Autor:夫如何, Odaily星球日报
El 16 de noviembre, la plataforma de intercambio DEXX sufrió un importante incidente de seguridad. Los hackers aprovecharon una vulnerabilidad técnica de la plataforma y robaron más de 21 millones de dólares en fondos de usuarios, con casi 1000 víctimas. Este incidente no solo causó graves pérdidas económicas a los usuarios, sino que también tuvo un profundo impacto en el mecanismo de confianza de la industria, convirtiéndose rápidamente en un tema candente en el campo de la seguridad Web3.
Después del incidente, el equipo del proyecto DEXX no pudo publicar la razón específica del robo durante casi un mes. Lo que es peor, el fundador de la plataforma y los usuarios tuvieron una disputa pública en las redes sociales, y la tensión entre ambas partes continuó escalando.
Recientemente, el fundador de la plataforma DEXX, Roy, aceptó por primera vez una entrevista con Odaily星球日报, donde respondió detalladamente sobre las causas del incidente de seguridad, el plan de compensación para las víctimas y las direcciones de mejora futura de la plataforma, intentando responder a las diversas dudas de las víctimas y del mercado. (Odaily nota: las siguientes respuestas solo representan el punto de vista de DEXX y no reflejan la posición de Odaily星球日报.)
A continuación se presenta la transcripción de la entrevista
Odaily星球日报:¿Puedes explicar la razón del robo de DEXX? ¿Está relacionado con el plan de gestión de claves privadas de la plataforma?
Roy: La principal razón del robo fue un error en la gestión de seguridad de nuestro equipo, y no un problema con el plan de gestión de claves privadas en sí.
Estamos utilizando un esquema de intercambio y custodia que es el estándar del mercado, coherente con muchas plataformas líderes (como BananaGun, Unibot, etc.). Este esquema tiene ventajas en la velocidad de intercambio y la experiencia de órdenes limitadas, pero requiere una gestión de seguridad muy alta por parte del equipo. Nuestros errores causaron la filtración de claves privadas, y la responsabilidad recae completamente en nosotros.
Aunque los usuarios informaron que las claves privadas se almacenan de manera unificada en el servidor y carecen de encriptación, esto es un malentendido sobre los detalles técnicos. En realidad, la lógica de este plan es generar direcciones de billetera de manera independiente, y se aplica ampliamente en las plataformas principales del mercado. El problema no radica en el plan en sí, sino en los errores de implementación y gestión de nuestro equipo.
Odaily星球日报:En las redes sociales, muchos víctimas creen que DEXX ha estado involucrado en el robo. ¿Cómo puedes probar tu inocencia?
Roy: He explicado varias veces que si realmente tuviéramos un comportamiento indebido:
Agencias de seguridad como Slow Mist no colaborarán con nosotros.
Las entidades de inversión tampoco continuarán conectando fondos.
Las agencias de aplicación de la ley tomarán acciones directas contra nosotros, en lugar de ayudar a rastrear a los hackers.
De hecho, mi equipo y yo no tenemos ninguna razón para arruinar nuestro futuro por más de 20 millones de dólares. Nuestros ingresos diarios durante los picos de negocio pueden alcanzar de 300 a 400 mil dólares, y antes del incidente, la valoración de la plataforma alcanzó los 60 millones de dólares. Si realmente necesitáramos fondos, podríamos obtenerlos de manera más razonable, como emitir un token de la plataforma o atraer inversión de entidades.
Odaily星球日报:Actualmente, ¿cuál es el progreso en la investigación de los casos de robo? ¿Cuáles son los desafíos que enfrenta la plataforma en el manejo del incidente?
Roy: Los sospechosos han sido identificados en el país, pero el proceso de resolución es muy complejo, involucrando un gran costo de tiempo y recursos. Las agencias de aplicación de la ley comenzaron a intervenir desde el principio, y para asegurar que la investigación avance sin problemas, no revelamos detalles externamente en las primeras etapas del caso, y solo publicamos parte de la información el 6 de diciembre. Revelar información con anticipación podría afectar el progreso de la aplicación de la ley o 'asustar a los sospechosos', por lo que las divulgaciones de información deben hacerse con cuidado.
Para nuestro equipo, el manejo del incidente no solo requiere cooperación con las agencias de aplicación de la ley, sino que también implica altos costos técnicos y de gestión. Además, dado que el caso involucra detalles técnicos complejos y múltiples factores relacionados con los intereses de las entidades de inversión, aún necesitamos confirmar qué información puede hacerse pública.
