26 ngày kể từ khi bị đánh cắp, đích thân người sáng lập DEXX giải thích lý do và diễn biến mới nhất

Tiêu đề gốc: "Cuộc phỏng vấn độc quyền với người sáng lập DEXX: Trách nhiệm về hành vi trộm cắp hoàn toàn thuộc về chúng tôi và lối vào nền tảng bồi thường sẽ sớm được triển khai"

Tác giả gốc: Chồng, Odaily Planet Daily

Vào ngày 16 tháng 11, một sự cố bảo mật lớn đã xảy ra trên nền tảng giao dịch DEXX. Tin tặc đã khai thác lỗ hổng trong công nghệ nền tảng để đánh cắp hơn 21 triệu USD tiền của người dùng, với gần 1.000 nạn nhân. Sự cố này không chỉ gây thiệt hại kinh tế nghiêm trọng cho người dùng mà còn tác động sâu sắc đến cơ chế tin cậy của ngành, nhanh chóng trở thành chủ đề nóng trong lĩnh vực bảo mật Web3.

Sau vụ việc, nhóm dự án DEXX đã không công bố lý do cụ thể dẫn đến vụ trộm trong gần một tháng. Tệ hơn nữa, những người sáng lập và người dùng nền tảng đã có tranh chấp công khai trên mạng xã hội và xung đột giữa hai bên tiếp tục leo thang.

Gần đây, Roy, người sáng lập nền tảng DEXX, lần đầu tiên trả lời phỏng vấn Odaily Planet Daily, thảo luận về nguyên nhân của sự cố an ninh, mức bồi thường kế hoạch cho các nạn nhân và những cải tiến trong tương lai của nền tảng. Hướng này đã cung cấp các câu trả lời chi tiết nhằm cố gắng trả lời các câu hỏi khác nhau mà nạn nhân và thị trường đưa ra. (Odaily Lưu ý: Câu trả lời sau đây chỉ là quan điểm của DEXX và không thể hiện quan điểm của Odaily Planet Daily.)

The sau đây là bản ghi cuộc phỏng vấn

Odaily Planet Daily: Bạn có thể giải thích lý do tại sao DEXX bị đánh cắp lần này không? Nó có liên quan đến giải pháp quản lý khóa riêng của nền tảng không?

Roy: Lý do chính cho hành vi trộm cắp này làsai lầm của nhóm chúng tôi trong việc quản lý an ninh chứ không phải là do lỗi vấn đề với chính giải pháp quản lý khóa riêng.

Chúng tôi áp dụng các giải pháp lưu ký và giao dịch phổ biến trên thị trường, phù hợp với nhiều nền tảng hàng đầu (chẳng hạn như BananaGun, Unibot, v.v.). Giải pháp này có ưu điểm về tốc độ giao dịch và hạn chế trải nghiệm đặt lệnh nhưng lại đặt ra yêu cầu cực kỳ cao về công tác quản lý bảo mật của đội ngũ. Sai lầm của chúng tôi đã dẫn đến việc rò rỉ khóa riêng và trách nhiệm hoàn toàn thuộc về chúng tôi.

Mặc dù người dùng báo cáo rằng khóa riêng được lưu trữ thống nhất trên máy chủ và thiếu mã hóa, nhưng đây là sự hiểu lầm về các chi tiết kỹ thuật. Trên thực tế, logic của giải pháp này là tạo địa chỉ ví một cách độc lập và nó được sử dụng rộng rãi trên các nền tảng chính thống trên thị trường. Vấn đề không phải ở bản thân chương trình mà là lỗi của nhóm chúng tôi trong việc triển khai và quản lý.

Odaily Planet Daily: Trên mạng xã hội, nhiều nạn nhân tin rằng tài sản đã bị đánh cắp. Trên thực tế, nền tảng DEXX nhất quyết tự đánh cắp. Làm thế nào để bạn chứng minh mình vô tội?

Roy:Tôi đã giải thích nhiều lần rằng nếu chúng ta có hành vi không phù hợp:

· Các cơ quan an ninh như SlowMist sẽ không hợp tác với chúng tôi.

· Các tổ chức đầu tư sẽ không tiếp tục kết nối vốn.

· Các cơ quan thực thi pháp luật sẽ có hành động trực tiếp chống lại chúng tôi thay vì giúp săn lùng tin tặc.

Trên thực tế, tôi và nhóm của mình không có lý do gì để hủy hoại tương lai của mình với số tiền hơn 20 triệu đô la Mỹ. Ở thời kỳ đỉnh cao kinh doanh, doanh thu trong một ngày của chúng tôi có thể đạt từ 3 đến 400 nghìn đô la và nền tảng này được định giá 60 triệu đô la trước khi xảy ra sự cố. Nếu thực sự cần tiền, chúng tôi có thể lấy tiền thông qua các phương pháp hợp lý hơn, chẳng hạn như phát hành tiền nền tảng hoặc thu hút đầu tư của tổ chức.

