Exklusives Interview mit dem Gründer von DEXX: Die Verantwortung für den Diebstahl liegt vollständig bei uns, der Zugang zur Entschädigungsplattform wird bald online gehen.

Original | Odaily Planet Daily (@OdailyChina)
Autor | Fu Ruhe (@vincent 31515173)
Am 16. November ereignete sich ein schwerer Sicherheitsvorfall auf der Handelsplattform DEXX. Hacker nutzten technische Schwachstellen der Plattform aus und stahlen über 21 Millionen Dollar an Benutzerfonds, wobei die Zahl der Opfer bei fast 1000 liegt. Dieses Ereignis hat nicht nur zu erheblichen finanziellen Verlusten für die Benutzer geführt, sondern auch weitreichende Auswirkungen auf das Vertrauen in die Branche gehabt und ist schnell zu einem heißen Thema im Bereich Web3-Sicherheit geworden.
Nach dem Vorfall konnte das DEXX-Projektteam fast einen Monat lang nicht die spezifischen Gründe für den Diebstahl bekannt geben. Schlimmer noch, der Gründer der Plattform und die Nutzer gerieten in sozialen Medien in einen öffentlichen Streit, und die Konflikte zwischen beiden Seiten eskalierten.
Kürzlich gab der Gründer der DEXX-Plattform, Roy, im ersten Interview mit Odaily Planet Daily ausführliche Antworten zu den Ursachen des Sicherheitsvorfalls, den Entschädigungsplänen für die Opfer und den zukünftigen Verbesserungsrichtungen der Plattform. Er versuchte, auf die zahlreichen Fragen der Opfer und des Marktes zu antworten. (Hinweis von Odaily: Die folgenden Antworten spiegeln lediglich die Sichtweise von DEXX wider und repräsentieren nicht die Position von Odaily Planet Daily.)
Hier sind die vollständigen Interviewnotizen.
Odaily Planet Daily: Können Sie die Gründe für den Diebstahl bei DEXX erläutern? Hängt es mit dem privaten Schlüsselmanagementschema der Plattform zusammen?
Roy: Der Hauptgrund für den Diebstahl war unser Teamversagen im Sicherheitsmanagement, und nicht das Problem des privaten Schlüsselmanagementplans selbst.
Wir verwenden die marktüblichen Handels- und Verwahrungslösungen, die mit vielen führenden Plattformen (wie BananaGun, Unibot usw.) übereinstimmen. Diese Lösung hat Vorteile in Bezug auf Handelsgeschwindigkeit und Limit-Order-Erfahrung, erfordert jedoch hohe Sicherheitsmanagementanforderungen für das Team. Unser Fehler führte zu einem Leck der privaten Schlüssel, und die Verantwortung liegt vollständig bei uns.
Obwohl die Nutzer anmerken, dass die privaten Schlüssel zentral auf dem Server gespeichert und nicht verschlüsselt sind, ist das ein Missverständnis der technischen Details. Tatsächlich besteht die Logik dieses Plans darin, Wallet-Adressen unabhängig zu generieren, was in den Hauptplattformen des Marktes weit verbreitet ist. Das Problem liegt nicht im Plan selbst, sondern in den Fehlern unseres Teams bei der Implementierung und Verwaltung.
Odaily Planet Daily: In sozialen Medien glauben viele Opfer, dass der Diebstahl ihrer Vermögenswerte tatsächlich von DEXX selbst begangen wurde. Wie können Sie Ihre Unschuld beweisen?
Roy: Ich habe bereits mehrfach erklärt, dass, wenn wir wirklich unangemessen gehandelt haben:
Sicherheitsagenturen wie Slow Mist werden nicht mit uns zusammenarbeiten.
Investitionsagenturen werden auch keine Mittel weiter bereitstellen.
Die Strafverfolgungsbehörden werden direkt gegen uns vorgehen, anstatt bei der Verfolgung der Hacker zu helfen.
In der Tat hatten mein Team und ich keinen Grund, uns mit diesen über 20 Millionen Dollar selbst zu schaden. Unsere Tagesumsätze in Hochphasen können dreißig bis vierzigtausend Dollar erreichen, und vor dem Vorfall betrug die Bewertung der Plattform 60 Millionen Dollar. Wenn wir wirklich Geld benötigen, könnten wir es auf viel sinnvollere Weise beschaffen, zum Beispiel durch die Ausgabe von Plattform-Token oder durch die Anwerbung institutioneller Investoren.
