Bản gốc | Nhật báo hành tinh Odaily ( @OdailyChina )
Tác giả | Chồng thế nào ( @vincent 31515173 )
Vào ngày 16 tháng 11, một sự cố bảo mật lớn đã xảy ra trên sàn giao dịch DEXX. Tin tặc đã lợi dụng các lỗ hổng công nghệ nền tảng và đánh cắp hơn 21 triệu USD tiền của người dùng, với gần 1.000 nạn nhân. Sự cố này không chỉ gây thiệt hại kinh tế nghiêm trọng cho người dùng mà còn tác động sâu sắc đến cơ chế tin cậy của ngành, nhanh chóng trở thành chủ đề nóng trong lĩnh vực bảo mật Web3.
Sau vụ việc, nhóm dự án DEXX đã không công bố lý do cụ thể dẫn đến vụ trộm trong gần một tháng. Tệ hơn nữa, những người sáng lập và người dùng nền tảng đã có những tranh chấp công khai trên mạng xã hội và xung đột giữa hai bên tiếp tục leo thang.
Gần đây, Roy, người sáng lập nền tảng DEXX, đã được Odaily Planet Daily phỏng vấn lần đầu tiên. Ông đã đưa ra câu trả lời chi tiết về nguyên nhân của sự cố bảo mật, kế hoạch bồi thường cho các nạn nhân và hướng phát triển trong tương lai của nền tảng. cố gắng trả lời các câu hỏi khác nhau từ nạn nhân và thị trường. (Odaily Lưu ý: Nội dung trả lời sau đây chỉ là ý kiến của DEXX và không thể hiện quan điểm của Odaily Planet Daily.)
Sau đây là bản ghi của cuộc phỏng vấn
Odaily Planet Daily: Bạn có thể giải thích lý do tại sao DEXX bị đánh cắp lần này không? Nó có liên quan đến giải pháp quản lý khóa riêng của nền tảng không?
Roy: Lý do chính cho hành vi trộm cắp này là do lỗi quản lý bảo mật của nhóm chúng tôi chứ không phải do giải pháp quản lý khóa riêng tư.
Chúng tôi áp dụng các giải pháp lưu ký và giao dịch chính thống của thị trường, phù hợp với nhiều nền tảng hàng đầu (như BananaGun, Unibot, v.v.). Giải pháp này có ưu điểm về tốc độ giao dịch và hạn chế trải nghiệm đặt lệnh nhưng lại đặt ra yêu cầu cực kỳ cao về công tác quản lý bảo mật của đội ngũ. Sai lầm của chúng tôi đã dẫn đến việc rò rỉ khóa riêng và trách nhiệm hoàn toàn thuộc về chúng tôi.
Mặc dù người dùng báo cáo rằng khóa riêng được lưu trữ thống nhất trên máy chủ và thiếu mã hóa nhưng đây là sự hiểu lầm về các chi tiết kỹ thuật. Trên thực tế, logic của giải pháp này là tạo địa chỉ ví một cách độc lập và nó được sử dụng rộng rãi trên các nền tảng chính thống trên thị trường. Vấn đề không phải ở bản thân chương trình mà là lỗi của nhóm chúng tôi trong việc triển khai và quản lý.
Odaily Planet Daily: Trên mạng xã hội, nhiều nạn nhân tin rằng tài sản đã bị đánh cắp. Trên thực tế, nền tảng DEXX nhất quyết thực hiện hành vi trộm cắp. Làm thế nào để bạn chứng minh mình vô tội?
Roy: Tôi đã giải thích nhiều lần rằng nếu chúng ta có hành vi không phù hợp:
Các cơ quan an ninh như Slow Mist sẽ không hợp tác với chúng tôi.
Các tổ chức đầu tư sẽ không tiếp tục kết nối vốn.
Các cơ quan thực thi pháp luật sẽ có hành động trực tiếp chống lại chúng tôi thay vì giúp săn lùng tin tặc.
Trên thực tế, không có lý do gì để tôi hoặc nhóm của tôi hủy hoại tương lai của chúng ta với số tiền hơn 20 triệu USD. Vào thời kỳ đỉnh cao kinh doanh, doanh thu trong một ngày của chúng tôi có thể đạt từ 3 đến 400 nghìn đô la và nền tảng này được định giá 60 triệu đô la trước khi xảy ra sự cố. Nếu chúng tôi thực sự cần tiền, chúng tôi có thể có được chúng thông qua các phương pháp hợp lý hơn, chẳng hạn như phát hành tiền nền tảng hoặc thu hút đầu tư của tổ chức.