Odaily Planet Daily: Tiến trình điều tra vụ trộm hiện tại như thế nào? Những khó khăn trong việc xử lý sự kiện trên nền tảng là gì?

Roy: Nghi phạm đã bị nhốt trong nước, nhưng quá trình phát hiện rất phức tạp và liên quan đến nhiều về thời gian và chi phí nguồn lực. Các cơ quan thực thi pháp luật đã vào cuộc ngay từ giai đoạn đầu để đảm bảo quá trình điều tra diễn ra suôn sẻ, chúng tôi đã không tiết lộ chi tiết trong giai đoạn đầu của vụ án và không tiết lộ một số thông tin cho đến ngày 6 tháng 12. Việc thông báo trước có thể ảnh hưởng đến tiến độ thực thi pháp luật hoặc “báo động rắn” nên việc công bố thông tin cần phải thận trọng.

Đối với đội ngũ của chúng tôi, việc xử lý sự cố không chỉ đòi hỏi sự hợp tác với các cơ quan thực thi pháp luật mà còn đòi hỏi chi phí quản lý và kỹ thuật cao. Ngoài ra, do vụ việc liên quan đến các chi tiết kỹ thuật phức tạp, lợi ích của các tổ chức đầu tư và các yếu tố khác nên chúng tôi vẫn cần xác nhận thêm những thông tin nào có thể được tiết lộ.

Odaily Planet Daily: Các quan chức của DEXX đã công bố kế hoạch bồi thường vào ngày 6 tháng 12, bao gồm bồi thường từ đầu tư và tài chính hoặc thu nhập tự vận hành, nhưng các nạn nhân thì không hài lòng, bạn nghĩ sao về vấn đề này?

Roy:Kế hoạch bồi thường ban đầu được thiết kế dựa trên tình huống xấu nhất. Mặc dù lúc đó chúng tôi đã biết rằng trường hợp xấu nhất khó có thể xảy ra, nhưng để tạo cho nạn nhân những kỳ vọng về tâm lý về sự bảo vệ cơ bản nhất, chúng tôi đã chọn công bố phương án thận trọng nhất trước. Việc thực hiện kế hoạch trên thực tế sẽ được điều chỉnh dựa trên sự đầu tư của quỹ tổ chức.

Hiện tại, việc đối ứng nguồn vốn của tổ chức đã được đàm phán cơ bản nhưng vẫn chưa hoàn thiện. Vì số tiền đầu tư, định giá tổ chức và các chi tiết khác vẫn chưa được quyết định nên chúng tôi tạm thời không thể tiết lộ chúng cho công chúng. Việc tiết lộ sớm có thể gây hiểu lầm thị trường hoặc ảnh hưởng đến ý định hợp tác của tổ chức. Vì vậy, chúng tôi hy vọng sẽ đợi cho đến khi số tiền được bảo đảm hoàn toàn trước khi giải thích và cập nhật kế hoạch cho người dùng thông qua thông báo chính thức.

Odaily Planet Daily: Các nạn nhân báo cáo rằng nhóm dự án đã nhiều lần mắc sai lầm trong việc xác định phương án bồi thường, chẳng hạn như vào ngày 28/11, họ đã hứa sẽ xác định phương án trong vòng 48 giờ. giờ, nhưng phải đến ngày 6 tháng 12 mới công bố hôm nay. Làm thế nào để bạn giải thích điều này?

Roy: Trước hết, chúng tôi thừa nhận rằng thực sự có sự chậm trễ trong việc công bố kế hoạch, nhưng nguyên nhân chủ yếu là do một số nguyên nhân không thể cưỡng lại được do các yếu tố bên ngoài và điều kiện khách quan chi phối.

Trong các cuộc đàm phán ở cấp độ thể chế, bên dự án ở thế yếu. Chúng tôi hy vọng hợp tác với các tổ chức mạnh mẽ và uy tín hơn để phấn đấu vì lợi ích tốt nhất của người dùng, nhưng điều này có nghĩa là liên tục đánh giá các điều kiện và trì hoãn việc xác nhận cuối cùng về kế hoạch.

Ngoài ra, trong quá trình truy lùng hacker, một số tình tiết liên quan đến thông tin nhạy cảm liên quan đến việc các công ty thực thi pháp luật và bảo mật hợp tác với nhau. Việc tiết lộ quá mức có thể dẫn đến hiểu lầm, thậm chí gây tổn hại đến uy tín của các bên liên quan. Vì vậy, chúng tôi quyết định không công bố nó ra công chúng vào thời điểm này.

