作者 :夫如何,Odaily星球日报

 

11 月 16 日,交易平台 DEXX 爆发重大安全事件。黑客利用平台技术漏洞,窃取了超过 2100 万美元的用户资金,受害者数量近 1000 余人。这一事件不仅造成用户严重的经济损失,也对行业信任机制造成了深远影响,迅速成为 Web3 安全领域的热点话题。

事件发生后,DEXX 项目方在接近一个月的时间里,始终未能公布具体的被盗原因。更糟糕的是,平台创始人与用户在社交媒体上公开发生争执,双方矛盾不断升级。

近日,DEXX 平台创始人 Roy 首次接受 Odaily星球日报采访,就此次安全事件的成因、对受害者的补偿计划,以及平台未来的改进方向进行了详细解答,试图回应受害者与市场的种种疑问。(Odaily 注:以下回复内容仅为 DEXX 方观点,不代表Odaily星球日报立场。)

以下是采访实录

Odaily星球日报:能否说明一下此次 DEXX 被盗的原因?是否与平台的私钥管理方案有关?

Roy:此次被盗的主要原因,是我们团队在安全管理上的失误,而非私钥管理方案本身的问题。

我们采用的是市场主流的交易和托管方案,与许多领先平台(如 BananaGun、Unibot 等)一致。这套方案在交易速度和限价单体验方面具有优势,但对团队的安全管理要求极高。我们的失误导致了私钥泄露,责任完全在我们自己。

虽然用户反馈称私钥统一存储在服务器且缺乏加密,但这是对技术细节的误解。实际上,这套方案的逻辑是独立生成钱包地址,且广泛应用于市场主流平台。问题不在于方案本身,而是我们的团队在实施和管理上的失误。

Odaily星球日报:社交媒体上,很多受害者认为本次资产被盗其实 DEXX 平台方坚守自盗,你如何自证清白?

Roy:我已经多次解释,如果我们真的有不当行为:

  • 安全机构如慢雾不会与我们合作。

  • 投资机构也不会继续对接资金。

  • 执法机构会直接对我们采取行动,而非协助追捕黑客。

事实上,我和团队没有任何理由为这 2000 多万美元自毁前程。我们在业务高峰期的单日收入可达三四十万美元,而事发前平台估值达到 6000 万美元。如果真的需要资金,我们完全可以通过更合理的方式获取,比如发平台币或吸引机构投资。

Odaily星球日报:目前被盗案件侦办进展如何?平台在事件处理上有哪些难点?

Roy:嫌疑人已锁定在国内,但侦破过程非常复杂,涉及大量时间和资源成本。执法机构从早期就开始介入,为确保侦查顺利推进,我们在案件前期没有对外披露细节,直到 12 月 6 日才公布部分信息。提前公布可能影响执法进展或“打草惊蛇”,因此信息披露需要谨慎。

对于我们团队而言,事件的处理不仅需要配合执法机构,还需承担高额的技术和管理成本。此外,由于案件涉及技术细节复杂、投资机构利益相关等多方面因素,我们仍需进一步确认哪些信息可以公开。

Odaily星球日报:DEXX 官方在 12 月 6 日公布了赔付方案,包括投融资赔偿或者自营收入进行赔偿,但受害者并不满意,你怎么看这个问题?

Roy:赔付方案的初衷是基于最坏的情况设计的。当时我们虽然已经知道最坏情况不太可能发生,但为了让受害者对最基本的保障有心理预期,我们选择先公布一个最保守的方案。方案的实际执行会根据机构资金的投入情况调整。

目前机构资金的对接已经基本谈妥,但尚未最终确认。由于投资金额、机构估值等细节尚未落实,我们暂时无法对外公开。提前披露可能引发市场误解或影响机构的合作意向。因此,我们希望等到资金完全落实后,再通过正式公告向用户解释和更新方案。

Odaily星球日报:受害者反映项目方在确定赔付方案上存在反复,例如 11 月 28 日承诺 48 小时内确定方案,但直到 12 月 6 日才公布。对此,你如何解释?

Roy: 首先,我们承认在方案发布时间上的确存在延迟,但原因主要来自于一些不可控的外部因素以及客观条件的限制。

在机构层面的谈判中,项目方处于弱势地位。我们希望与更具实力和信誉的机构合作,为用户争取最佳利益,但这意味着反复评估条件,推迟方案的最终确认。

此外,在黑客追捕的过程中,某些细节涉及执法部门与安全公司合作的敏感信息。过多披露可能引发误解,甚至损害相关方的声誉。因此,我们选择暂不对外公布。

尽管延迟的决定出于谨慎考虑,但我们未能及时与用户沟通具体原因,导致误解产生,这一点我们深感抱歉。

Odaily星球日报:在 12 月 6 日,DEXX 官方发文表示将于 7 个工作日内确定方案一落地,目前时间已经快到了,平台是否能够确认具体赔付方案?

