Autor:夫如何, Odaily星球日报
16. listopadu došlo na obchodní platformě DEXX k vážné bezpečnostní události. Hackeři využili technické chyby platformy a ukradli více než 21 milionů dolarů uživatelských prostředků, přičemž počet obětí se blíží 1000. Tato událost způsobila nejen vážné ekonomické ztráty pro uživatele, ale také měla dalekosáhlý dopad na důvěru v průmyslové mechanismy, rychle se stala hot topicem v oblasti bezpečnosti Web3.
Po události DEXX projekt během téměř měsíce nedokázal zveřejnit konkrétní příčiny krádeže. Ještě horší bylo, že zakladatel platformy a uživatelé se na sociálních médiích veřejně dostali do sporu, což vedlo k eskalaci konfliktu mezi oběma stranami.
Nedávno zakladatel platformy DEXX Roy poprvé poskytl rozhovor Odaily星球日报, kde podrobně odpověděl na příčiny této bezpečnostní události, plán kompenzace pro oběti a směr budoucího zlepšení platformy, snažíc se reagovat na různé otázky obětí a trhu. (Poznámka Odaily: Následující odpovědi představují pouze názory DEXX, neodrážejí stanovisko Odaily星球日报.)
Níže je přepis rozhovoru.
Odaily星球日报: Můžete prosím objasnit příčiny krádeže DEXX? Je to spojeno s plánem správy soukromých klíčů platformy?
Roy: Hlavní příčinou krádeže jsou chyby našeho týmu v oblasti bezpečnostního managementu, nikoli problém samotného plánu správy soukromých klíčů.
Používáme tržní standardní obchodní a správcovské řešení, které je v souladu s mnoha předními platformami (jako BananaGun, Unibot atd.). Toto řešení má výhody v rychlosti transakcí a uživatelském zážitku s limitními objednávkami, ale klade vysoké požadavky na bezpečnostní management týmu. Naše chyby vedly k úniku soukromých klíčů, odpovědnost je zcela na nás.
I když uživatelé uvádějí, že soukromé klíče jsou jednotně uloženy na serveru a chybí šifrování, jde o nepochopení technických detailů. Ve skutečnosti je logika tohoto řešení nezávisle generovaná peněženka, která se široce používá na hlavních platformách trhu. Problém není v samotném řešení, ale v chybách našeho týmu při jeho implementaci a správě.
Odaily星球日报: Na sociálních médiích mnoho obětí tvrdí, že DEXX platforma se ve skutečnosti sama okradla. Jak se můžete očistit?
Roy: Opakovaně vysvětluji, že pokud bychom skutečně měli nevhodné chování:
Bezpečnostní instituce jako Slow Mist s námi nebudou spolupracovat.
Investiční instituce nebudou pokračovat v připojování financí.
Donucovací orgány na nás budou přímo jednat, nikoli pomáhat při dopadení hackerů.
Ve skutečnosti já ani tým nemáme žádný důvod k tomu, abychom zničili svou budoucnost za více než 20 milionů dolarů. Naše denní příjmy v době vrcholu podnikání mohou dosáhnout 300-400 tisíc dolarů a před událostí byla hodnota platformy 60 milionů dolarů. Pokud bychom skutečně potřebovali finance, mohli bychom je získat mnohem rozumnějším způsobem, například vydáním platformového tokenu nebo přilákáním institucionálních investorů.
Odaily星球日报:Jaký je aktuální pokrok vyšetřování krádeže? Jaké potíže má platforma při zpracování incidentu?
Roy: Podezřelí byli identifikováni v zemi, ale vyšetřovací proces je velmi složitý a vyžaduje mnoho času a zdrojů. Donucovací orgány začaly zasahovat v rané fázi, aby zajistily hladký postup vyšetřování, v počáteční fázi jsme nezveřejnili detaily, až do 6. prosince jsme zveřejnili některé informace. Předčasné zveřejnění by mohlo ovlivnit průběh vyšetřování nebo „vykopnout trávu a vyplašit hada“, proto je zveřejnění informací třeba provádět opatrně.
Pro náš tým zpracování události nejenže vyžaduje spolupráci s donucovacími orgány, ale také musíme nést vysoké náklady na technologie a správu. Navíc, protože případ zahrnuje složité technické detaily, zájmy investičních institucí a další faktory, musíme dále potvrdit, které informace mohou být zveřejněny.
Odaily星球日报:DEXX oficiálně zveřejnil plán náhrady dne 6. prosince, včetně kompenzace za investice nebo příjmů z vlastního podnikání, ale oběti nejsou spokojené. Jak se na tento problém díváte?