Odaily Planet Daily: Wie ist der Stand der Ermittlungen zu den gestohlenen Vermögenswerten? Welche Herausforderungen gibt es bei der Bearbeitung des Vorfalls?
Roy: Die Verdächtigen wurden im Inland identifiziert, aber der Ermittlungsprozess ist sehr komplex und erfordert viel Zeit und Ressourcen. Die Strafverfolgungsbehörden haben von Anfang an eingegriffen, um sicherzustellen, dass die Ermittlungen reibungslos verlaufen. Daher haben wir in der Anfangsphase keine Details veröffentlicht, bis wir am 6. Dezember einige Informationen bekannt gegeben haben. Vorzeitige Offenlegungen könnten den Ermittlungsfortschritt beeinträchtigen oder "die Schlange hochschrecken", sodass die Offenlegung von Informationen mit Vorsicht erfolgen muss.
Für unser Team erfordert die Behandlung des Vorfalls nicht nur die Zusammenarbeit mit den Strafverfolgungsbehörden, sondern auch die Übernahme hoher technischer und administrativer Kosten. Da der Fall komplizierte technische Details und die Interessen der Investitionsinstitutionen betrifft, müssen wir weiterhin klären, welche Informationen veröffentlicht werden können.
Odaily Planet Daily: DEXX gab am 6. Dezember einen Entschädigungsplan bekannt, einschließlich Entschädigung durch Investitionen oder durch Selbstbetriebe, aber die Opfer waren damit nicht zufrieden. Wie sehen Sie dieses Problem?
Roy: Der ursprüngliche Zweck des Entschädigungsplans wurde unter Berücksichtigung des schlimmsten Falls entworfen. Zu diesem Zeitpunkt wussten wir zwar, dass der schlimmste Fall unwahrscheinlich war, aber um den Opfern eine psychologische Erwartung an die grundlegende Absicherung zu geben, haben wir uns entschieden, zunächst einen konservativen Plan zu veröffentlichen. Die tatsächliche Umsetzung des Plans wird je nach der Bereitstellung der institutionellen Mittel angepasst.
Der Kontakt zu institutionellen Mitteln wurde bereits weitgehend geklärt, aber noch nicht endgültig bestätigt. Da Details wie Investitionsbeträge und institutionelle Bewertungen noch nicht festgelegt sind, können wir vorerst keine Informationen nach außen geben. Vorzeitige Offenlegungen könnten zu Missverständnissen auf dem Markt führen oder die Kooperationsbereitschaft der Institutionen beeinträchtigen. Daher möchten wir warten, bis die Mittel vollständig bereitstehen, bevor wir die Nutzer durch offizielle Ankündigungen informieren und den Plan aktualisieren.
Odaily Planet Daily: Die Opfer berichten, dass das Projektteam bei der Festlegung des Entschädigungsplans wiederholt war, zum Beispiel am 28. November das Versprechen gegeben hat, den Plan innerhalb von 48 Stunden zu bestätigen, aber bis zum 6. Dezember nichts veröffentlicht wurde. Wie erklären Sie das?
Roy: Zunächst einmal erkennen wir an, dass es tatsächlich eine Verzögerung bei der Veröffentlichung des Plans gab, aber der Grund liegt hauptsächlich in einigen unkontrollierbaren externen Faktoren und objektiven Bedingungen.
In den Verhandlungen auf institutioneller Ebene befindet sich das Projektteam in einer schwachen Position. Wir hoffen, mit stärkeren und glaubwürdigeren Institutionen zusammenzuarbeiten, um die besten Interessen der Nutzer zu wahren, aber das bedeutet, dass die Bedingungen wiederholt bewertet werden müssen, was die endgültige Bestätigung des Plans verzögert.
Darüber hinaus betreffen während der Verfolgung der Hacker einige Details sensible Informationen über die Zusammenarbeit zwischen den Strafverfolgungsbehörden und Sicherheitsunternehmen. Zu viele Offenlegungen könnten Missverständnisse hervorrufen oder sogar den Ruf der beteiligten Parteien schädigen. Daher haben wir uns entschieden, vorerst keine Informationen nach außen zu geben.
Obwohl die verspätete Entscheidung aus Vorsicht getroffen wurde, haben wir es versäumt, rechtzeitig mit den Nutzern über die konkreten Gründe zu kommunizieren, was zu Missverständnissen geführt hat, wofür wir uns aufrichtig entschuldigen. 
