Phỏng vấn độc quyền người sáng lập DEXX: Trách nhiệm bị đánh cắp hoàn toàn thuộc về chúng tôi, cổng bồi thường sắp ra mắt

Tác giả:夫如何, Odaily星球日报

Vào ngày 16 tháng 11, nền tảng giao dịch DEXX đã xảy ra sự cố an ninh nghiêm trọng. Tin tặc đã lợi dụng lỗ hổng kỹ thuật của nền tảng, đánh cắp hơn 21 triệu USD tiền của người dùng, số lượng nạn nhân gần 1000 người. Sự kiện này không chỉ gây ra thiệt hại kinh tế nghiêm trọng cho người dùng mà còn ảnh hưởng sâu sắc đến cơ chế tin cậy của ngành, nhanh chóng trở thành chủ đề nóng trong lĩnh vực an ninh Web3.

Sau khi sự kiện xảy ra, phía dự án DEXX trong gần một tháng vẫn không thể công bố nguyên nhân cụ thể của vụ đánh cắp. Tệ hơn nữa, người sáng lập nền tảng và người dùng đã công khai xảy ra tranh cãi trên mạng xã hội, mâu thuẫn giữa hai bên liên tục leo thang.

Gần đây, người sáng lập nền tảng DEXX, Roy, lần đầu tiên đã trả lời phỏng vấn của Odaily星球日报, giải thích chi tiết về nguyên nhân của sự cố an ninh này, kế hoạch bồi thường cho các nạn nhân, cũng như hướng cải tiến trong tương lai của nền tảng, cố gắng đáp ứng các câu hỏi từ nạn nhân và thị trường. (Ghi chú của Odaily: Các nội dung trả lời dưới đây chỉ là quan điểm của bên DEXX, không đại diện cho lập trường của Odaily星球日报.)

Dưới đây là biên bản phỏng vấn

Odaily星球日报：Có thể giải thích nguyên nhân lần này DEXX bị đánh cắp không? Có phải liên quan đến kế hoạch quản lý khóa riêng của nền tảng không?

Roy: Nguyên nhân chính của vụ đánh cắp lần này là do sai sót trong quản lý an ninh của đội ngũ chúng tôi, chứ không phải do vấn đề của kế hoạch quản lý khóa riêng.

Chúng tôi sử dụng phương án giao dịch và lưu ký chính thống của thị trường, tương đồng với nhiều nền tảng hàng đầu (như BananaGun, Unibot, v.v.). Phương án này có lợi thế về tốc độ giao dịch và trải nghiệm lệnh giới hạn, nhưng yêu cầu rất cao về quản lý an ninh của đội ngũ. Sai lầm của chúng tôi đã dẫn đến việc rò rỉ khóa riêng, trách nhiệm hoàn toàn thuộc về chúng tôi.

Mặc dù người dùng phản hồi rằng khóa riêng được lưu trữ đồng nhất trên máy chủ và thiếu mã hóa, nhưng đây là sự hiểu lầm về chi tiết kỹ thuật. Thực tế, logic của kế hoạch này là tạo ra địa chỉ ví độc lập và được áp dụng rộng rãi trên các nền tảng chính thống của thị trường. Vấn đề không nằm ở kế hoạch mà là sai lầm của đội ngũ chúng tôi trong việc triển khai và quản lý.

Odaily星球日报：Trên mạng xã hội, nhiều nạn nhân cho rằng lần này tài sản bị đánh cắp thực sự là DEXX tự đánh cắp, bạn làm thế nào để tự chứng minh mình vô tội?

Roy: Tôi đã nhiều lần giải thích rằng nếu chúng tôi thật sự có hành vi không đúng:

• Các cơ quan an ninh như SlowMist sẽ không hợp tác với chúng tôi.

• Các tổ chức đầu tư cũng sẽ không tiếp tục kết nối vốn.

• Cơ quan thực thi pháp luật sẽ trực tiếp hành động chống lại chúng tôi, thay vì hỗ trợ truy bắt tin tặc.

Thực tế, tôi và đội ngũ không có lý do gì để tự hủy hoại tương lai với hơn 20 triệu USD này. Doanh thu một ngày của chúng tôi trong thời kỳ cao điểm có thể đạt từ ba đến bốn mươi nghìn USD, và trước sự cố, giá trị định giá của nền tảng đã đạt 60 triệu USD. Nếu thật sự cần vốn, chúng tôi hoàn toàn có thể thu được thông qua cách hợp lý hơn, chẳng hạn như phát hành đồng tiền nền tảng hoặc thu hút đầu tư từ các tổ chức.

