Специальное интервью с основателем DEXX: вся ответственность за кражу лежит на нас, вход на платформу компенсации вскоре будет запущен

Автор ：夫如何，Odaily星球日报
 
16 ноября на торговой платформе DEXX произошел серьезный инцидент безопасности. Хакеры использовали уязвимость в технологии платформы, похитив более 21 миллиона долларов пользовательских средств, число жертв составило почти 1000 человек. Этот инцидент не только привел к серьезным экономическим потерям для пользователей, но и оказал глубокое влияние на механизмы доверия в отрасли, быстро став горячей темой в области безопасности Web3.
После инцидента сторона DEXX в течение почти месяца так и не смогла опубликовать конкретные причины кражи. Худшая ситуация заключается в том, что основатель платформы и пользователи открыто спорили в социальных сетях, и конфликт между ними постоянно усиливался.
На днях основатель платформы DEXX Roy впервые дал интервью Odaily星球日报, в котором подробно ответил на причины этого инцидента безопасности, план компенсации для жертв и направления улучшения платформы в будущем, пытаясь ответить на вопросы жертв и рынка. (Odaily примечание: следующие ответы являются только мнением DEXX и не представляют позицию Odaily星球日报.)
Вот запись интервью
Odaily星球日报：Можете ли вы объяснить причины кражи DEXX? Связано ли это с управлением приватными ключами платформы?
Roy：Основной причиной кражи является ошибка нашей команды в управлении безопасностью, а не проблема самого управления приватными ключами.
Мы используем рыночные стандартные торговые и депозитарные решения, аналогично многим ведущим платформам (таким как BananaGun, Unibot и т.д.). Это решение имеет преимущества в скорости торговли и опыте лимитных заказов, но требует высокой безопасности управления команды. Наша ошибка привела к утечке приватных ключей, вся ответственность лежит на нас.
Хотя пользователи сообщают, что приватные ключи хранятся на сервере и не шифруются, это недоразумение по поводу технических деталей. На самом деле, логика этого решения заключается в независимом создании адреса кошелька и широко применяется на основных платформах рынка. Проблема не в самом решении, а в ошибках нашей команды в реализации и управлении.
Odaily星球日报：В социальных сетях многие жертвы считают, что кража активов на самом деле является самоуничтожением со стороны DEXX, как вы можете доказать свою невиновность?
Roy：Я уже несколько раз объяснял, если бы мы действительно поступили неправильно:
Безопасные учреждения, такие как SlowMist, не будут сотрудничать с нами.
Инвестиционные учреждения также не будут продолжать связываться с финансами.
Правоохранительные органы будут действовать напрямую против нас, а не помогать в поимке хакера.
На самом деле у меня и у команды нет никаких причин уничтожать свое будущее на сумму более 20 миллионов долларов. В пиковые дни наши доходы могут достигать от 30 до 40 тысяч долларов, а до инцидента стоимость платформы достигала 60 миллионов долларов. Если бы нам действительно нужны были средства, мы могли бы получить их более разумным способом, например, выпустив токены платформы или привлекая инвестиции.
Odaily星球日报：Каковы текущие достижения в расследовании кражи? Какие трудности возникли при обработке инцидента?
Roy：Подозреваемые уже определены в стране, но процесс расследования очень сложный и требует значительных временных и ресурсных затрат. Правоохранительные органы начали вмешиваться на ранних стадиях, чтобы обеспечить успешное продвижение расследования, мы не раскрывали детали дела на начальных этапах, и только 6 декабря опубликовали часть информации. Предварительная публикация могла бы повлиять на ход расследования или «встряхнуть траву», поэтому раскрытие информации требует осторожности.
Для нашей команды обработка инцидента требует не только сотрудничества с правоохранительными органами, но и значительных затрат на технологии и управление. Кроме того, поскольку дело связано со сложными техническими деталями и интересами инвестиционных учреждений, нам все еще нужно подтвердить, какая информация может быть обнародована.