Odaily Planet Daily: Hiện tại tiến độ điều tra vụ án trộm cắp như thế nào? Những khó khăn trong việc xử lý sự kiện trên nền tảng là gì?
Roy: Nghi phạm đã bị nhốt trong nước , nhưng quá trình phát hiện rất phức tạp và tiêu tốn nhiều thời gian và nguồn lực. Các cơ quan thực thi pháp luật đã vào cuộc ngay từ giai đoạn đầu để đảm bảo quá trình điều tra diễn ra suôn sẻ, chúng tôi đã không tiết lộ chi tiết trong giai đoạn đầu của vụ án và không tiết lộ một số thông tin cho đến ngày 6 tháng 12. Việc thông báo trước có thể ảnh hưởng đến tiến độ thực thi pháp luật hoặc “báo động kẻ địch” nên việc công bố thông tin cần thận trọng.
Đối với đội ngũ của chúng tôi, việc xử lý sự cố không chỉ đòi hỏi sự hợp tác với các cơ quan thực thi pháp luật mà còn đòi hỏi chi phí quản lý và kỹ thuật cao. Ngoài ra, vì vụ việc liên quan đến các chi tiết kỹ thuật phức tạp, lợi ích của các tổ chức đầu tư và các yếu tố khác nên chúng tôi vẫn cần xác nhận thêm những thông tin nào có thể được tiết lộ.
Odaily Planet Daily: DEXX đã chính thức công bố kế hoạch bồi thường vào ngày 6 tháng 12, bao gồm bồi thường đầu tư và tài chính hoặc bồi thường thu nhập tự vận hành, nhưng các nạn nhân không hài lòng về vấn đề này.
Roy: Mục đích ban đầu của kế hoạch bồi thường là thiết kế nó dựa trên tình huống xấu nhất. Mặc dù lúc đó chúng tôi đã biết rằng trường hợp xấu nhất khó có thể xảy ra, nhưng để tạo cho nạn nhân những kỳ vọng về tâm lý về sự bảo vệ cơ bản nhất, chúng tôi đã chọn công bố phương án thận trọng nhất trước. Việc thực hiện kế hoạch trên thực tế sẽ được điều chỉnh dựa trên sự đầu tư của quỹ tổ chức.
Hiện tại, việc thu xếp các quỹ tổ chức về cơ bản đã được đàm phán nhưng vẫn chưa hoàn thiện. Vì số tiền đầu tư, định giá tổ chức và các chi tiết khác vẫn chưa được quyết định nên chúng tôi tạm thời không thể tiết lộ chúng cho công chúng. Việc tiết lộ sớm có thể gây hiểu lầm thị trường hoặc ảnh hưởng đến ý định hợp tác của tổ chức. Vì vậy, chúng tôi hy vọng sẽ đợi cho đến khi số tiền được bảo đảm hoàn toàn trước khi giải thích và cập nhật kế hoạch cho người dùng thông qua thông báo chính thức.
Nhật báo Odaily Planet: Các nạn nhân cho biết nhóm dự án đã qua lại trong việc xác định phương án bồi thường. Ví dụ, vào ngày 28/11, họ hứa sẽ xác định phương án trong vòng 48 giờ nhưng mãi đến ngày 6/12 mới công bố. Làm thế nào để bạn giải thích điều này?
Roy: Trước hết, chúng tôi thừa nhận quả thực có sự chậm trễ về thời gian công bố kế hoạch, nhưng nguyên nhân chủ yếu là do một số yếu tố bên ngoài và điều kiện khách quan không thể kiểm soát được.
Trong các cuộc đàm phán cấp thể chế, các bên tham gia dự án ở thế yếu. Chúng tôi hy vọng hợp tác với các tổ chức mạnh mẽ và uy tín hơn để phấn đấu vì lợi ích tốt nhất của người dùng, nhưng điều này có nghĩa là liên tục đánh giá các điều kiện và trì hoãn việc xác nhận cuối cùng về kế hoạch.
Ngoài ra, một số chi tiết liên quan đến cuộc săn lùng tin tặc liên quan đến thông tin nhạy cảm liên quan đến việc cơ quan thực thi pháp luật làm việc với các công ty bảo mật. Việc tiết lộ quá mức có thể dẫn đến hiểu lầm, thậm chí gây tổn hại đến uy tín của các bên liên quan. Vì vậy, chúng tôi quyết định không công bố nó ra công chúng vào thời điểm này.