Odaily星球日报：Hiện nay, tiến trình điều tra các vụ án bị đánh cắp ra sao? Nền tảng gặp khó khăn gì trong việc xử lý sự kiện?

Roy: Các đối tượng tình nghi đã được xác định ở trong nước, nhưng quá trình phá án rất phức tạp, liên quan đến nhiều thời gian và chi phí tài nguyên. Các cơ quan thực thi pháp luật đã bắt đầu can thiệp từ sớm, để đảm bảo điều tra tiến triển thuận lợi, chúng tôi đã không công khai chi tiết trong giai đoạn đầu của vụ án, cho đến ngày 6 tháng 12 mới công bố một phần thông tin. Công bố sớm có thể ảnh hưởng đến tiến độ thực thi hoặc "đánh động kẻ tình nghi", do đó việc công bố thông tin cần thận trọng.

Đối với đội ngũ chúng tôi, việc xử lý sự kiện không chỉ cần phối hợp với cơ quan thực thi pháp luật mà còn phải chịu đựng chi phí kỹ thuật và quản lý cao. Hơn nữa, do vụ án liên quan đến độ phức tạp của chi tiết kỹ thuật, lợi ích của các tổ chức đầu tư và nhiều yếu tố khác, chúng tôi vẫn cần xác nhận thêm thông tin nào có thể công khai.

Odaily星球日报：DEXX 官方 vào ngày 6 tháng 12 đã công bố kế hoạch bồi thường, bao gồm bồi thường đầu tư và tài chính hoặc doanh thu tự vận hành, nhưng các nạn nhân không hài lòng, bạn nghĩ sao về vấn đề này?

Roy: Mục đích ban đầu của kế hoạch bồi thường là thiết kế dựa trên tình huống tồi tệ nhất. Khi đó chúng tôi mặc dù đã biết tình huống xấu nhất có khả năng không xảy ra, nhưng để các nạn nhân có sự kỳ vọng tâm lý về sự bảo đảm cơ bản nhất, chúng tôi đã chọn công bố trước một kế hoạch bảo thủ nhất. Việc thực hiện kế hoạch thực tế sẽ điều chỉnh theo tình hình đầu tư của các tổ chức.

Hiện tại việc kết nối vốn của các tổ chức đã gần như được thỏa thuận, nhưng vẫn chưa được xác nhận cuối cùng. Do các chi tiết như số tiền đầu tư, định giá của tổ chức vẫn chưa được thực hiện, chúng tôi tạm thời không thể công bố ra bên ngoài. Việc công bố sớm có thể gây hiểu lầm cho thị trường hoặc ảnh hưởng đến ý định hợp tác của các tổ chức. Do đó, chúng tôi hy vọng sẽ chờ đến khi vốn được hoàn tất, sau đó thông qua thông báo chính thức để giải thích và cập nhật kế hoạch cho người dùng.

Odaily星球日报：Các nạn nhân phản ánh phía dự án có sự lặp lại trong việc xác định kế hoạch bồi thường, chẳng hạn như vào ngày 28 tháng 11 đã hứa sẽ xác định kế hoạch trong vòng 48 giờ, nhưng đến ngày 6 tháng 12 mới công bố. Về điều này, bạn giải thích như thế nào?

Roy: Trước tiên, chúng tôi thừa nhận rằng có sự chậm trễ trong thời gian phát hành kế hoạch, nhưng lý do chủ yếu đến từ một số yếu tố bên ngoài không thể kiểm soát và hạn chế về điều kiện khách quan.

Trong các cuộc đàm phán ở cấp độ tổ chức, phía dự án đang ở vị trí yếu. Chúng tôi hy vọng hợp tác với các tổ chức có sức mạnh và uy tín hơn để bảo vệ lợi ích tốt nhất cho người dùng, nhưng điều này có nghĩa là liên tục đánh giá điều kiện, trì hoãn xác nhận cuối cùng của kế hoạch.

Ngoài ra, trong quá trình truy bắt tin tặc, một số chi tiết liên quan đến thông tin nhạy cảm giữa các cơ quan thực thi pháp luật và công ty an ninh. Việc tiết lộ quá nhiều có thể gây ra sự hiểu lầm, thậm chí làm tổn hại đến danh tiếng của các bên liên quan. Do đó, chúng tôi chọn không công bố ra bên ngoài.

