原文| Odaily星球日報( @OdailyChina )
作者| 夫如何( @vincent 31515173 )
11 月16 日,交易平台DEXX 爆發重大安全事件。駭客利用平台技術漏洞,竊取了超過2,100 萬美元的用戶資金,受害者數量近1,000 餘人。這起事件不僅造成用戶嚴重的經濟損失,也對產業信任機製造成深遠影響,迅速成為Web3 安全領域的熱門話題。
事件發生後,DEXX 專案方在接近一個月的時間裡,始終未能公佈具體的被盜原因。更糟的是,平台創辦人與用戶在社群媒體上發生公開爭執,雙方矛盾不斷升級。
近日,DEXX 平台創始人 Roy 首次接受Odaily星球日報採訪,就此次安全事件的成因、對受害者的補償計劃,以及平台未來的改進方向進行了詳細解答,試圖回應受害者與市場的種種疑問。 (Odaily 註:以下回應內容僅為DEXX 方觀點,不代表Odaily星球日報立場。)
以下是採訪實錄
Odaily星球日報:能否說明一下此次 DEXX 被竊的原因?是否與平台的私鑰管理方案有關?
Roy:這次被竊的主要原因,是我們團隊在安全管理上的失誤,而非私鑰管理方案本身的問題。
我們採用的是市場主流的交易和託管方案,與許多領先平台(如 BananaGun、Unibot 等)一致。這套方案在交易速度和限價單體驗方面具有優勢,但對團隊的安全管理要求極高。我們的失誤導致了私鑰洩露,責任完全在於我們自己。
雖然用戶回饋稱私鑰統一儲存在伺服器且缺乏加密,但這是對技術細節的誤解。實際上,這套方案的邏輯是獨立產生錢包位址,且廣泛應用於市場主流平台。問題不在於方案本身,而是我們的團隊在實施和管理上的失誤。
Odaily星球日報:社群媒體上,許多受害者認為本次資產被盜其實DEXX 平台方堅守自盜,你如何自證清白?
Roy:我已經多次解釋,如果我們真的有不當行為:
安全機構如慢霧不會與我們合作。
投資機構也不會繼續對接資金。
執法機構會直接對我們採取行動,而非協助追捕駭客。
事實上,我和團隊沒有任何理由為這 2,000 多萬美元自毀前程。我們在業務高峰期的單日收入可達三、四十萬美元,而事發前平台估值達到 6,000 萬美元。如果真的需要資金,我們完全可以透過更合理的方式獲取,例如發平台幣或吸引機構投資。
Odaily星球日報:目前被竊案偵辦進度如何?平台在事件處理上有哪些困難?
Roy:嫌疑人已鎖定在國內,但偵破過程非常複雜,涉及大量時間和資源成本。執法機構從早期就開始介入,為確保偵查順利推進,我們在案件前期沒有對外披露細節,直到 12 月 6 日才公佈部分資訊。提前公佈可能影響執法進展或“打草驚蛇”,因此資訊揭露需要謹慎。
對我們團隊而言,事件的處理不僅需要配合執法機構,還需承擔高額的技術和管理成本。此外,由於案件涉及技術細節複雜、投資機構利益相關等多面向因素,我們仍需進一步確認哪些資訊可以公開。
Odaily星球日報:DEXX 官方在 12 月 6 日公佈了賠付方案,包括投融資賠償或自營收入進行賠償,但受害者並不滿意,你怎麼看這個問題?
Roy:賠付方案的初衷是基於最壞的情況設計的。當時我們雖然已經知道最壞情況不太可能發生,但為了讓受害者對最基本的保障有心理預期,我們選擇先公佈一個最保守的方案。方案的實際執行會根據機構資金的投入情況調整。
目前機構資金的對接已經基本談妥,但尚未最終確認。由於投資金額、機構估值等細節尚未落實,我們暫時無法對外公開。提前揭露可能引發市場誤解或影響機構的合作意圖。因此,我們希望等到資金完全落實後,再透過正式公告向用戶解釋和更新方案。
Odaily星球日報:受害者反映專案方在確定賠付方案上存在反复,例如 11 月 28 日承諾 48 小時內確定方案,但直到 12 月 6 日才公佈。對此,你如何解釋?
Roy:首先,我們承認在方案發佈時間上的確存在延遲,但原因主要來自於一些不可控的外在因素以及客觀條件的限制。
在機構層級的談判中,專案方處於弱勢地位。我們希望與更具實力和信譽的機構合作,為用戶爭取最佳利益,但這意味著反覆評估條件,推遲方案的最終確認。
此外,在駭客追捕的過程中,某些細節涉及執法部門與保全公司合作的敏感資訊。過度揭露可能引發誤解,甚至損害相關方的聲譽。因此,我們選擇暫不對外公佈。
儘管延遲的決定出於謹慎考慮,但我們未能及時與用戶溝通具體原因,導致誤解產生,這一點我們深感抱歉。
Odaily星球日報:在 12 月 6 日,DEXX 官方發文表示將於7 個工作天內確定方案一落地,目前時間已經快到了,平台是否能夠確認具體賠付方案?