Roy: Účelem plánu náhrad bylo navrhnout ho na základě nejhorší možné situace. I když jsme v té době již věděli, že nejhorší scénář je nepravděpodobný, abychom obětem poskytli psychologické očekávání základní ochrany, zvolili jsme zveřejnění nejkonzervativnějšího plánu. Skutečná realizace plánu se přizpůsobí podle investovaných prostředků institucí.
V současnosti je spojení s institucionálními prostředky již prakticky dojednáno, ale nebylo ještě konečně potvrzeno. Vzhledem k tomu, že detaily, jako jsou investiční částky a ocenění institucí, dosud nebyly zajištěny, nemůžeme je zatím zveřejnit. Předčasné zveřejnění by mohlo vyvolat nedorozumění na trhu nebo ovlivnit ochotu institucí spolupracovat. Proto doufáme, že až budou prostředky zcela zajištěny, vysvětlíme a aktualizujeme plán uživatelům prostřednictvím oficiálního oznámení.
Odaily星球日报: Oběti uvádějí, že projekt se zdržoval při určování plánu náhrad, například 28. listopadu slíbil, že plán bude určen během 48 hodin, ale až 6. prosince byl zveřejněn. Jak to vysvětlíte?
Roy: Nejprve uznáváme, že skutečně došlo k zpoždění v čase zveřejnění plánu, ale důvody jsou především způsobeny některými neovlivnitelnými vnějšími faktory a omezeními objektivních podmínek.
Ve vyjednávání na úrovni institucí je projekt na slabé straně. Doufáme, že budeme spolupracovat s silnějšími a důvěryhodnějšími institucemi, abychom pro uživatele zajistili nejlepší zájmy, ale to znamená opakované vyhodnocování podmínek a odložení konečného potvrzení plánu.
Kromě toho, během pronásledování hackerů se některé detaily týkají citlivých informací o spolupráci donucovacích orgánů a bezpečnostních společností. Přílišné zveřejnění může vyvolat nedorozumění nebo dokonce poškodit reputaci zúčastněných stran. Proto jsme se rozhodli prozatím nezveřejnit.
I když bylo rozhodnutí o zpoždění učiněno z obezřetnosti, nedokázali jsme včas komunikovat konkrétní důvody s uživateli, což vedlo k nedorozuměním, za což se velmi omlouváme.
Odaily星球日报: Dne 6. prosince DEXX oficiálně oznámil, že do 7 pracovních dnů určí konkrétní plán. Čas už téměř vypršel, může platforma potvrdit konkrétní plán kompenzace?
Roy: Naším aktuálním plánem je, že do termínu spustíme vstup na platformu pro náhrady, konkrétní proces je následující:
Uživatelé potvrzují částku ztráty: Čísla o ztrátě poskytnutá třetími stranami mohou být nepřesná nebo neúplná, proto potřebujeme, aby uživatelé sami ověřili a potvrdili správnost ztracené částky prostřednictvím platformového vstupu. Jakmile uživatelé potvrdí částku a kliknou na „potvrdit“, vznikne konečný záznam o pohledávce.
Náhrada na základě pohledávky: Potvrzené záznamy pohledávek budou sloužit jako základ pro náhrady. Jakmile budou prostředky od institucí k dispozici, provedeme první náhradu podle poměru pohledávek uživatelů.
Jasné určení struktury dluhu a plánu náhrad: Naše „7 pracovních dnů“ se vztahuje na nejprve potvrzení, zda je struktura dluhu správná, a pak uživatelé ověří a potvrdí částku pohledávky. Jakmile bude tento krok dokončen, konečná pohledávka bude určena.
Konkrétní plán náhrad již byl vypracován, ale vzhledem k zapojení institucionálních fondů nebyl dosud zveřejněn. Celý proces se provádí po etapách, jakmile budou prostředky institucí k dispozici, budeme se zabývat náhradou pohledávek. Pokud budou uživatelé mít po potvrzení částky nějaké otázky, ověříme a vyřešíme je podle záznamu.
Odaily星球日报:Oběti uvedly, že platforma měla v týdnech před 6. prosincem problémy s komunikací. Proč jste se tehdy neozvali a neudržovali úzkou komunikaci?
