Entretien exclusif avec le fondateur de DEXX : la responsabilité du vol nous incombe entièrement, le portail d'indemnisation sera bientôt lancé

Auteur :夫如何, Odaily 星球日报

Le 16 novembre, la plateforme d'échange DEXX a connu un grave incident de sécurité. Des hackers ont exploité des failles techniques de la plateforme pour voler plus de 21 millions de dollars de fonds d'utilisateurs, touchant près de 1000 victimes. Cet incident a non seulement entraîné de graves pertes économiques pour les utilisateurs, mais a également eu un impact profond sur le mécanisme de confiance de l'industrie, devenant rapidement un sujet brûlant dans le domaine de la sécurité Web3.

Après l'incident, le projet DEXX n'a pas pu publier de raison spécifique pour le vol pendant près d'un mois. Pire encore, le fondateur de la plateforme et les utilisateurs se sont disputés publiquement sur les réseaux sociaux, et les tensions entre les deux parties ont continué à monter.

Récemment, le fondateur de DEXX, Roy, a accordé sa première interview à Odaily 星球日报 concernant les causes de cet incident de sécurité, le plan de compensation pour les victimes et les directions d'amélioration future de la plateforme, essayant de répondre aux diverses questions des victimes et du marché. (Remarque d'Odaily : les réponses suivantes ne reflètent que le point de vue de DEXX et ne représentent pas la position d'Odaily 星球日报.)

Voici la transcription de l'interview

Odaily 星球日报 : Pourriez-vous expliquer les raisons du vol de DEXX ? Est-ce lié au plan de gestion des clés privées de la plateforme ?

Roy : La principale raison du vol est l'erreur de notre équipe dans la gestion de la sécurité, et non un problème avec le plan de gestion des clés privées.

Nous utilisons un plan de transaction et de garde conforme aux normes du marché, semblable à celui de nombreuses plateformes de pointe (comme BananaGun, Unibot, etc.). Ce plan présente des avantages en termes de vitesse de transaction et d'expérience des ordres limités, mais exige des exigences de gestion de sécurité très élevées de la part de l'équipe. Nos erreurs ont conduit à la fuite des clés privées, la responsabilité en incombe entièrement à nous.

Bien que les utilisateurs aient signalé que la clé privée était stockée de manière unifiée sur le serveur et manquait de cryptage, c'est un malentendu concernant les détails techniques. En réalité, la logique de ce plan est de générer indépendamment des adresses de portefeuille, largement utilisée sur les principales plateformes du marché. Le problème ne réside pas dans le plan lui-même, mais dans les erreurs de mise en œuvre et de gestion de notre équipe.

Odaily 星球日报 : Sur les réseaux sociaux, de nombreuses victimes estiment que le vol d'actifs de DEXX est en réalité un vol interne. Comment pouvez-vous prouver votre innocence ?

Roy : J'ai déjà expliqué à plusieurs reprises que si nous avions vraiment eu un comportement inapproprié :

• Des agences de sécurité comme Slow Mist ne collaboreront pas avec nous.

• Les investisseurs ne continueront pas à fournir des fonds.

• Les agences de la loi agiront directement contre nous, au lieu d'aider à la capture des hackers.

En fait, moi et mon équipe n'avons aucune raison de compromettre notre avenir pour ces plus de 20 millions de dollars. Nos revenus quotidiens pendant les pics d'activité peuvent atteindre trois à quatre dizaines de milliers de dollars, et avant l'incident, la valorisation de la plateforme était de 60 millions de dollars. Si nous avions vraiment besoin de fonds, nous aurions pu les obtenir de manière plus raisonnable, comme en émettant des tokens de la plateforme ou en attirant des investissements institutionnels.

Odaily 星球日报：Actuellement, quel est l'état d'avancement de l'enquête sur les vols ? Quels sont les défis rencontrés par la plateforme dans la gestion de cet incident ?

Roy : Les suspects ont été identifiés dans le pays, mais le processus d'enquête est très complexe, nécessitant beaucoup de temps et de ressources. Les agences de la loi sont intervenues dès le début pour garantir le bon déroulement de l'enquête. Nous n'avons pas divulgué de détails au public au début de l'affaire, jusqu'au 6 décembre, lorsque nous avons publié certaines informations. La divulgation anticipée pourrait affecter l'avancement de l'enquête ou "alerter les suspects", donc la divulgation des informations doit être prudente.

Pour notre équipe, la gestion de l'incident nécessite non seulement de coopérer avec les agences de la loi, mais aussi de supporter des coûts techniques et de gestion élevés. De plus, étant donné que l'affaire implique des détails techniques complexes, les intérêts des institutions d'investissement et d'autres facteurs, nous devons encore confirmer quelles informations peuvent être rendues publiques.