Odaily星球日报:DEXX 官方在 12 月 6 日公布了赔付方案,包括投融资赔偿或者自营收入进行赔偿,但受害者并不满意,你怎么看这个问题?
Roy: El propósito del plan de compensación se diseñó teniendo en cuenta la peor situación. Aunque en ese momento ya sabíamos que la peor situación era poco probable que ocurriera, para que las víctimas tuvieran una expectativa psicológica básica sobre la garantía, elegimos primero publicar un plan más conservador. La ejecución real del plan se ajustará según la inversión de fondos de las entidades.
Actualmente, la conexión de fondos de las entidades ya está prácticamente negociada, pero aún no se ha confirmado. Dado que los detalles como la cantidad de inversión y la valoración de la entidad aún no se han concretado, no podemos hacer pública la información por el momento. Divulgarla anticipadamente podría causar malentendidos en el mercado o afectar la intención de cooperación de las entidades. Por lo tanto, esperamos que una vez que los fondos estén completamente asegurados, podamos explicar y actualizar el plan a los usuarios a través de un anuncio formal.
Odaily星球日报:Las víctimas reflejan que el proyecto ha tenido repeticiones en la determinación del plan de compensación, por ejemplo, el 28 de noviembre prometieron determinar el plan en 48 horas, pero no fue hasta el 6 de diciembre que se publicó. ¿Cómo explicas esto?
Roy: Primero, reconocemos que hubo un retraso en la publicación del plan, pero la razón proviene principalmente de factores externos incontrolables y limitaciones de condiciones objetivas.
En las negociaciones a nivel institucional, el proyecto se encuentra en una posición desfavorable. Queremos colaborar con entidades más fuertes y de confianza para obtener el mejor interés para los usuarios, pero esto significa evaluar repetidamente las condiciones y retrasar la confirmación final del plan.
Además, durante el proceso de caza de hackers, ciertos detalles involucran información sensible sobre la cooperación entre las agencias de aplicación de la ley y las empresas de seguridad. Revelar demasiado podría causar malentendidos o incluso dañar la reputación de las partes involucradas. Por lo tanto, elegimos no divulgarlo por el momento.
Aunque la decisión de retrasar se tomó por consideraciones de prudencia, no logramos comunicarnos con los usuarios sobre las razones específicas a tiempo, lo que llevó a malentendidos, por lo que lamentamos profundamente esto.
Odaily星球日报:El 6 de diciembre, DEXX emitió un comunicado indicando que el plan se confirmaría dentro de 7 días hábiles. Ahora que el tiempo se está acabando, ¿puede la plataforma confirmar el plan de compensación específico?
Roy: Nuestro plan actual es que, dentro del plazo, lanzaremos primero una entrada a la plataforma de compensación, y el proceso específico es el siguiente:
Confirmación de la cantidad de daños por parte del usuario: La cantidad de daños reportada por las agencias puede no ser precisa o completa, por lo que necesitamos que los usuarios verifiquen y confirmen la cantidad de daños a través de la entrada de la plataforma. Una vez que los usuarios confirmen la cantidad y hagan clic en 'Confirmar', se generará el registro de la deuda final.
Compensación según la deuda: El registro de la deuda confirmado se usará como base para la compensación. Una vez que los fondos de las entidades estén disponibles, compensaremos a los usuarios según su proporción de deuda.
Clarificación de la estructura de la deuda y del plan de compensación: Los '7 días hábiles' que proponemos se refieren a confirmar primero si la estructura de la deuda es correcta, y luego los usuarios deben verificar y confirmar la cantidad de la deuda. Una vez que se complete este paso, la deuda final estará determinada.
Actualmente, se ha elaborado un plan de compensación específico, pero aún no se ha hecho público debido a factores relacionados con los fondos de las entidades. El proceso general se lleva a cabo por etapas, y una vez que los fondos de la entidad estén disponibles, abordaremos la compensación de deudas en grupos. Si los usuarios tienen problemas después de confirmar la cantidad, también verificaremos y manejaremos según el registro.
Odaily星球日报:受害者提到,平台在 12 月 6 日之前的几天内存在失联的情况,你当时为什么不及时站出来保持密切沟通?
Roy: En realidad, no hubo una situación de 'pérdida de contacto'. Muchas personas sienten esto porque puede que no hayamos respondido a sus preguntas en 1 o 2 días, y los usuarios creen que no estamos respondiendo. De hecho, en ese momento, nuestra presión y la incertidumbre que enfrentamos eran muy grandes, pero siempre estuvimos trabajando tras bambalinas para resolver los problemas. Podemos dividir nuestro trabajo principal en este tiempo en tres etapas:
Rastreo de hackers: En la primera semana, concentramos nuestros esfuerzos en colaborar con agencias de seguridad y de aplicación de la ley para rastrear los movimientos de los hackers. Esta fue la etapa con mayor inversión inicial y el costo más alto.