Mặc dù quyết định trì hoãn được đưa ra một cách thận trọng nhưng chúng tôi vô cùng xin lỗi vì đã không thông báo kịp thời lý do cụ thể cho người dùng, dẫn đến việc những hiểu lầm.

Odaily Planet Daily: Vào ngày 6 tháng 12, DEXX đã chính thức ban hành văn bản cho biết sẽ hoàn tất kế hoạch trong vòng 7 ngày làm việc. Bây giờ, nền tảng có thể xác nhận kế hoạch trả thưởng cụ thể không?

Roy:Kế hoạch hiện tại của chúng tôi là lần đầu tiên ra mắt nền tảng trả thưởng trong thời hạn. như sau:

· Người dùng xác nhận mức độ thiệt hại:Mức thiệt hại do các cơ quan bên thứ ba tính toán có thể không chính xác hoặc không đầy đủ, vì vậy Chúng tôi cần người dùng xác minh và xác nhận xem số tiền bị hư hỏng có chính xác thông qua lối vào nền tảng hay không. Sau khi người dùng xác nhận số tiền và nhấp vào "Xác nhận", hồ sơ quyền của chủ nợ cuối cùng sẽ được hình thành.

· Bồi thường dựa trên yêu cầu bồi thường: Hồ sơ yêu cầu bồi thường đã được xác nhận sẽ được sử dụng làm cơ sở cho việc bồi thường. Khi có đủ quỹ của tổ chức, chúng tôi sẽ bồi thường sớm nhất có thể theo tỷ lệ nợ trên yêu cầu bồi thường của người dùng.

· Làm rõ cơ cấu nợ và phương án bồi thường: “7 ngày làm việc” chúng tôi đề xuất là việc đầu tiên xác nhận xem cơ cấu nợ có phù hợp hay không đúng, Người dùng sau đó sẽ kiểm tra và đồng ý với số tiền yêu cầu. Khi bước này được hoàn thành, yêu cầu cuối cùng sẽ được xác định.

Hiện tại, phương án bồi thường cụ thể đã được xây dựng nhưng do yếu tố như quỹ thể chế nên vẫn chưa được công bố. Quá trình tổng thể được thực hiện theo từng giai đoạn. Sau khi có đủ quỹ của tổ chức, chúng tôi sẽ xử lý các vấn đề bồi thường nợ theo từng giai đoạn. Nếu người dùng có thắc mắc sau khi xác nhận số tiền, chúng tôi cũng sẽ xác minh và xử lý dựa trên hồ sơ.

Odaily Planet Daily: Nạn nhân đề cập rằng nền tảng này đã mất liên lạc trong vài ngày trước ngày 6 tháng 12. Tại sao bạn không đứng dậy kịp thời để duy trì liên lạc? giao tiếp?

Roy: Trên thực tế, không có chuyện "mất liên lạc". Nhiều người cảm thấy như vậy vì chúng tôi có thể không trả lời câu hỏi của họ trong 1-2 ngày và người dùng cho rằng chúng tôi không còn trả lời nữa. Trên thực tế, áp lực và sự bất ổn mà chúng tôi phải đối mặt vào thời điểm đó rất cao, nhưng chúng tôi luôn nỗ lực giải quyết những vấn đề hậu trường. Có thể chia thành ba giai đoạn để minh họa công việc chính của chúng tôi trong giai đoạn này:

· Theo dõi tin tặc:Tuần đầu tiên của chúng tôi Tập trung vào làm việc với các cơ quan an ninh và cơ quan thực thi pháp luật để truy tìm tung tích của tin tặc. Đây là mắt xích có mức đầu tư ban đầu lớn nhất và chi phí cao nhất.

· Nâng cấp bảo mật và xây dựng kế hoạch đền bù: Trong tuần thứ hai, chúng tôi đã nâng cấp toàn diện các biện pháp bảo mật của nền tảng, đồng thời phát triển và đền bù cho các liên quan chức năng sản phẩm cung cấp cho người dùng quyền truy cập vào khoản bồi thường.

· Kết nối thể chế: Đến tuần thứ ba, chúng tôi chuyển trọng tâm sang đàm phán và giao tiếp với các tổ chức. Giai đoạn này của công việc đặc biệt phức tạp và đòi hỏi phải xử lý một số lượng lớn các chi tiết.

Mặc dù nhóm dịch vụ khách hàng của chúng tôi thỉnh thoảng sẽ trả lời tin nhắn trong nhóm nhưng do số lượng lớn người dùng bị ảnh hưởng và số lượng câu hỏi khổng lồ nên chúng tôi không thể trả lời mọi người ngay lập tức sử dụng.

