完整记录
攻击是如何发生的,逐步剖析 —— 漏洞、攻击手法,以及消失的8000万美元。
$80M一次攻击中被盗
$0归还给受害者
4 年Mound Inc. 保持沉默
0人被追究责任
事件
Qubit Finance 运营着一个连接 Ethereum 和 Binance Smart Chain 的跨链桥(QBridge)。2022年1月28日,攻击者发现调用 deposit() 而非 depositETH() 会触发相同的链上事件 —— 但实际上不需要任何 ETH。桥接中继器仅监听事件,便在 BSC 上免费铸造了 qXETH 代币。攻击者利用这些代币作为抵押品,抽走了8000万美元。
三个因素促成了此次攻击:桥接合约在安全审计未完成的情况下就已部署,合约参数在事件发生前几天被所有者秘密更改(无时间锁,无公告),以及一个已知的 EVM 行为 —— 对零地址调用任何函数会静默成功 —— 从未被考虑到。
技术分析
deposit() 与 depositETH() 的事件碰撞。零地址 EOA 技巧。可疑的参数变更。
时间线
从1月28日的攻击事件到四年的沉默 —— 完整的时间线记录。
九个未回答的问题
为什么团队忽视了提供黑客信息的人?为什么部署未审计的代码?为什么 CTO 的 LinkedIn 被删除?
团队回应
移除受害者的管理员。从 LinkedIn 消失的 CTO。从未被联系的 Binance 安全团队。
追踪资金流向
黑客钱包。与 Binance Hot Wallet 关联的2000万美元神秘受害者。四年来资金追回进展为零。
公司
Mound Inc. —— 谁该负责
Section titled “Mound Inc. —— 谁该负责”Qubit Finance 由 Mound Inc. 开发,注册于韩国大田市(注册号:160111-0556766)。该公司90.5%的股份由 Krypton PTE. LTD.(新加坡)持有,而 Krypton 60%的股份由 CEO Jun Hur 持有。Mound Inc. 在2021年5月的 PancakeBunny 攻击事件中已经损失了约4500万美元。他们打造 Qubit Finance 是为了弥补损失 —— 结果又损失了8000万美元。
Jun HurCEO — 持有 Krypton PTE 60%股份首尔瑞草区 · LinkedIn 仍在使用Aaron Yooshin KimCTO — 持有 Krypton PTE 20%股份⚠ 2022年2月1日删除 LinkedIn —— 攻击事件后4天Kim HyungchulCSO — 持有 Krypton PTE 20%股份负责安全 —— 部署了未经审计的桥接合约Yonggon Kim研究总监协议架构与设计Kim Taeeun产品负责人在审计未完成的情况下批准上线
资金
黑客钱包 —— 资金未追回
Section titled “黑客钱包 —— 资金未追回”0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7
Etherscan (ETH) · BSCScan (BSC) · 完整资金流向分析 →
一个钱包损失了 8,510.12 ETH(当时约合2000万美元)—— 占整个攻击金额的四分之一。所有转账都经过 Binance Hot Wallet。此人从未公开发表过任何言论。
Binance
Binance 为该项目背书
Section titled “Binance 为该项目背书”Qubit Finance 是一个 Binance Smart Chain 项目,得到了 Binance 的明确背书。当受害者直接向 CZ 和 Binance 呼吁介入 —— 将攻击者的钱包列入黑名单、向 Mound Inc. 施压、利用其平台影响力 —— 他们的呼声被无视了。
“你好先生,同样是在 BSC 上,你们为什么保护了 Squid Game,这次却对 Bunny 事件什么都不做?这不公平。” —— 受害者向 @cz_binance 的呼吁,2022年
采取行动
加入追责行动
Section titled “加入追责行动”提供信息
您是否掌握有关黑客、资金流动或 Mound Inc. 内部决策的信息?请提交 —— 如有需要可匿名提交。
受害者社区
与其他受害者联系。Qubit 受害者联盟自2022年以来一直在争取追责。
媒体报道
Bloomberg、CoinDesk、The Verge、ZDNet、The Register 等媒体均报道了此事件。事情还没有结束。
分享本站
持续向 Mound Inc. 施压的最好方式就是让这个故事不被遗忘。请分享 qbt.wiki。