Mặc dù quyết định trì hoãn được đưa ra hết sức thận trọng nhưng chúng tôi vô cùng xin lỗi vì đã không thông báo kịp thời lý do cụ thể cho người dùng, dẫn đến hiểu lầm.
Odaily Planet Daily: Vào ngày 6 tháng 12, DEXX đã chính thức đưa ra tuyên bố cho biết kế hoạch sẽ được hoàn tất trong vòng 7 ngày làm việc. Nền tảng có thể xác nhận kế hoạch bồi thường cụ thể không?
Roy: Kế hoạch hiện tại của chúng tôi là trước tiên sẽ ra mắt nền tảng trả thưởng trong thời hạn. Quy trình cụ thể như sau:
Xác nhận của người dùng về mức độ thiệt hại: Mức độ thiệt hại do các cơ quan bên thứ ba tính toán có thể không chính xác hoặc không đầy đủ, vì vậy chúng tôi cần người dùng xác minh và xác nhận xem mức độ thiệt hại có chính xác thông qua cổng nền tảng hay không. Sau khi người dùng xác nhận số tiền và nhấp vào Xác nhận, hồ sơ quyền của chủ nợ cuối cùng sẽ được hình thành.
Việc bồi thường sẽ được thực hiện theo quyền của chủ nợ: hồ sơ quyền của chủ nợ sau khi xác nhận sẽ được dùng làm căn cứ để bồi thường. Khi có đủ quỹ của tổ chức, chúng tôi sẽ bồi thường sớm nhất có thể theo tỷ lệ nợ trên quyền của người dùng.
Làm rõ cơ cấu nợ và phương án bồi thường: 7 ngày làm việc mà chúng tôi đề xuất trước tiên có nghĩa là xác nhận xem cơ cấu nợ có đúng hay không, sau đó người dùng kiểm tra và đồng ý với số tiền yêu cầu. Sau khi hoàn thành bước này, yêu cầu bồi thường cuối cùng sẽ được xác định.
Hiện tại, phương án bồi thường cụ thể đã được xây dựng nhưng vẫn chưa được công bố do yếu tố như quỹ thể chế. Quá trình tổng thể được thực hiện theo từng giai đoạn. Sau khi có đủ quỹ của tổ chức, chúng tôi sẽ xử lý các vấn đề bồi thường nợ theo từng giai đoạn. Nếu người dùng có thắc mắc sau khi xác nhận số tiền, chúng tôi cũng sẽ xác minh và xử lý dựa trên hồ sơ.
Odaily Planet Daily: Nạn nhân đề cập rằng nền tảng này đã mất liên lạc trong những ngày trước ngày 6 tháng 12. Tại sao các bạn không đứng dậy kịp thời và duy trì liên lạc chặt chẽ?
Roy: Thực ra thì không có cái gọi là mất liên lạc. Rất nhiều người cảm thấy như vậy vì chúng tôi có thể không trả lời câu hỏi của họ trong 1 đến 2 ngày và người dùng cho rằng chúng tôi không trả lời nữa. Trên thực tế, áp lực và sự bất ổn mà chúng tôi phải đối mặt vào thời điểm đó là rất cao, nhưng chúng tôi luôn nỗ lực giải quyết những vấn đề hậu trường. Công việc chính của chúng tôi trong giai đoạn này có thể được chia thành ba giai đoạn:
Theo dõi tin tặc: Chúng tôi đã dành tuần đầu tiên tập trung làm việc với các cơ quan an ninh và thực thi pháp luật để theo dõi tin tặc. Đây là mắt xích có mức đầu tư ban đầu lớn nhất và chi phí cao nhất.
Nâng cấp bảo mật và phát triển kế hoạch bồi thường : Trong tuần thứ hai, chúng tôi đã nâng cấp toàn diện các biện pháp bảo mật của nền tảng, đồng thời phát triển các chức năng sản phẩm liên quan đến bồi thường để cung cấp cho người dùng quyền được bồi thường.
Kết nối thể chế: Đến tuần thứ ba, chúng tôi chuyển trọng tâm sang đàm phán và liên lạc với các tổ chức. Giai đoạn này của công việc đặc biệt phức tạp và đòi hỏi phải xử lý một số lượng lớn các chi tiết.
Mặc dù nhóm dịch vụ khách hàng của chúng tôi thỉnh thoảng sẽ trả lời tin nhắn trong nhóm nhưng do số lượng lớn người dùng bị ảnh hưởng và số lượng câu hỏi khổng lồ nên chúng tôi không thể trả lời mọi người dùng ngay lập tức.