Ngoài ra, còn có những hạn chế lớn trong việc đưa ra các thông báo. Mỗi khi đưa ra thông báo, chúng tôi cần xác nhận với 2 đến 3 cơ quan an ninh hoặc cơ quan thực thi pháp luật xem nội dung đó có thể được công khai hay không. Ví dụ, những ngày đầu, cơ quan thực thi pháp luật nhắm vào một số nghi phạm, nhưng sau khi điều tra sâu, họ nhận thấy hướng đi đó là sai lầm và cần phải lặp lại. xác nhận. Những nhiệm vụ xác minh lặp đi lặp lại này khiến chúng tôi tốn rất nhiều thời gian và sức lực.

Người dùng có thể không cảm nhận được bằng trực giác những nỗ lực của chúng tôi, nhưng đằng sau hậu trường, chúng tôi thực sự đã bỏ ra một khối lượng công việc khổng lồ. Cho dù đó là theo dõi tin tặc, liên lạc với các tổ chức hay phát triển kế hoạch bồi thường, chúng tôi luôn tiến về phía trước. Tuy nhiên, do hạn chế của các cơ quan thực thi pháp luật và nhu cầu bảo vệ điều tra vụ án, chúng tôi không thể thông báo ngay lập tức mọi diễn biến.

Nhìn chung, chúng tôi không mất liên lạc nhưng đang nỗ lực giải quyết vấn đề cho các nạn nhân và thúc đẩy mọi việc tốt đẹp hơn trong khi phải đối mặt với áp lực từ nhiều phía. phát triển.

Odaily Planet Daily: Chỉ riêng sự cố này, niềm tin của nhiều người vào khả năng bảo mật và thương hiệu của DEXX đã sụt giảm nghiêm trọng. Nếu một ngày nào đó DEXX trực tuyến trở lại, bạn nghĩ mình nên lấy lại lòng tin của người dùng và thuyết phục họ sử dụng lại như thế nào?

Roy:Cốt lõi của niềm tin của người dùng không chỉ là công nghệ bảo mật mà còn là sự hỗ trợ và đảm bảo đằng sau nền tảng. Để đạt được mục tiêu này, chúng tôi dự định bắt đầu từ các khía cạnh sau:

· Tính minh bạch và công bằng trong việc đền bù: Nền tảng sẽ có một cổng xác minh trực tuyến và người dùng sẽ cần phải xác nhận số lượng thiệt hại. Đảm bảo dữ liệu là chính xác. Sau khi xác nhận, hệ thống sẽ tạo hồ sơ yêu cầu bồi thường và trả tiền bồi thường theo từng giai đoạn sau khi có đủ quỹ của tổ chức. Toàn bộ phương án bồi thường sẽ dựa trên nguyên tắc công khai, minh bạch, tiến độ bồi thường sẽ được cập nhật theo thời gian thực.

· Nâng cấp bảo mật toàn diện: Thuê nhiều cơ quan kiểm tra bảo mật hàng đầu để tiến hành đánh giá bảo mật chuyên sâu trên nền tảng. Công khai cơ chế bảo mật được nâng cấp và tiết lộ chi tiết kỹ thuật cũng như kế hoạch cải tiến cho người dùng. Thiết lập hệ thống hỗ trợ kỹ thuật và xử lý sự cố hoàn chỉnh để đảm bảo sự ổn định và bảo mật cho hoạt động của nền tảng.

· Xây dựng lại uy tín thương hiệu: Giới thiệu một số sàn giao dịch và tổ chức tài chính nổi tiếng thế giới như sự chứng thực nhằm nâng cao niềm tin của người dùng đối với nền tảng. Thông qua đội ngũ hợp tác mạnh mẽ, người dùng có thể nhận thức rõ ràng tính bảo mật trong tương lai của nền tảng.

· Tối ưu hóa quản lý cảm xúc người dùng: thiết lập cơ chế giao tiếp người dùng hiệu quả và phản hồi phản hồi kịp thời. Tăng cường khả năng quan hệ công chúng và xây dựng các chiến lược ứng phó khủng hoảng rõ ràng để khiến người dùng cảm thấy được trân trọng và thấu hiểu về mặt cảm xúc.

· Tăng cường niềm tin: Chúng tôi nhận thấy rằng 99% người dùng không hiểu công nghệ. Điều họ cần không phải là những lời giải thích phức tạp về công nghệ bảo mật mà là một cảm giác tin cậy thực sự. . Thông qua sự chứng thực của nhiều bên và các hành động thiết thực, người dùng có thể tin chắc rằng tương lai của nền tảng này rất đáng tin cậy.

Liên kết gốc