Odaily Planet Daily: Am 6. Dezember gab DEXX offiziell bekannt, dass innerhalb von 7 Arbeitstagen ein Plan festgelegt wird. Jetzt ist die Frist fast erreicht. Kann die Plattform den spezifischen Entschädigungsplan bestätigen?
Roy: Unser aktueller Plan sieht vor, dass innerhalb der Frist zunächst ein Zugang zur Entschädigungsplattform eingerichtet wird. Der spezifische Prozess ist wie folgt:
Benutzern bestätigen den geschädigten Betrag: Die von Drittinstitutionen erfassten geschädigten Beträge können ungenau oder unvollständig sein, weshalb wir die Nutzer bitten müssen, über den Plattformzugang selbst zu überprüfen und zu bestätigen, ob der geschädigte Betrag korrekt ist. Sobald die Nutzer den Betrag bestätigen und auf „Bestätigen“ klicken, wird die endgültige Schuldenaufzeichnung erstellt.
Entschädigung gemäß Schulden: Die bestätigte Schuldenaufzeichnung dient als Grundlage für die Entschädigung. Sobald die institutionellen Mittel bereitstehen, werden wir die Entschädigung gemäß dem Anteil der Schulden der Nutzer sofort leisten.
Klärung der Schuldenstruktur und des Entschädigungsplans: Die von uns vorgeschlagenen "7 Arbeitstage" beziehen sich darauf, zunächst die Richtigkeit der Schuldenstruktur zu bestätigen und dann von den Nutzern überprüfen und anerkennen zu lassen, ob der Schuldenbetrag korrekt ist. Nachdem dieser Schritt abgeschlossen ist, ist die endgültige Schuld festgelegt.
Der genaue Entschädigungsplan wurde bereits erstellt, aber aufgrund von Faktoren wie institutionellen Fonds wurde er noch nicht veröffentlicht. Der gesamte Prozess erfolgt stufenweise, und sobald die institutionellen Mittel bereitstehen, werden wir die Schuldenentschädigung in mehreren Schritten abwickeln. Wenn Nutzer nach der Bestätigung des Betrags Fragen haben, werden wir auch anhand der Aufzeichnungen überprüfen und handeln.
Odaily Planet Daily: Opfer erwähnten, dass die Plattform in den Tagen vor dem 6. Dezember nicht erreichbar war. Warum haben Sie damals nicht rechtzeitig kommuniziert?
Roy: Es gibt tatsächlich keine sogenannte "Kontaktlosigkeit". Viele Menschen haben dieses Gefühl, weil wir möglicherweise 1 bis 2 Tage lang nicht auf ihre Fragen geantwortet haben, und die Nutzer daher annehmen, dass wir nicht mehr reagieren. In der Tat waren wir zu dieser Zeit unter großem Druck und mit erheblichen Unsicherheiten konfrontiert, aber wir haben immer im Hintergrund daran gearbeitet, die Probleme zu lösen. Man kann unsere Hauptarbeit in dieser Zeit in drei Phasen unterteilen:
Verfolgung der Hacker: In der ersten Woche konzentrierten wir unsere Kräfte auf die Zusammenarbeit mit Sicherheits- und Strafverfolgungsbehörden, um die Bewegungen der Hacker zu verfolgen. Dies war der Bereich mit den höchsten Anfangsinvestitionen und Kosten.
Sicherheitsupgrades und Entwicklung von Entschädigungsplänen: In der zweiten Woche haben wir die Sicherheitsmaßnahmen der Plattform umfassend aktualisiert und gleichzeitig Produkte entwickelt, die mit der Entschädigung in Verbindung stehen, um den Nutzern einen Eingang zur Kompensation zu bieten.
Institutioneller Kontakt: In der dritten Woche haben wir den Fokus auf Verhandlungen und Kommunikation mit Institutionen verlagert. Diese Phase der Arbeit ist besonders komplex, da viele Details behandelt werden müssen.
Obwohl unser Kundenserviceteam manchmal in Gruppen antwortet, können wir aufgrund der großen Anzahl betroffener Nutzer und der Vielzahl an Fragen nicht sofort auf jeden Nutzer antworten.