Ngoài ra, còn có những hạn chế đáng kể trong việc phát hành thông báo. Mỗi khi đưa ra thông báo, chúng tôi cần xác nhận với 2 đến 3 cơ quan an ninh hoặc cơ quan thực thi pháp luật xem nội dung đó có thể được công khai hay không. Ví dụ, những ngày đầu, cơ quan thực thi pháp luật nhắm vào một số nghi phạm, nhưng sau khi điều tra sâu, họ nhận thấy hướng đi đó là sai lầm và cần phải lặp lại. xác nhận. Những nhiệm vụ xác minh lặp đi lặp lại này khiến chúng tôi tốn rất nhiều thời gian và sức lực.
Người dùng có thể không cảm nhận được bằng trực giác những nỗ lực của chúng tôi, nhưng đằng sau hậu trường, chúng tôi đã thực hiện rất nhiều công việc. Cho dù đó là theo dõi tin tặc, liên lạc với các cơ quan hay phát triển kế hoạch bồi thường, chúng tôi luôn tiến về phía trước. Tuy nhiên, do những hạn chế từ các cơ quan thực thi pháp luật và nhu cầu bảo vệ các cuộc điều tra vụ án, chúng tôi không thể thông báo ngay lập tức mọi diễn biến.
Nhìn chung, chúng tôi không mất liên lạc nhưng đang nỗ lực giải quyết vấn đề cho các nạn nhân và đẩy mọi việc theo hướng tốt hơn trong khi phải đối mặt với áp lực từ nhiều phía.
Odaily Planet Daily: Chỉ vì sự cố này mà niềm tin của nhiều người vào khả năng bảo mật và thương hiệu của DEXX đã sụt giảm nghiêm trọng. Nếu một ngày nào đó DEXX trực tuyến trở lại, bạn nghĩ mình nên lấy lại lòng tin của người dùng và thuyết phục họ sử dụng lại như thế nào?
Roy: Cốt lõi của niềm tin của người dùng không chỉ là công nghệ bảo mật mà còn là sự hỗ trợ và đảm bảo đằng sau nền tảng. Để đạt được mục đích này, chúng tôi dự định bắt đầu từ các khía cạnh sau:
Tính minh bạch và công bằng trong việc đền bù: Nền tảng sẽ ra mắt một cổng xác minh trực tuyến và người dùng cần xác nhận mức độ thiệt hại để đảm bảo dữ liệu chính xác. Sau khi xác nhận, hệ thống sẽ tạo hồ sơ yêu cầu bồi thường và trả tiền bồi thường theo từng giai đoạn sau khi có đủ quỹ của tổ chức. Toàn bộ phương án bồi thường sẽ dựa trên nguyên tắc công khai, minh bạch, tiến độ bồi thường sẽ được cập nhật theo thời gian thực.
Nâng cấp bảo mật toàn diện: Thuê nhiều cơ quan kiểm tra bảo mật hàng đầu để tiến hành đánh giá bảo mật chuyên sâu trên nền tảng. Công khai cơ chế bảo mật được nâng cấp và tiết lộ chi tiết kỹ thuật cũng như kế hoạch cải tiến cho người dùng. Thiết lập hệ thống hỗ trợ kỹ thuật và xử lý sự cố hoàn chỉnh để đảm bảo sự ổn định và bảo mật cho hoạt động của nền tảng.
Xây dựng lại uy tín thương hiệu: Giới thiệu một số sàn giao dịch và tổ chức tài chính nổi tiếng thế giới như sự chứng thực nhằm nâng cao niềm tin của người dùng đối với nền tảng. Thông qua đội ngũ hợp tác mạnh mẽ, người dùng có thể nhận thức rõ ràng tính bảo mật trong tương lai của nền tảng.
Tối ưu hóa quản lý cảm xúc người dùng: thiết lập cơ chế giao tiếp người dùng hiệu quả và phản hồi phản hồi kịp thời. Tăng cường khả năng quan hệ công chúng và xây dựng các chiến lược ứng phó khủng hoảng rõ ràng để khiến người dùng cảm thấy được trân trọng và thấu hiểu về mặt cảm xúc.
Củng cố niềm tin: Chúng tôi nhận thấy rằng 99% người dùng không hiểu công nghệ. Điều họ cần không phải là những lời giải thích phức tạp về công nghệ bảo mật mà là cảm giác tin tưởng thực sự. Thông qua sự chứng thực của nhiều bên và các hành động thiết thực, người dùng có thể tin chắc rằng tương lai của nền tảng này rất đáng tin cậy.