Roy:我们目前的计划是,截止日期内会首先上线一个赔付平台入口,具体流程如下:

  • 用户确认受损金额:三方机构统计的受损金额可能存在不准确或不全面的情况,因此我们需要用户通过平台入口自行核实和确认受损金额是否正确。用户一旦确认金额并点击“确认”,即形成了最终的债权记录。

  • 按照债权进行赔付:确认后的债权记录将作为赔付的依据。当机构资金到位后,我们会按照用户的债权比例进行第一时间赔付。

  • 明确债务结构和赔付方案:我们提出的“ 7 个工作日”是指首先确认债务结构是否正确,然后由用户核对并认同债权金额。这一步完成后,最终的债权就确定了。

目前具体的赔付方案已经制定,但由于涉及机构基金等因素,尚未对外公布。整体流程是按阶段进行的,待机构资金到位后,我们将分梯队处理债权赔付事宜。如果用户在确认金额后有问题,我们也会根据记录进行核实与处理。

Odaily星球日报:受害者提到,平台在 12 月 6 日之前的几天内存在失联的情况,你当时为什么不及时站出来保持密切沟通?

Roy:实际上不存在所谓“失联”的情况。很多人之所以会有这种感觉,是因为我们可能在 1 到 2 天内没有回复他们的问题,而用户因此认为我们不再回应。事实上,当时我们的压力和面临的不确定性非常大,但我们始终在背后努力处理问题。可以分为三个阶段来说明我们这段时间的主要工作:

  • 追踪黑客:我们在第一个星期集中力量与安全机构和执法机构合作,追踪黑客的行踪。这是早期投入最大、成本最高的环节。

  • 安全升级与赔付方案研发:第二个星期,我们全面升级了平台的安全措施,同时开发与赔付相关的产品功能,为用户提供补偿的入口。

  • 机构对接:到第三个星期,我们把重心转向与机构的谈判和沟通。这一阶段的工作尤为复杂,需要处理大量的细节。

虽然我们客服团队也会偶尔在群里回复信息,但由于受影响用户众多和问题的数量庞大,我们无法做到即时回复每个用户。

另外,公告发布也有很大的限制。每次发公告,我们需要与 2 到 3 家安全机构或执法机构确认内容是否可以公开。有些信息如果透露,会影响执法机构对嫌疑人的追踪工作,比如早期执法机关锁定了一些嫌疑人,但在深入调查后发现方向有误,需要反复确认。这些反复的验证工作耗费了我们大量的时间和精力。

用户可能无法直观感受到我们的努力,但在背后,我们确实付出了巨大的工作量。不管是追踪黑客、沟通机构,还是研发赔付方案,我们一直在推进。只是由于执法机构的限制以及保护案件调查的需要,我们无法将所有进展即时向外公布。

总的来说,我们没有失联,而是在面对多方面压力的同时,努力为受害者解决问题并推动事态向好的方向发展。

Odaily星球日报:仅此一事,很多人对 DEXX 的安全能力以及品牌信任度断崖式下降。假如,未来有一天 DEXX 再次上线,你觉得自己应该如何取得用户信任并让他们重新使用?

Roy:用户信任的核心不仅是安全技术,更在于平台背后的支持与保障。为此,我们计划从以下几个方面入手:

  • 赔偿透明化与公平性:平台将上线核实入口,用户需确认受损金额,确保数据准确。确认后系统将生成债权记录,并在机构资金到位后分梯次赔付。整个赔偿方案将以公开透明为原则,实时更新赔付进展。

  • 安全全面升级:聘请多家顶级安全审计机构对平台进行深度安全评估。公开升级后的安全机制,向用户披露技术细节与改进方案。建立完善的技术支持与问题处理体系,确保平台运行的稳定性与安全性。

  • 重建品牌公信力:引入多家全球知名交易所及金融机构作为背书,增强用户对平台的信任感。通过强大的合作阵容,让用户清楚感知到平台未来的安全保障。

  • 优化用户情绪管理:建立高效的用户沟通机制,及时回应反馈。加强公关能力,制定清晰的危机应对策略,让用户在情绪上感到被重视与理解。

  • 强化信任感:我们认识到 99% 的用户并不懂技术,他们需要的不是复杂的安全技术解释,而是实实在在的信任感。通过多方背书和实际行动,让用户相信平台的未来是值得依赖的。