Odaily 星球日报：DEXX 官方在 12 月 6 日公布了赔付方案，包括投融资赔偿或者自营收入进行赔偿，但受害者并不满意，你怎么看这个问题？

Roy : Le plan d'indemnisation a été conçu sur la base d'une anticipation des pires scénarios. Bien que nous sachions à l'époque que le pire scénario était peu probable, nous avons choisi de publier d'abord un plan très conservateur afin que les victimes aient une attente psychologique concernant les protections de base. L'exécution réelle du plan sera ajustée en fonction des fonds institutionnels investis.

Actuellement, l'accord de financement institutionnel est essentiellement conclu, mais pas encore confirmé. En raison de détails tels que le montant de l'investissement et la valorisation de l'institution qui n'ont pas encore été finalisés, nous ne pouvons pas le rendre public pour le moment. Une divulgation anticipée pourrait entraîner des malentendus sur le marché ou affecter l'intention de coopération des institutions. Par conséquent, nous espérons attendre que les fonds soient entièrement disponibles avant de fournir une explication et une mise à jour formelles du plan aux utilisateurs.

Odaily 星球日报 : Les victimes ont signalé que le projet a connu des retards dans la détermination du plan d'indemnisation. Par exemple, le 28 novembre, il a été promis que le plan serait déterminé dans les 48 heures, mais ce n'est que le 6 décembre qu'il a été publié. Comment expliquez-vous cela ?

Roy : Tout d'abord, nous reconnaissons qu'il y a effectivement eu un retard dans la publication du plan, mais les raisons proviennent principalement de certains facteurs externes incontrôlables et de limitations des conditions objectives.

Dans les négociations au niveau des institutions, le projet est dans une position désavantageuse. Nous espérons collaborer avec des institutions plus solides et réputées pour défendre les meilleurs intérêts des utilisateurs, mais cela signifie évaluer à plusieurs reprises les conditions, retardant la confirmation finale du plan.

De plus, dans le processus de traque des hackers, certains détails impliquent des informations sensibles concernant la coopération entre les agences d'application de la loi et les entreprises de sécurité. Une divulgation excessive pourrait entraîner des malentendus, voire nuire à la réputation des parties concernées. Par conséquent, nous choisissons de ne pas rendre ces informations publiques pour le moment.

Bien que la décision de retard soit motivée par la prudence, nous n'avons pas pu communiquer rapidement avec les utilisateurs sur les raisons spécifiques, ce qui a conduit à des malentendus, et nous en sommes profondément désolés.

Odaily 星球日报 : Le 6 décembre, DEXX a publié un communiqué indiquant qu'un plan serait déterminé dans les 7 jours ouvrables. Maintenant que le temps passe, la plateforme peut-elle confirmer le plan d'indemnisation spécifique ?

Roy : Notre plan actuel est que, d'ici la date limite, nous allons d'abord lancer un portail d'indemnisation, le processus spécifique est le suivant :

• Confirmation par les utilisateurs des montants perdus : Les montants perdus selon les institutions tiers peuvent être inexacts ou incomplets, donc nous avons besoin que les utilisateurs vérifient et confirment par le biais du portail de la plateforme si les montants perdus sont corrects. Une fois que l'utilisateur confirme le montant et clique sur "Confirmer", cela crée un enregistrement de créance final.

• Indemnisation basée sur la créance : L'enregistrement de créance confirmé servira de base à l'indemnisation. Lorsque les fonds des institutions seront disponibles, nous procéderons à l'indemnisation en fonction de la proportion de créance des utilisateurs.

• Clarification de la structure de la dette et du plan d'indemnisation : Les "7 jours ouvrables" que nous avons mentionnés signifient que nous devons d'abord confirmer si la structure de la dette est correcte, puis les utilisateurs doivent vérifier et approuver le montant de la créance. Une fois cette étape terminée, la créance finale est établie.

Le plan d'indemnisation spécifique a déjà été établi, mais en raison de facteurs liés aux fonds institutionnels, il n'a pas encore été rendu public. Le processus global se déroule par étapes, et une fois que les fonds institutionnels seront disponibles, nous traiterons les affaires d'indemnisation de la créance en plusieurs vagues. Si les utilisateurs ont des questions après avoir confirmé le montant, nous vérifierons et traiterons également en fonction des enregistrements.

Odaily 星球日报：受害者提到，平台在 12 月 6 日之前的几天内存在失联的情况，你当时为什么不及时站出来保持密切沟通？

Roy : En réalité, il n'y a pas eu de situation de "perte de contact". Beaucoup de gens ont ce sentiment simplement parce que nous n'avons peut-être pas répondu à leurs questions pendant 1 à 2 jours, et les utilisateurs en ont donc déduit que nous ne répondions plus. En fait, nous étions sous une pression énorme et faisions face à une grande incertitude, mais nous travaillions toujours en coulisses pour résoudre les problèmes. Nous pouvons expliquer notre travail principal pendant cette période en trois phases :

• Suivi des hackers : Nous avons concentré nos efforts au cours de la première semaine en collaborant avec des agences de sécurité et des organismes d'application de la loi pour suivre les mouvements des hackers. C'est la phase où les investissements initiaux étaient les plus importants et les coûts les plus élevés.

