Nove Perguntas Que a Mound Inc. Nunca Respondeu
Quatro anos após o hack, essas nove perguntas continuam sem resposta. Cada uma aponta para uma equipe que falhou com seus usuários — antes, durante e depois da exploração.
1. Por que ignorar pessoas que se apresentaram com informações sobre o hacker?
Seção intitulada “1. Por que ignorar pessoas que se apresentaram com informações sobre o hacker?”A equipe pediu publicamente que qualquer pessoa com informações sobre o hacker entrasse em contato. Pessoas entraram. A equipe não respondeu.
“Entrei em contato com a equipe pelo Tox e ainda não recebi resposta.” — Reddit, comunidade PancakeBunny
Se você está genuinamente tentando recuperar $80M, você não ignora pistas.
2. Quem é a vítima de $20M com conexões com a Binance — e por que está em silêncio?
Seção intitulada “2. Quem é a vítima de $20M com conexões com a Binance — e por que está em silêncio?”A carteira 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d perdeu 8.510,12 ETH — aproximadamente $20M — neste único incidente. Isso é um quarto de todo o hack.
Todas as transações dessa carteira passaram pela Binance Hot Wallet. E, no entanto, essa pessoa — a maior vítima individual — não disse nada, não fez nada e não buscou prestação de contas pública.
Quem é essa pessoa? Tem conexão com a Mound Inc. ou a Binance? Sabia sobre a bridge não auditada? Por que não se manifestou?
3. Por que não houve uma recompensa significativa para encontrar o hacker?
Seção intitulada “3. Por que não houve uma recompensa significativa para encontrar o hacker?”A equipe ofereceu ao atacante $250.000 para devolver $80M. Ofereceu à comunidade nada por identificar o atacante. Zero recompensa por pistas. Zero incentivo para que qualquer pessoa que pudesse saber algo se apresentasse.
Não é assim que uma equipe séria sobre recuperação opera.
4. Por que código não auditado foi implantado em produção?
Seção intitulada “4. Por que código não auditado foi implantado em produção?”Lançamentos anteriores da Mound Inc. passaram por auditorias de segurança. O contrato QBridge — exatamente o componente que foi explorado — foi conscientemente implantado sem concluir sua auditoria. A auditoria estava em andamento. Alguém tomou a decisão de lançar mesmo assim.
Quem fez essa decisão? Por quê? A resposta nunca foi dada.
5. Por que os parâmetros do contrato foram alterados sem timelock ou anúncio?
Seção intitulada “5. Por que os parâmetros do contrato foram alterados sem timelock ou anúncio?”Antes do hack, uma função onlyOwner foi usada para reatribuir o mapeamento de resourceID — alterando o endereço do token do contrato real do WETH para o endereço zero. Essa única alteração tornou a exploração possível.
Não houve timelock. Nenhuma notificação à comunidade. Nenhum processo de governança. Alterações em um contrato contendo milhões em fundos de usuários foram feitas de forma invisível e instantânea.
Isso é negligência catastrófica ou algo pior.
6. Por que as vítimas foram removidas do grupo oficial do Telegram?
Seção intitulada “6. Por que as vítimas foram removidas do grupo oficial do Telegram?”Quando usuários que acabavam de perder suas economias tentaram se comunicar no grupo oficial do Telegram, o moderador da equipe @moleh os removeu. Repetidamente.
As pessoas mais afetadas pelo hack foram sistematicamente silenciadas pela equipe responsável por ele.
7. Por que a equipe não contatou a Binance e as principais exchanges imediatamente?
Seção intitulada “7. Por que a equipe não contatou a Binance e as principais exchanges imediatamente?”A primeira coisa que qualquer equipe responsável faz após uma exploração DeFi é contatar as principais exchanges, bridges e protocolos de swap para colocar a carteira do atacante em lista negra. Isso impede o hacker de converter os fundos roubados.
A equipe do Qubit Finance não fez isso. O endereço do atacante não foi prontamente bloqueado. Cada hora de atraso era uma hora em que o hacker podia movimentar $80M.
8. Por que os boletins de ocorrência nunca foram tornados públicos?
Seção intitulada “8. Por que os boletins de ocorrência nunca foram tornados públicos?”A equipe alegou ter registrado ocorrências em duas jurisdições. Nunca forneceram:
- Números dos processos
- Confirmações de registro
- Qualquer atualização das autoridades policiais
Sem provas, essas alegações são inverificáveis. Registrar um boletim de ocorrência leva um dia. Compartilhar o número do processo leva um minuto. Nenhum dos dois foi feito.
9. Por que a equipe abandonou as vítimas em vez de trabalhar com elas?
Seção intitulada “9. Por que a equipe abandonou as vítimas em vez de trabalhar com elas?”Em vez de estar ao lado das vítimas — transparente, comunicativa, buscando ativamente a recuperação — a Mound Inc. enviou um representante (@moleh) para remover as vítimas de seus próprios canais comunitários.
Nenhum plano de recuperação. Nenhum mecanismo de compensação. Nenhuma atualização. Apenas silêncio e um moderador com um botão de banir.
Ainda Sem Respostas
Seção intitulada “Ainda Sem Respostas”Se você tem informações que possam esclarecer qualquer uma dessas perguntas — sobre a alteração de parâmetros pré-hack, a vítima silenciosa de $20M, as decisões internas da equipe ou o paradeiro dos fundos roubados — por favor, reporte aqui.