Roy:我們目前的計畫是,截止日期內會先上線一個賠付平台入口,具體流程如下:
使用者確認受損金額:三方機構統計的受損金額可能存在不準確或不全面的情況,因此我們需要使用者透過平台入口自行核實和確認受損金額是否正確。用戶一旦確認金額並點擊“確認”,即形成了最終的債權記錄。
依債權賠付:確認後的債權紀錄將作為賠付的依據。當機構資金到位後,我們會按照用戶的債權比例進行第一時間賠償。
明確債務結構與賠償方案:我們提出的「 7 個工作天」是指先確認債務結構是否正確,然後由使用者核對並認同債權金額。這一步完成後,最終的債權就確定了。
目前具體的賠付方案已經制定,但由於涉及機構基金等因素,尚未對外公佈。整體流程是按階段進行的,待機構資金到位後,我們將分梯隊處理債權賠償事宜。如果用戶在確認金額後有問題,我們也會根據記錄進行核實與處理。
Odaily星球日報:受害者提到,平台在 12 月 6 日之前的幾天內存在失聯的情況,你當時為什麼不及時站出來保持密切溝通?
Roy:實際上並沒有所謂「失聯」的情況。很多人之所以會有這種感覺,是因為我們可能在 1 到2 天內沒有回覆他們的問題,而用戶因此認為我們不再回應。事實上,當時我們的壓力和麵臨的不確定性非常大,但我們始終在背後努力處理問題。可以分為三個階段來說明我們這段時間的主要工作:
追蹤駭客:我們在第一個星期集中力量與安全機構和執法機構合作,追蹤駭客的行蹤。這是早期投入最大、成本最高的環節。
安全升級與賠償方案研發:第二個星期,我們全面升級了平台的安全措施,同時開發與賠償相關的產品功能,為使用者提供補償的入口。
機構對接:到第三個星期,我們把重心轉向與機構的談判和溝通。這一階段的工作尤其複雜,需要處理大量的細節。
雖然我們客服團隊也會偶爾在群組回覆訊息,但由於受影響用戶眾多和問題的數量龐大,我們無法做到即時回覆每個用戶。
另外,公告發布也有很大的限制。每次發公告,我們需要與 2 到3 家安全機構或執法機構確認內容是否可以公開。有些資訊如果透露,會影響執法機構對嫌疑人的追蹤工作,例如早期執法機關鎖定了一些嫌疑人,但在深入調查後發現方向有誤,需要反覆確認。這些反覆的驗證工作耗費了我們大量的時間和精力。
使用者可能無法直觀感受到我們的努力,但在背後,我們確實付出了巨大的工作量。不管是追蹤駭客、溝通機構,還是研發賠付方案,我們一直在推進。只是由於執法機構的限制以及保護案件調查的需要,我們無法將所有進展即時向外公佈。
總的來說,我們沒有失聯,而是在面對多方面壓力的同時,努力為受害者解決問題並推動事態向好的方向發展。
Odaily星球日報:僅此一事,很多人對DEXX 的安全能力以及品牌信任度斷崖式下降。假如,未來有一天DEXX 再次上線,你覺得自己該如何取得用戶信任並讓他們重新使用?
Roy:使用者信任的核心不僅是安全技術,更在於平台背後的支援與保障。為此,我們計劃從以下幾個方面著手:
賠償透明化與公平性:平台將上線核實入口,用戶需確認受損金額,確保數據準確。確認後系統將產生債權記錄,並在機構資金到位後分梯次賠付。整個賠償方案將以公開透明為原則,即時更新賠付進度。
安全全面升級:聘請多家頂級安全審計機構對平台進行深度安全評估。公開升級後的安全機制,向使用者揭露技術細節與改進方案。建立完善的技術支援與問題處理體系,確保平台運作的穩定性與安全性。
重建品牌公信力:引進多家全球知名交易所及金融機構作為背書,增強用戶對平台的信任感。透過強大的合作陣容,讓使用者清楚感知平台未來的安全保障。
優化使用者情緒管理:建立高效率的使用者溝通機制,及時回應回饋。加強公關能力,制定清晰的危機應對策略,讓使用者在情緒上感到被重視與理解。
強化信任感:我們體認到 99% 的使用者並不懂技術,他們需要的不是複雜的安全技術解釋,而是實實在在的信任感。透過多方背書和實際行動,讓使用者相信平台的未來是值得依賴的。