• Mise à niveau de la sécurité et développement du plan d'indemnisation : Au cours de la deuxième semaine, nous avons entièrement mis à niveau les mesures de sécurité de la plateforme, tout en développant des fonctionnalités de produit liées à l'indemnisation pour offrir un point d'entrée aux utilisateurs pour obtenir une compensation.

• Collaboration avec les institutions : Au cours de la troisième semaine, nous avons déplacé notre attention vers les négociations et la communication avec les institutions. Ce stade de travail est particulièrement complexe et nécessite de traiter de nombreux détails.

Bien que notre équipe de service clientèle réponde parfois aux messages dans le groupe, en raison du grand nombre d'utilisateurs touchés et de la quantité de problèmes, nous ne pouvons pas répondre instantanément à chaque utilisateur.

De plus, la publication d'annonces comporte de grandes limitations. Chaque fois que nous publions une annonce, nous devons confirmer le contenu avec 2 à 3 agences de sécurité ou organismes d'application de la loi pour savoir ce qui peut être rendu public. Certaines informations, si elles sont divulguées, peuvent affecter le travail de suivi des suspects par les agences d'application de la loi. Par exemple, au début, les autorités ont identifié certains suspects, mais après une enquête approfondie, elles ont réalisé que la direction était erronée, nécessitant des vérifications répétées. Ces validations répétées nous ont coûté beaucoup de temps et d'énergie.

Les utilisateurs peuvent ne pas percevoir directement nos efforts, mais en coulisses, nous avons effectivement fourni un énorme volume de travail. Que ce soit pour suivre les hackers, communiquer avec les institutions ou développer des plans d'indemnisation, nous avons toujours avancé. Cependant, en raison des restrictions des agences de la loi et du besoin de protéger l'enquête, nous ne pouvons pas rendre tous les progrès immédiatement publics.

Dans l'ensemble, nous n'avons pas disparu, mais nous avons travaillé dur pour résoudre le problème des victimes tout en faisant face à de nombreuses pressions.

Odaily 星球日报：Rien qu'à cause de cet incident, la confiance des gens envers les capacités de sécurité de DEXX et la crédibilité de la marque a chuté de manière vertigineuse. Si un jour DEXX devait relancer sa plateforme, comment pensez-vous qu'il devrait regagner la confiance des utilisateurs et les inciter à revenir ?

Roy : Le cœur de la confiance des utilisateurs ne réside pas seulement dans la technologie de sécurité, mais aussi dans le soutien et les garanties derrière la plateforme. Pour cela, nous prévoyons d'aborder plusieurs aspects :

• Transparence et équité de l'indemnisation : La plateforme mettra en place un portail de vérification, les utilisateurs doivent confirmer le montant perdu pour garantir l'exactitude des données. Une fois confirmé, le système générera un enregistrement de créance et, une fois les fonds institutionnels disponibles, procédera aux paiements échelonnés. L'ensemble du plan d'indemnisation sera basé sur le principe de transparence, avec des mises à jour en temps réel sur l'avancement des paiements.

• Mise à niveau complète de la sécurité : Nous avons engagé plusieurs agences d'audit de sécurité de premier plan pour réaliser une évaluation approfondie de la sécurité de la plateforme. Nous mettrons à jour les mécanismes de sécurité après la mise à niveau, en divulguant les détails techniques et les plans d'amélioration aux utilisateurs. Établir un système de support technique complet et de traitement des problèmes pour garantir la stabilité et la sécurité du fonctionnement de la plateforme.

• Reconstruire la crédibilité de la marque : Introduire plusieurs bourses et institutions financières mondialement reconnues comme partenaires pour renforcer la confiance des utilisateurs envers la plateforme. Grâce à une forte équipe de partenaires, permettre aux utilisateurs de percevoir clairement les garanties de sécurité futures de la plateforme.

• Optimiser la gestion des émotions des utilisateurs : Établir un mécanisme de communication efficace avec les utilisateurs pour répondre rapidement aux retours. Renforcer les capacités de communication et élaborer des stratégies claires de gestion de crise pour que les utilisateurs se sentent valorisés et compris sur le plan émotionnel.

• Renforcer la confiance : Nous reconnaissons que 99 % des utilisateurs ne comprennent pas la technologie, ce qu'ils recherchent n'est pas une explication complexe des technologies de sécurité, mais une véritable confiance. Grâce à des soutiens multiples et des actions concrètes, nous voulons faire croire aux utilisateurs que l'avenir de la plateforme est digne de confiance.