Odaily星球日报：DEXX 官方 в 6 декабря опубликовал план компенсации, который включает в себя компенсацию за инвестиции или доходы от собственного бизнеса, но жертвы не довольны, как вы смотрите на эту проблему?
Roy：Изначальная идея плана компенсации была основана на худшем сценарии. Хотя на тот момент мы уже знали, что худший сценарий маловероятен, мы выбрали сначала опубликовать наиболее консервативный план, чтобы жертвы имели психологическое ожидание по поводу минимальной гарантии. Реальная реализация плана будет изменяться в зависимости от поступления средств от учреждений.
В настоящее время подключение средств учреждений уже практически согласовано, но еще не окончательно подтверждено. Поскольку детали, такие как сумма инвестиций, оценка учреждения и т.д., еще не завершены, мы временно не можем их обнародовать. Предварительное раскрытие может вызвать недопонимание на рынке или повлиять на намерения сотрудничества учреждений. Поэтому мы надеемся дождаться полной реализации средств, прежде чем через официальное объявление объяснить пользователям и обновить план.
Odaily星球日报：Жертвы сообщают, что проектная сторона имеет повторения при определении плана компенсации, например, 28 ноября была обещана определение плана в течение 48 часов, но только 6 декабря он был опубликован. Как вы это объясните?
Roy: Прежде всего, мы признаем, что действительно была задержка в публикации плана, но причина в основном заключается в некоторых неконтролируемых внешних факторах и ограничениях объективных условий.
На уровне переговоров с учреждениями проект находится в слабом положении. Мы хотим сотрудничать с более сильными и авторитетными учреждениями, чтобы отстоять интересы пользователей, но это означает повторную оценку условий и задержку окончательного подтверждения плана.
Кроме того, в процессе поимки хакера некоторые детали касаются чувствительной информации о сотрудничестве правоохранительных органов и безопасности. Слишком большое раскрытие может привести к недопониманию или даже повредить репутации заинтересованных сторон. Поэтому мы решили временно не публиковать эту информацию.
Хотя решение о задержке было принято из соображений осторожности, мы не смогли вовремя сообщить пользователям конкретные причины, что привело к недоразумениям, за что мы глубоко сожалеем.
Odaily星球日报：6 декабря DEXX официально опубликовал заявление, в котором говорится, что в течение 7 рабочих дней будет определен план, сейчас время уже почти истекло, сможет ли платформа подтвердить конкретный план компенсации?
Roy：Наши текущие планы заключаются в том, что в срок мы сначала запустим вход на платформу компенсации, конкретный процесс выглядит следующим образом:
Пользователи подтверждают сумму ущерба: статистика ущерба от сторонних учреждений может быть неточной или неполной, поэтому нам необходимо, чтобы пользователи самостоятельно проверяли и подтверждали сумму ущерба через вход на платформу. Как только пользователь подтвердит сумму и нажмет «Подтвердить», это станет окончательной записью долга.
Компенсация осуществляется на основе долга: подтвержденная запись долга будет служить основанием для компенсации. Как только средства учреждения поступят, мы произведем первую компенсацию пропорционально долгу пользователя.
Ясно определить структуру долга и план компенсации: предложенный нами срок «7 рабочих дней» означает, что сначала будет проверено, правильно ли определена структура долга, затем пользователи проверят и подтвердят сумму долга. После завершения этого этапа окончательный долг будет установлен.
В настоящее время конкретный план компенсации уже разработан, но из-за участия фондов учреждений он еще не опубликован. Общий процесс осуществляется поэтапно, как только средства учреждения поступят, мы обработаем долги по компенсации поэтапно. Если у пользователей возникнут проблемы после подтверждения суммы, мы также проверим и обработаем их в соответствии с записями.
Odaily星球日报：Жертвы упомянули, что платформа была недоступна за несколько дней до 6 декабря, почему вы тогда не вышли на связь и не поддержали тесное общение?