Mặc dù quyết định trì hoãn là do cân nhắc thận trọng, nhưng chúng tôi đã không kịp thời giao tiếp với người dùng về lý do cụ thể, dẫn đến sự hiểu lầm, điều này chúng tôi rất tiếc.

Odaily星球日报：Vào ngày 6 tháng 12, DEXX chính thức đã phát văn bản cho biết sẽ xác định kế hoạch trong vòng 7 ngày làm việc, hiện tại thời gian đã gần đến, nền tảng có thể xác nhận kế hoạch bồi thường cụ thể không?

Roy: Hiện tại kế hoạch của chúng tôi là, trong thời hạn cuối cùng sẽ đầu tiên mở một cổng vào nền tảng bồi thường, quy trình cụ thể như sau:

• Người dùng xác nhận số tiền thiệt hại: Số tiền thiệt hại mà các tổ chức ba bên thống kê có thể không chính xác hoặc không đầy đủ, do đó chúng tôi cần người dùng tự xác minh và xác nhận số tiền thiệt hại thông qua cổng của nền tảng. Khi người dùng xác nhận số tiền và nhấp vào "Xác nhận", thì đã hình thành hồ sơ nợ cuối cùng.

• Bồi thường theo nợ: Hồ sơ nợ đã được xác nhận sẽ là cơ sở cho việc bồi thường. Khi vốn của các tổ chức đã được chuyển đến, chúng tôi sẽ tiến hành bồi thường theo tỷ lệ nợ của người dùng ngay lập tức.

• Rõ ràng cấu trúc nợ và kế hoạch bồi thường: Chúng tôi đưa ra "7 ngày làm việc" là chỉ việc trước tiên xác nhận cấu trúc nợ có chính xác hay không, sau đó người dùng kiểm tra và đồng ý số tiền nợ. Sau khi bước này hoàn thành, nợ cuối cùng sẽ được xác định.

Hiện tại kế hoạch bồi thường cụ thể đã được xây dựng, nhưng do liên quan đến quỹ tổ chức và các yếu tố khác, vẫn chưa được công bố ra bên ngoài. Quy trình tổng thể sẽ được thực hiện theo từng giai đoạn, khi vốn của tổ chức đã đến, chúng tôi sẽ xử lý các vấn đề bồi thường theo từng bậc. Nếu người dùng có vấn đề sau khi xác nhận số tiền, chúng tôi cũng sẽ xác minh và xử lý theo hồ sơ.

Odaily星球日报：Các nạn nhân cho biết, trong vài ngày trước ngày 6 tháng 12, nền tảng đã có tình trạng mất liên lạc, tại sao bạn không kịp thời đứng ra giữ liên lạc chặt chẽ?

Roy: Thực tế không có tình trạng "mất liên lạc". Nhiều người cảm thấy như vậy là vì chúng tôi có thể không trả lời câu hỏi của họ trong 1 đến 2 ngày, và người dùng do đó cho rằng chúng tôi không còn phản hồi. Thực tế, lúc đó áp lực của chúng tôi và sự không chắc chắn mà chúng tôi phải đối mặt rất lớn, nhưng chúng tôi vẫn luôn nỗ lực xử lý vấn đề ở phía sau. Có thể chia thành ba giai đoạn để giải thích công việc chính của chúng tôi trong thời gian này:

• Theo dõi tin tặc: Chúng tôi đã tập trung sức lực hợp tác với các cơ quan an ninh và cơ quan thực thi pháp luật trong tuần đầu tiên để theo dõi hành vi của tin tặc. Đây là giai đoạn đầu tư lớn nhất và tốn kém nhất.

• Nâng cấp an ninh và phát triển kế hoạch bồi thường: Trong tuần thứ hai, chúng tôi đã nâng cấp toàn bộ các biện pháp an ninh của nền tảng, đồng thời phát triển các chức năng sản phẩm liên quan đến bồi thường, để cung cấp cho người dùng cổng bồi thường.

• Kết nối với các cơ quan: Đến tuần thứ ba, chúng tôi đã chuyển trọng tâm sang việc đàm phán và giao tiếp với các cơ quan. Giai đoạn này đặc biệt phức tạp, cần xử lý nhiều chi tiết.

Mặc dù đội ngũ dịch vụ khách hàng của chúng tôi cũng sẽ thỉnh thoảng trả lời thông tin trong nhóm, nhưng do số lượng người dùng bị ảnh hưởng rất lớn và số lượng vấn đề lớn, chúng tôi không thể phản hồi ngay lập tức mỗi người dùng.