Actualización de seguridad y desarrollo de planes de compensación: En la segunda semana, mejoramos completamente las medidas de seguridad de la plataforma y desarrollamos funcionalidades de producto relacionadas con la compensación, para proporcionar a los usuarios una entrada de compensación.
Conexiones con entidades: En la tercera semana, cambiamos nuestro enfoque hacia las negociaciones y la comunicación con las entidades. Este trabajo es especialmente complejo y requiere manejar una gran cantidad de detalles.
Aunque nuestro equipo de atención al cliente también responderá ocasionalmente en el grupo, debido a la gran cantidad de usuarios afectados y la cantidad de problemas, no podemos responder de inmediato a cada usuario.
Además, la publicación de anuncios tiene muchas limitaciones. Cada vez que hacemos un anuncio, necesitamos confirmar con 2 a 3 agencias de seguridad o entidades de aplicación de la ley si el contenido puede hacerse público. Si se revela cierta información, podría afectar el trabajo de seguimiento de los sospechosos por parte de las agencias de aplicación de la ley. Por ejemplo, las agencias de aplicación de la ley identificaron a algunos sospechosos en una etapa temprana, pero tras una investigación más profunda, descubrieron que la dirección era incorrecta y necesitaron confirmar repetidamente. Este trabajo de verificación nos ha costado mucho tiempo y esfuerzo.
Los usuarios pueden no ser capaces de sentir de manera intuitiva nuestro esfuerzo, pero detrás de escena, hemos estado trabajando enormemente. Ya sea rastreando hackers, comunicándonos con entidades o desarrollando planes de compensación, hemos estado avanzando. Sin embargo, debido a las restricciones de las agencias de aplicación de la ley y la necesidad de proteger la investigación del caso, no podemos publicar todos los avances de inmediato.
En general, no hemos estado ausentes, sino que, mientras enfrentamos múltiples presiones, hemos estado trabajando arduamente para resolver los problemas de las víctimas y empujar la situación hacia una dirección positiva.
Odaily星球日报:Solo por este asunto, muchas personas han visto caer drásticamente la capacidad de seguridad y la confianza en la marca de DEXX. Si algún día DEXX vuelve a estar en línea, ¿cómo crees que deberías recuperar la confianza de los usuarios y hacer que vuelvan a utilizarla?
Roy: El núcleo de la confianza del usuario no solo es la tecnología de seguridad, sino también el apoyo y la garantía detrás de la plataforma. Por lo tanto, planeamos abordar esto desde los siguientes aspectos:
Transparencia y equidad en la compensación: La plataforma lanzará una entrada de verificación, los usuarios deberán confirmar la cantidad de daños para garantizar la exactitud de los datos. Una vez confirmada, el sistema generará el registro de deuda y, una vez que los fondos de las entidades estén disponibles, se realizará la compensación en etapas. Todo el plan de compensación se llevará a cabo bajo el principio de transparencia pública, actualizando en tiempo real el progreso de la compensación.
Actualización de seguridad integral: Contratación de varias agencias de auditoría de seguridad de primer nivel para realizar una evaluación de seguridad profunda de la plataforma. Publicar el mecanismo de seguridad actualizado, revelando a los usuarios los detalles técnicos y el plan de mejora. Establecer un sistema de soporte técnico y manejo de problemas completo, asegurando la estabilidad y seguridad operativa de la plataforma.
Reconstrucción de la credibilidad de la marca: Incluir varias casas de cambio y entidades financieras globalmente reconocidas como respaldo, aumentando la confianza de los usuarios en la plataforma. A través de un fuerte equipo de colaboración, hacer que los usuarios perciban claramente la seguridad futura de la plataforma.
Optimización de la gestión emocional del usuario: Establecer un mecanismo de comunicación eficiente con los usuarios y responder oportunamente a sus comentarios. Mejorar la capacidad de relaciones públicas, elaborar estrategias claras de respuesta a crisis, y hacer que los usuarios sientan que son valorados y comprendidos emocionalmente.
Fortalecimiento de la sensación de confianza: Reconocemos que el 99% de los usuarios no entienden la tecnología, y lo que necesitan no son explicaciones complejas sobre tecnologías de seguridad, sino una sensación real de confianza. A través de respaldos múltiples y acciones concretas, haremos que los usuarios crean que el futuro de la plataforma es digno de confianza.