Darüber hinaus gibt es große Einschränkungen bei der Veröffentlichung von Ankündigungen. Jedes Mal, wenn wir eine Ankündigung veröffentlichen, müssen wir mit 2 bis 3 Sicherheitsunternehmen oder Strafverfolgungsbehörden abklären, ob die Inhalte veröffentlicht werden können. Einige Informationen, wenn sie bekannt gegeben werden, könnten die Verfolgung von Verdächtigen durch die Strafverfolgungsbehörden beeinträchtigen, da frühere Ermittlungsbehörden einige Verdächtige identifiziert hatten, aber nach eingehender Untersuchung festgestellt wurde, dass die Richtung falsch war, was zu wiederholten Bestätigungen führte. Diese ständigen Überprüfungen haben uns viel Zeit und Energie gekostet.
Die Nutzer können möglicherweise nicht direkt wahrnehmen, wie sehr wir uns bemühen, aber im Hintergrund haben wir tatsächlich erhebliche Arbeitsaufwände geleistet. Egal, ob es um die Verfolgung der Hacker, die Kommunikation mit Institutionen oder die Entwicklung des Entschädigungsplans geht, wir haben kontinuierlich daran gearbeitet. Nur aufgrund der Einschränkungen der Strafverfolgungsbehörden und der Notwendigkeit, die Ermittlungen zu schützen, konnten wir nicht alle Fortschritte sofort veröffentlichen.
Insgesamt haben wir nicht den Kontakt verloren, sondern haben versucht, den Opfern bei der Lösung ihrer Probleme zu helfen und die Situation in eine positive Richtung zu lenken, während wir gleichzeitig unter mehreren Druckquellen standen.
Odaily Planet Daily: Nur aufgrund dieser Angelegenheit ist das Vertrauen in die Sicherheitsfähigkeit und die Markenvertrauenswürdigkeit von DEXX drastisch gesunken. Wenn DEXX eines Tages wieder online geht, wie glauben Sie, sollten Sie das Vertrauen der Nutzer zurückgewinnen und sie dazu bringen, die Plattform erneut zu nutzen?
Roy: Der Kern des Nutzervertrauens liegt nicht nur in der Sicherheitstechnik, sondern auch in der Unterstützung und Absicherung der Plattform. Daher planen wir, in folgenden Bereichen aktiv zu werden:
Transparenz und Fairness bei der Entschädigung: Die Plattform wird einen Verifikationszugang einrichten, bei dem die Nutzer den geschädigten Betrag bestätigen müssen, um die Daten genau zu halten. Nach der Bestätigung generiert das System einen Schuldenaufzeichnung und nach Eintreffen der institutionellen Mittel erfolgt die Entschädigung stufenweise. Der gesamte Entschädigungsplan wird auf dem Prinzip der Offenheit und Transparenz basieren und die Fortschritte in der Entschädigung in Echtzeit aktualisieren.
Umfassende Sicherheitsupdates: Mehrere führende Sicherheitsprüfungsunternehmen werden beauftragt, eine umfassende Sicherheitsbewertung der Plattform durchzuführen. Die nach dem Upgrade implementierten Sicherheitsmechanismen werden veröffentlicht und technische Details sowie Verbesserungspläne den Nutzern offengelegt. Ein umfassendes technisches Support- und Problemlösungssystem wird etabliert, um die Stabilität und Sicherheit des Plattformbetriebs sicherzustellen.
Wiederherstellung des Markenvertrauens: Wir haben mehrere weltweit bekannte Börsen und Finanzinstitute als Unterstützung hinzugezogen, um das Vertrauen der Nutzer in die Plattform zu stärken. Durch ein starkes Kooperationsnetzwerk sollen die Nutzer klar erkennen, dass die Plattform in Zukunft Sicherheitsgarantien bietet.
Optimierung des Nutzeremotionenmanagements: Etablierung eines effizienten Kommunikationsmechanismus mit den Nutzern, um zeitnah auf Feedback zu reagieren. Stärkung der PR-Fähigkeiten und Entwicklung einer klaren Krisenreaktionsstrategie, damit die Nutzer sich emotional wertgeschätzt und verstanden fühlen.
Verstärkung des Vertrauens: Wir erkennen, dass 99% der Nutzer keine technischen Kenntnisse haben. Was sie brauchen, sind keine komplexen technischen Erklärungen, sondern ein echtes Gefühl des Vertrauens. Durch mehrere Unterstützungen und praktische Maßnahmen möchten wir, dass die Nutzer glauben, dass die Zukunft der Plattform vertrauenswürdig ist.