Roy: Ve skutečnosti neexistuje žádná situace „ztracené komunikace“. Mnoho lidí má pocit, že se s nimi nekomunikuje, protože jsme na jejich otázky možná 1 až 2 dny neodpověděli, a uživatelé tedy usoudili, že na ně už nereagujeme. Ve skutečnosti jsme v té době čelili velkému tlaku a nejistotě, ale neustále jsme se snažili problémy vyřešit. Můžeme to rozdělit do tří fází, abychom vysvětlili naše hlavní úkoly v tomto období:
Sledování hackerů: V prvním týdnu jsme se soustředili na spolupráci s bezpečnostními a donucovacími orgány a sledování pohybu hackerů. Toto byla největší investice a náklady v rané fázi.
Bezpečnostní upgrade a vývoj plánu náhrad: Ve druhém týdnu jsme kompletně vylepšili bezpečnostní opatření platformy a vyvinuli funkce související s náhradami, abychom uživatelům poskytli vstup pro kompenzaci.
Spojení s institucemi: Ve třetím týdnu jsme přesunuli pozornost na jednání a komunikaci s institucemi. Tato fáze je obzvlášť složitá, vyžaduje řešení mnoha detailů.
I když náš tým zákaznického servisu občas odpovídá na zprávy v skupině, vzhledem k počtu zasažených uživatelů a množství problémů nemůžeme reagovat okamžitě na každého uživatele.
Kromě toho existují značná omezení při zveřejňování oznámení. Při každém zveřejnění oznámení musíme potvrdit obsah s 2 až 3 bezpečnostními nebo donucovacími orgány, zda může být zveřejněn. Některé informace, pokud jsou zveřejněny, mohou ovlivnit sledování podezřelých, například v rané fázi, kdy donucovací orgány identifikovaly některé podezřelé, ale po důkladném vyšetřování zjistily, že směrování bylo nesprávné a je třeba to opakovaně potvrzovat. Tato opakovaná ověřovací práce nám spotřebovává velké množství času a energie.
Uživatelé možná nebudou schopni přímo vnímat naše úsilí, ale za tímto pozadím jsme skutečně vykonali obrovské množství práce. Ať už jde o sledování hackerů, komunikaci s institucemi, nebo vývoj plánu náhrad, neustále jsme na tom pracovali. Jen kvůli omezením donucovacích orgánů a potřebě chránit vyšetřování případu nemůžeme zveřejnit všechny pokroky okamžitě.
Celkově jsme neztratili kontakt, ale čelili mnoha tlakům a zároveň jsme se snažili řešit problémy obětí a posunout situaci k lepšímu.
Odaily星球日报:Z tohoto jediného důvodu se mnozí lidé cítí klesající důvěru v bezpečnostní schopnosti DEXX a v důvěru v značku. Pokud se DEXX jednoho dne znovu spustí, jak byste měl získat důvěru uživatelů a přimět je, aby znovu používali platformu?
Roy: Jádro důvěry uživatelů není jen bezpečnostní technologie, ale také podpora a zajištění ze strany platformy. Proto plánujeme přistoupit k následujícím aspektům:
Transparentnost a spravedlnost náhrad: Platforma zprovozní ověřovací vstup, uživatelé musí potvrdit ztracenou částku, aby zajistili přesnost dat. Po potvrzení systém vygeneruje záznam o pohledávce a po zajištění prostředků od institucí se náhrady provádějí po etapách. Celý plán kompenzace bude postaven na principu otevřenosti a transparentnosti a bude průběžně aktualizován.
Komplexní bezpečnostní upgrade: Najmout několik předních bezpečnostních auditních institucí k provedení hloubkového bezpečnostního hodnocení platformy. Zveřejnit vylepšené bezpečnostní mechanismy a odhalit technické detaily a plány zlepšení uživatelům. Vytvořit dokonalý systém technické podpory a řešení problémů, aby se zajistila stabilita a bezpečnost provozu platformy.
Obnovení důvěry v značku: Přivést několik celosvětově známých burz a finančních institucí jako podporu, aby se zvýšila důvěra uživatelů v platformu. Pomocí silné partnerské sestavy ukázat uživatelům, že platforma bude mít v budoucnu silnou bezpečnostní záruku.
Optimalizace správy emocí uživatelů: Vytvořit efektivní mechanismus komunikace s uživateli, abychom včas reagovali na jejich zpětnou vazbu. Zlepšit PR schopnosti, vytvořit jasnou strategii pro krize, aby se uživatelé cítili být váženi a chápáni.
Posílení důvěry: Uvědomujeme si, že 99 % uživatelů nerozumí technologiím, nepotřebují složité technické vysvětlení, ale skutečný pocit důvěry. Pomocí vícero podpor a konkrétních akcí přesvědčit uživatele, že budoucnost platformy je důvěryhodná.