Roy：На самом деле не было никакого «недоступности». Многие люди чувствовали себя так, потому что мы, возможно, не отвечали на их вопросы в течение 1-2 дней, и пользователи поэтому считали, что мы больше не реагируем. На самом деле в тот момент давление на нас и неопределенность были очень велики, но мы по-прежнему работали над решением проблем. Мы можем разделить основные работы за это время на три этапа:
Отслеживание хакера: в первую неделю мы сосредоточили усилия на сотрудничестве с безопасными учреждениями и правоохранительными органами для отслеживания хакера. Это самый затратный и трудоемкий этап.
Обновление безопасности и разработка плана компенсации: во второй неделе мы полностью обновили меры безопасности платформы и разработали функционал, связанный с компенсацией, чтобы предоставить пользователям вход для возмещения.
Связь с учреждениями: на третьей неделе мы сосредоточились на переговорах и коммуникации с учреждениями. Эта стадия работы особенно сложна и требует обработки множества деталей.
Хотя наша команда обслуживания клиентов иногда отвечает на сообщения в группе, из-за большого числа пострадавших пользователей и огромного количества вопросов мы не можем мгновенно ответить каждому пользователю.
Кроме того, публикация объявлений также имеет значительные ограничения. Каждый раз, когда мы публикуем объявление, нам необходимо подтвердить содержание с 2-3 безопасными учреждениями или правоохранительными органами, чтобы выяснить, можно ли его обнародовать. Если некоторые сведения будут раскрыты, это может повлиять на работу правоохранительных органов по отслеживанию подозреваемых, например, на ранних этапах правоохранительные органы определили некоторых подозреваемых, но после углубленного расследования обнаружили, что направление неверно и требуется повторная проверка. Эти повторные проверки отнимают у нас много времени и сил.
Пользователи могут не видеть наши усилия, но за кулисами мы действительно приложили огромные усилия. Будь то отслеживание хакеров, общение с учреждениями или разработка плана компенсации, мы постоянно работали над этим. Просто из-за ограничений со стороны правоохранительных органов и необходимости защищать расследование дела, мы не можем сообщать о всех достижениях мгновенно.
В общем, мы не потеряли связь, а старались решить проблемы жертв и продвинуть ситуацию в позитивном направлении, сталкиваясь с множеством давлений.
Odaily星球日报：Из-за этого инцидента многие люди резко потеряли доверие к безопасности DEXX и к бренду. Если однажды DEXX снова запустится, как вы думаете, как вы сможете вернуть доверие пользователей и заставить их снова использовать платформу?
Roy：Ядро доверия пользователей заключается не только в технологиях безопасности, но и в поддержке и гарантии, стоящих за платформой. Поэтому мы планируем действовать по следующим направлениям:
Прозрачность и справедливость компенсации: платформа запустит вход для проверки, пользователи должны подтвердить сумму ущерба, чтобы обеспечить точность данных. После подтверждения система создаст запись долга, и после поступления средств учреждений будет осуществлена поэтапная компенсация. Весь план компенсации будет придерживаться принципа открытости и прозрачности, с обновлением хода компенсации в реальном времени.
Полное обновление безопасности: мы наняли несколько ведущих учреждений по аудиту безопасности для глубокого оценки безопасности платформы. Открыто обновленный механизм безопасности, раскрытие пользователям технических деталей и планов улучшения. Создание完善ной технической поддержки и системы обработки проблем, чтобы обеспечить стабильность и безопасность работы платформы.
Восстановление доверия к бренду: привлечение нескольких всемирно известных бирж и финансовых учреждений для поддержки, чтобы усилить доверие пользователей к платформе. За счет мощного сотрудничества дать пользователям четкое понимание будущей безопасности платформы.
Оптимизация управления эмоциями пользователей: создание эффективного механизма общения с пользователями, своевременное реагирование на обратную связь. Укрепление PR-способностей, разработка четкой стратегии реагирования на кризисы, чтобы пользователи чувствовали, что их ценят и понимают.
Укрепление доверия: мы понимаем, что 99% пользователей не понимают технологий, им нужны не сложные объяснения безопасности, а реальное доверие. Через множество подтверждений и реальные действия мы хотим, чтобы пользователи поверили, что будущее платформы заслуживает доверия.