Mound Inc. 從未回答的九個問題
駭客事件發生四年後,這九個問題仍然無人回答。每一個問題都指向一個在漏洞攻擊之前、期間和之後辜負用戶的團隊。
1. 為什麼忽視主動提供駭客資訊的人?
Section titled “1. 為什麼忽視主動提供駭客資訊的人?”團隊公開呼籲任何掌握駭客資訊的人與他們聯繫。有人照做了。團隊沒有回覆。
「我已經透過 Tox 聯繫了團隊,但至今沒有收到回覆。」 — Reddit, PancakeBunny 社群
如果你真的想追回八千萬美元,你不會忽視線索。
2. 那位與 Binance 有關聯、損失兩千萬美元的受害者是誰——為什麼他們保持沉默?
Section titled “2. 那位與 Binance 有關聯、損失兩千萬美元的受害者是誰——為什麼他們保持沉默?”錢包 0xba19a0f65e0cd2a5042bf12ecc93f9816884983d 在這單一事件中損失了 8,510.12 ETH——約兩千萬美元。這佔整個駭客事件損失的四分之一。
該錢包的每一筆交易都經過 Binance 熱錢包。然而這個人——最大的單一受害者——什麼都沒說,什麼都沒做,也沒有尋求任何公開問責。
這個人是誰?他們與 Mound Inc. 或 Binance 有關聯嗎?他們是否知道那座未經審計的跨鏈橋?他們為什麼沒有發聲?
3. 為什麼沒有提供有意義的懸賞來尋找駭客?
Section titled “3. 為什麼沒有提供有意義的懸賞來尋找駭客?”團隊向攻擊者提出二十五萬美元的條件,要求歸還八千萬美元。但他們向社群提供的識別攻擊者獎勵是——零。沒有線索懸賞。沒有任何激勵措施鼓勵可能知情的人站出來。
這不是一個認真追回資金的團隊會有的做法。
4. 為什麼將未經審計的程式碼部署到正式環境?
Section titled “4. 為什麼將未經審計的程式碼部署到正式環境?”Mound Inc. 先前的發佈版本都經過安全審計。QBridge 合約——正是被攻擊的元件——在明知審計尚未完成的情況下被部署上線。審計正在進行中。有人決定提前上線。
是誰做出了這個決定?為什麼?答案從未被給出。
5. 為什麼在沒有時間鎖或公告的情況下更改合約參數?
Section titled “5. 為什麼在沒有時間鎖或公告的情況下更改合約參數?”在駭客事件發生之前,有人使用了 onlyOwner 函數重新分配了 resourceID 映射——將代幣地址從 WETH 的真實合約更改為零地址。正是這個單一變更使漏洞攻擊成為可能。
沒有時間鎖。沒有社群通知。沒有治理流程。對一個持有數百萬美元用戶資金的合約所做的更改,是在不可見且即時的狀態下完成的。
這要麼是災難性的失職,要麼是更惡劣的行為。
6. 為什麼將受害者從官方 Telegram 群組中移除?
Section titled “6. 為什麼將受害者從官方 Telegram 群組中移除?”當剛剛失去積蓄的用戶試圖在官方 Telegram 群組中溝通時,團隊的管理員 @moleh 將他們移除了。反覆移除。
受駭客事件影響最大的人,被對此負有責任的團隊系統性地噤聲了。
7. 為什麼團隊沒有立即聯繫 Binance 和各大交易所?
Section titled “7. 為什麼團隊沒有立即聯繫 Binance 和各大交易所?”任何負責任的團隊在 DeFi 漏洞攻擊發生後,第一件事就是聯繫各大交易所、跨鏈橋和兌換協議,將攻擊者的錢包列入黑名單。這可以阻止駭客轉換被盜資金。
Qubit 團隊沒有這樣做。攻擊者的地址沒有被及時列入黑名單。每延遲一小時,就是讓駭客多一小時轉移八千萬美元的機會。
8. 為什麼報警記錄從未公開?
Section titled “8. 為什麼報警記錄從未公開?”團隊聲稱在兩個司法管轄區提交了報案。但他們從未提供:
- 案件編號
- 報案確認書
- 任何來自執法部門的後續更新
在沒有證據的情況下,這些說法無法查證。報案只需一天。分享案件編號只需一分鐘。這兩件事都沒有做到。
9. 為什麼團隊拋棄受害者而不是與他們共同應對?
Section titled “9. 為什麼團隊拋棄受害者而不是與他們共同應對?”Mound Inc. 沒有與受害者站在一起——保持透明、積極溝通、主動追回資金——而是派出一名代表(@moleh)將受害者從他們自己的社群頻道中移除。
沒有追回計劃。沒有賠償機制。沒有更新。只有沉默,以及一個手握封禁按鈕的管理員。
至今仍無答案
Section titled “至今仍無答案”如果您掌握能夠解答上述任何問題的資訊——關於駭客事件前的參數變更、那位損失兩千萬美元的沉默受害者、團隊的內部決策,或被盜資金的下落——請回報相關資訊。