Mound Inc. 从未回答的九个问题
黑客事件发生四年后,这九个问题仍然没有答案。每一个都指向一个在漏洞利用之前、期间和之后辜负了用户的团队。
1. 为什么无视主动提供黑客信息的人?
Section titled “1. 为什么无视主动提供黑客信息的人?”团队公开呼吁任何掌握黑客信息的人与他们联系。有人联系了。但团队没有回应。
“我通过 Tox 联系了团队,至今没有收到任何回复。” — Reddit,PancakeBunny 社区
如果你真心想追回 8000 万美元,你不会无视线索。
2. 那位与 Binance 有关联的 2000 万美元受害者是谁——为什么他们保持沉默?
Section titled “2. 那位与 Binance 有关联的 2000 万美元受害者是谁——为什么他们保持沉默?”钱包 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d 在这一事件中损失了 8,510.12 ETH——约 2000 万美元。这占整个黑客攻击总金额的四分之一。
该钱包的每笔交易都经过 Binance 热钱包。然而,这位最大的单一受害者至今什么都没说,什么都没做,也没有寻求任何公开问责。
这个人是谁?他们与 Mound Inc. 或 Binance 有关联吗?他们知道未经审计的跨链桥吗?他们为什么没有发声?
3. 为什么没有设立有意义的悬赏来寻找黑客?
Section titled “3. 为什么没有设立有意义的悬赏来寻找黑客?”团队向攻击者提出 25 万美元让其归还 8000 万美元。他们向社区提供的用于识别攻击者的悬赏是零。没有线索奖金。没有任何激励让可能知情的人站出来。
这不是一个真心想追回资金的团队应有的做法。
4. 为什么将未经审计的代码部署到生产环境?
Section titled “4. 为什么将未经审计的代码部署到生产环境?”Mound Inc. 此前的发布都经过了安全审计。而 QBridge 合约——正是被利用的那个组件——在明知审计尚未完成的情况下被部署上线。审计正在进行中。有人做出了提前上线的决定。
是谁做的这个决定?为什么?答案从未被给出。
5. 为什么在没有时间锁或公告的情况下更改合约参数?
Section titled “5. 为什么在没有时间锁或公告的情况下更改合约参数?”在黑客攻击之前,一个仅限所有者调用的函数被用于重新分配 resourceID 映射——将代币地址从 WETH 的真实合约地址更改为零地址。正是这一项更改使得漏洞利用成为可能。
没有时间锁。没有社区通知。没有治理流程。对持有数百万用户资金的合约的更改是在无人知晓的情况下瞬间完成的。
这要么是灾难性的疏忽,要么是更严重的问题。
6. 为什么将受害者从官方 Telegram 群组中移除?
Section titled “6. 为什么将受害者从官方 Telegram 群组中移除?”当刚刚失去毕生积蓄的用户试图在官方 Telegram 群组中沟通时,团队的管理员 @moleh 将他们移除了。反复移除。
受黑客攻击影响最深的人被对此负有责任的团队系统性地噤声了。
7. 为什么团队没有立即联系 Binance 和各大交易所?
Section titled “7. 为什么团队没有立即联系 Binance 和各大交易所?”任何负责任的团队在 DeFi 漏洞利用事件发生后做的第一件事就是联系各大交易所、跨链桥和兑换协议,将攻击者的钱包列入黑名单。这能阻止黑客转换被盗资金。
Qubit 团队没有这样做。攻击者的地址没有被及时列入黑名单。每延迟一个小时,就是给黑客一个小时来转移 8000 万美元。
8. 为什么警方报案记录从未公开?
Section titled “8. 为什么警方报案记录从未公开?”团队声称他们在两个司法管辖区向警方报了案。但他们从未提供:
- 案件编号
- 立案确认
- 执法部门的任何后续进展
没有证据,这些说法无法核实。提交警方报告需要一天。分享案件编号只需要一分钟。两者都没有做到。
9. 为什么团队抛弃了受害者而不是与他们站在一起?
Section titled “9. 为什么团队抛弃了受害者而不是与他们站在一起?”Mound Inc. 没有与受害者站在一起——保持透明、积极沟通、主动推动资金追回——而是派了一名代表(@moleh)将受害者从他们自己的社区频道中移除。
没有追回计划。没有赔偿机制。没有任何更新。只有沉默,和一个手握封禁按钮的管理员。
至今仍无答案
Section titled “至今仍无答案”如果您掌握任何有助于解答上述问题的信息——关于黑客攻击前的参数变更、那位 2000 万美元的沉默受害者、团队内部决策,或被盗资金的去向——请提交信息。