完整記錄
攻擊如何運作的逐步分析 —— 漏洞、攻擊手法,以及消失的 8000 萬美元。
$80M一次攻擊中被盜
$0歸還給受害者
4 年Mound Inc. 的沉默
0人被追究責任
事件概述
Qubit Finance 營運了一座連接 Ethereum 和 Binance Smart Chain 的跨鏈橋(QBridge)。2022 年 1 月 28 日,攻擊者發現呼叫 deposit() 而非 depositETH() 會觸發相同的鏈上事件 —— 但不需要實際存入任何 ETH。橋接中繼器僅監聽事件,因此在 BSC 上免費鑄造了 qXETH 代幣。攻擊者將這些代幣作為抵押品,掏空了 8000 萬美元。
三個因素促成了此次攻擊:橋接合約在安全審計尚未完成的情況下便已部署、一個合約參數在事發數天前被合約擁有者秘密修改(無時間鎖、無公告),以及一個已知的 EVM 行為 —— 對零地址呼叫任何函式會靜默成功 —— 從未被納入考量。
技術分析
deposit() 與 depositETH() 的事件碰撞、零地址 EOA 技巧,以及可疑的參數修改。
時間線
從 1 月 28 日的攻擊事件到四年的沉默 —— 完整的時序記錄。
九個未解答的問題
為什麼團隊忽視擁有駭客資訊的人?為什麼部署未經審計的程式碼?為什麼技術長的 LinkedIn 被刪除?
團隊回應
移除受害者的管理員、從 LinkedIn 消失的技術長、從未被聯繫的 Binance 安全團隊。
追蹤資金流向
駭客的錢包、與 Binance Hot Wallet 相關的 2000 萬美元沉默受害者、四年來追回資金的進展為零。
公司背景
Mound Inc. —— 誰該負責
Section titled “Mound Inc. —— 誰該負責”Qubit Finance 由 Mound Inc. 開發,該公司註冊於韓國大田市(登記編號:160111-0556766)。公司 90.5% 股份由 Krypton PTE. LTD.(新加坡)持有,而 Krypton 的 60% 股份由執行長 Jun Hur 持有。Mound Inc. 此前已在 2021 年 5 月的 PancakeBunny 駭客事件中損失約 4500 萬美元。他們建立了 Qubit Finance 試圖翻身 —— 結果又損失了 8000 萬美元。
Jun Hur執行長 — 持有 Krypton PTE 60% 股份首爾瑞草區 · LinkedIn 仍在活躍中Aaron Yooshin Kim技術長 — 持有 Krypton PTE 20% 股份⚠ 2022 年 2 月 1 日刪除 LinkedIn —— 駭客事件後第 4 天Kim Hyungchul安全長 — 持有 Krypton PTE 20% 股份負責安全事務 —— 卻部署了未經審計的橋接合約Yonggon Kim研究總監協議架構與設計Kim Taeeun產品負責人在審計未完成的情況下批准上線
資金追蹤
駭客錢包 —— 資金未被追回
Section titled “駭客錢包 —— 資金未被追回”0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7
Etherscan (ETH) · BSCScan (BSC) · 完整資金流向分析 →
其中一個錢包損失了 8,510.12 ETH(當時約值 2000 萬美元)—— 佔整個駭客事件損失的四分之一。所有轉帳都經由 Binance Hot Wallet 進行。此人至今從未公開發表過任何言論。
Binance
Binance 為此項目背書
Section titled “Binance 為此項目背書”Qubit Finance 是一個 Binance Smart Chain 項目,獲得了 Binance 的明確背書。當受害者直接向 CZ 和 Binance 求助 —— 要求將攻擊者的錢包列入黑名單、向 Mound Inc. 施壓、運用其平台影響力時 —— 他們的訴求被完全忽視。
「先生您好,同樣在 BSC 上,您保護了 Squid Game,但這次對 Bunny 的事件卻什麼都沒做?這不公平。」 —— 受害者於 2022 年向 @cz_binance 發出的訴求
採取行動
加入問責行動
Section titled “加入問責行動”舉報資訊
如果您擁有關於駭客、資金動向或 Mound Inc. 內部決策的資訊,請提交 —— 可選擇匿名方式。
受害者社群
與其他受害者聯繫。Qubit 受害者聯盟自 2022 年起一直在為問責而戰。
媒體報導
Bloomberg、CoinDesk、The Verge、ZDNet、The Register 等媒體均報導過此事件。事情尚未結束。
分享本站
持續向 Mound Inc. 施壓的最好方式就是讓這個故事持續被關注。請分享 qbt.wiki。