedade do CEO Jun Hur. A Mound Inc. já havia perdido ~$45M no hack da PancakeBunny em maio de 2021. Eles construíram a Qubit Finance para se recuperar — e então perderam mais $80M.

Jun HurCEO — 60% da Krypton PTESeocho-gu, Seul · LinkedIn ativoAaron Yooshin KimCTO — 20% da Krypton PTE⚠ Apagou o LinkedIn em 1º de fev. de 2022 — 4 dias após o hackKim HyungchulCSO — 20% da Krypton PTEResponsável pela segurança — implantou bridge sem auditoriaYonggon KimDiretor de PesquisaArquitetura e design do protocoloKim TaeeunProduct OwnerAprovou o lançamento sem auditoria concluída

Estrutura corporativa completa, endereços e registros societários →

O Dinheiro

Carteira do Hacker — Não Recuperada

Seção intitulada “Carteira do Hacker — Não Recuperada”
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7

Etherscan (ETH) · BSCScan (BSC) · Análise completa do fluxo de dinheiro →

Uma carteira perdeu 8.510,12 ETH (~$20M USD na época) — um quarto de todo o hack. Todas as transferências passaram pela Binance Hot Wallet. Essa pessoa nunca se manifestou publicamente.

Binance

A Binance Endossou Este Projeto

Seção intitulada “A Binance Endossou Este Projeto”

A Qubit Finance era um projeto da Binance Smart Chain com endosso explícito da Binance. Quando as vítimas apelaram diretamente ao CZ e à Binance para intervir — para bloquear a carteira do atacante, pressionar a Mound Inc., usar sua influência na plataforma — foram ignoradas.

“Olá Senhor, na mesma BSC, por que você protegeu o Squid Game, mas não fez nada com o Bunny desta vez? Isso não é jogo justo.” — Apelo de uma vítima a @cz_binance, 2022

Leia os apelos das vítimas à Binance →

Tome uma Atitude

Junte-se à Luta por Responsabilização

Seção intitulada “Junte-se à Luta por Responsabilização”

Denuncie Informações

Tem informações sobre o hacker, movimentação de fundos ou decisões internas da Mound Inc.? Envie — de forma confidencial, se necessário.

Denuncie Informações →

Comunidade de Vítimas

Conecte-se com outras vítimas. A Aliança de Vítimas do Qubit luta por responsabilização desde 2022.

Telegram: @qbtvictims →

Cobertura da Mídia

Bloomberg, CoinDesk, The Verge, ZDNet, The Register e outros cobriram esta história. Ela não acabou.

Reportagens da Mídia →

Compartilhe Este Site

A melhor forma de manter a pressão sobre a Mound Inc. é manter esta história viva. Compartilhe qbt.wiki.

Como Compartilhar →