11 月 16 日,交易平台 DEXX 爆发重大安全事件。黑客利用平台技术漏洞,窃取了超过 2100 万美元的用户资金,受害者数量近 1000 余人。这一事件不仅造成用户严重的经济损失,也对行业信任机制造成了深远影响,迅速成为 Web3 安全领域的热点话题。 事件发生后,DEXX 项目方在接近一个月的时间里,始终未能公布具体的被盗原因。更糟糕的是,平台创始人与用户在社交媒体上公开发生争执,双方矛盾不断升级。 近日,DEXX 平台创始人 Roy 首次接受采访,就此次安全事件的成因、对受害者的补偿计划,以及平台未来的改进方向进行了详细解答,试图回应受害者与市场的种种疑问。 以下是采访实录 能否说明一下此次 DEXX 被盗的原因?是否与平台的私钥管理方案有关? Roy:此次被盗的主要原因,是我们团队在安全管理上的失误,而非私钥管理方案本身的问题。 我们采用的是市场主流的交易和托管方案,与许多领先平台(如 BananaGun、Unibot 等)一致。这套方案在交易速度和限价单体验方面具有优势,但对团队的安全管理要求极高。我们的失误导致了私钥泄露,责任完全在我们自己。 虽然用户反馈称私钥统一存储在服务器且缺乏加密,但这是对技术细节的误解。实际上,这套方案的逻辑是独立生成钱包地址,且广泛应用于市场主流平台。问题不在于方案本身,而是我们的团队在实施和管理上的失误。 社交媒体上,很多受害者认为本次资产被盗其实 DEXX 平台方坚守自盗,你如何自证清白? Roy:我已经多次解释,如果我们真的有不当行为:
事实上,我和团队没有任何理由为这 2000 多万美元自毁前程。我们在业务高峰期的单日收入可达三四十万美元,而事发前平台估值达到 6000 万美元。如果真的需要资金,我们完全可以通过更合理的方式获取,比如发平台币或吸引机构投资。 目前被盗案件侦办进展如何?平台在事件处理上有哪些难点? Roy:嫌疑人已锁定在国内,但侦破过程非常复杂,涉及大量时间和资源成本。执法机构从早期就开始介入,为确保侦查顺利推进,我们在案件前期没有对外披露细节,直到 12 月 6 日才公布部分信息。提前公布可能影响执法进展或“打草惊蛇”,因此信息披露需要谨慎。 对于我们团队而言,事件的处理不仅需要配合执法机构,还需承担高额的技术和管理成本。此外,由于案件涉及技术细节复杂、投资机构利益相关等多方面因素,我们仍需进一步确认哪些信息可以公开。 DEXX 官方在 12 月 6 日公布了赔付方案,包括投融资赔偿或者自营收入进行赔偿,但受害者并不满意,你怎么看这个问题? Roy:赔付方案的初衷是基于最坏的情况设计的。当时我们虽然已经知道最坏情况不太可能发生,但为了让受害者对最基本的保障有心理预期,我们选择先公布一个最保守的方案。方案的实际执行会根据机构资金的投入情况调整。 目前机构资金的对接已经基本谈妥,但尚未最终确认。由于投资金额、机构估值等细节尚未落实,我们暂时无法对外公开。提前披露可能引发市场误解或影响机构的合作意向。因此,我们希望等到资金完全落实后,再通过正式公告向用户解释和更新方案。 受害者反映项目方在确定赔付方案上存在反复,例如 11 月 28 日承诺 48 小时内确定方案,但直到 12 月 6 日才公布。对此,你如何解释? Roy: 首先,我们承认在方案发布时间上的确存在延迟,但原因主要来自于一些不可控的外部因素以及客观条件的限制。 在机构层面的谈判中,项目方处于弱势地位。我们希望与更具实力和信誉的机构合作,为用户争取最佳利益,但这意味着反复评估条件,推迟方案的最终确认。 此外,在黑客追捕的过程中,某些细节涉及执法部门与安全公司合作的敏感信息。过多披露可能引发误解,甚至损害相关方的声誉。因此,我们选择暂不对外公布。 尽管延迟的决定出于谨慎考虑,但我们未能及时与用户沟通具体原因,导致误解产生,这一点我们深感抱歉。 在 12 月 6 日,DEXX 官方发文表示将于 7 个工作日内确定方案一落地,目前时间已经快到了,平台是否能够确认具体赔付方案? Roy:我们目前的计划是,截止日期内会首先上线一个赔付平台入口,具体流程如下:
目前具体的赔付方案已经制定,但由于涉及机构基金等因素,尚未对外公布。整体流程是按阶段进行的,待机构资金到位后,我们将分梯队处理债权赔付事宜。如果用户在确认金额后有问题,我们也会根据记录进行核实与处理。 受害者提到,平台在 12 月 6 日之前的几天内存在失联的情况,你当时为什么不及时站出来保持密切沟通? Roy:实际上不存在所谓“失联”的情况。很多人之所以会有这种感觉,是因为我们可能在 1 到 2 天内没有回复他们的问题,而用户因此认为我们不再回应。事实上,当时我们的压力和面临的不确定性非常大,但我们始终在背后努力处理问题。可以分为三个阶段来说明我们这段时间的主要工作:
虽然我们客服团队也会偶尔在群里回复信息,但由于受影响用户众多和问题的数量庞大,我们无法做到即时回复每个用户。 另外,公告发布也有很大的限制。每次发公告,我们需要与 2 到 3 家安全机构或执法机构确认内容是否可以公开。有些信息如果透露,会影响执法机构对嫌疑人的追踪工作,比如早期执法机关锁定了一些嫌疑人,但在深入调查后发现方向有误,需要反复确认。这些反复的验证工作耗费了我们大量的时间和精力。 用户可能无法直观感受到我们的努力,但在背后,我们确实付出了巨大的工作量。不管是追踪黑客、沟通机构,还是研发赔付方案,我们一直在推进。只是由于执法机构的限制以及保护案件调查的需要,我们无法将所有进展即时向外公布。 总的来说,我们没有失联,而是在面对多方面压力的同时,努力为受害者解决问题并推动事态向好的方向发展。 仅此一事,很多人对 DEXX 的安全能力以及品牌信任度断崖式下降。假如,未来有一天 DEXX 再次上线,你觉得自己应该如何取得用户信任并让他们重新使用? Roy:用户信任的核心不仅是安全技术,更在于平台背后的支持与保障。为此,我们计划从以下几个方面入手:
|