Ngoài ra, việc phát thông báo cũng có nhiều hạn chế. Mỗi lần phát thông báo, chúng tôi cần xác nhận nội dung với từ 2 đến 3 cơ quan an ninh hoặc cơ quan thực thi pháp luật xem có thể công khai hay không. Một số thông tin nếu bị lộ, sẽ ảnh hưởng đến công tác truy đuổi đối tượng tình nghi của cơ quan thực thi pháp luật, chẳng hạn như các cơ quan thực thi đã xác định một số đối tượng tình nghi nhưng sau khi điều tra sâu hơn phát hiện hướng đi sai, cần phải xác nhận lại nhiều lần. Công việc xác nhận lặp đi lặp lại này đã tiêu tốn rất nhiều thời gian và công sức của chúng tôi.

Người dùng có thể không cảm nhận được những nỗ lực của chúng tôi, nhưng ở phía sau, chúng tôi thực sự đã bỏ ra một khối lượng công việc khổng lồ. Dù là theo dõi tin tặc, giao tiếp với các cơ quan, hay phát triển kế hoạch bồi thường, chúng tôi luôn tiến triển. Chỉ vì sự hạn chế của các cơ quan thực thi pháp luật và nhu cầu bảo vệ điều tra vụ án, chúng tôi không thể công bố tất cả tiến triển ngay lập tức.

Tổng thể mà nói, chúng tôi không mất liên lạc, mà là cố gắng giải quyết vấn đề cho các nạn nhân và thúc đẩy tình hình phát triển theo hướng tích cực trong khi phải đối mặt với áp lực từ nhiều phía.

Odaily星球日报：Chỉ riêng sự việc này, nhiều người đã có cái nhìn giảm sút về khả năng an ninh và độ tin cậy của thương hiệu DEXX. Nếu một ngày nào đó DEXX trở lại, bạn nghĩ mình nên làm gì để lấy lại lòng tin của người dùng và khiến họ sử dụng lại?

Roy: Cốt lõi của lòng tin từ người dùng không chỉ là công nghệ an ninh mà còn nằm ở sự hỗ trợ và bảo đảm phía sau nền tảng. Để làm điều này, chúng tôi dự định bắt đầu từ một số khía cạnh sau:

• Bồi thường minh bạch và công bằng: Nền tảng sẽ ra mắt cổng xác minh, người dùng cần xác nhận số tiền thiệt hại để đảm bảo dữ liệu chính xác. Sau khi xác nhận, hệ thống sẽ tạo ra hồ sơ nợ, và khi vốn của tổ chức đã đến, sẽ bồi thường theo từng bậc. Toàn bộ kế hoạch bồi thường sẽ tuân theo nguyên tắc công khai minh bạch, cập nhật tiến trình bồi thường theo thời gian thực.

• Nâng cấp an ninh toàn diện: Thuê nhiều cơ quan kiểm toán an ninh hàng đầu để tiến hành đánh giá an ninh sâu sắc cho nền tảng. Công khai cơ chế an ninh đã được nâng cấp, tiết lộ cho người dùng các chi tiết kỹ thuật và kế hoạch cải tiến. Thiết lập hệ thống hỗ trợ kỹ thuật và xử lý vấn đề hoàn chỉnh, đảm bảo sự ổn định và an toàn trong hoạt động của nền tảng.

• Xây dựng lại uy tín thương hiệu: Mời nhiều sàn giao dịch và tổ chức tài chính nổi tiếng toàn cầu làm hậu thuẫn, tăng cường cảm giác tin cậy của người dùng đối với nền tảng. Thông qua đội ngũ hợp tác mạnh mẽ, khiến người dùng hiểu rõ về sự bảo đảm an toàn trong tương lai của nền tảng.

• Tối ưu hóa quản lý cảm xúc của người dùng: Thiết lập cơ chế giao tiếp hiệu quả với người dùng, kịp thời phản hồi ý kiến. Tăng cường khả năng PR, xây dựng chiến lược ứng phó khủng hoảng rõ ràng, để người dùng cảm thấy được coi trọng và hiểu biết về mặt cảm xúc.

• Tăng cường cảm giác tin cậy: Chúng tôi nhận thức rằng 99% người dùng không hiểu về công nghệ, họ cần không phải là những giải thích kỹ thuật phức tạp, mà là cảm giác tin cậy thực sự. Thông qua nhiều hậu thuẫn và hành động thực tế, để người dùng tin rằng tương lai của nền tảng là đáng tin cậy.