最近偶尔会收到当时我们出手帮助的 DEXX 被盗事件有关受害者们的感谢。不是因为抓到了攻击团伙，追回资金，而是因为 DEXX 平台陆续做了赔付工作。 有几个感触： 1/ 我们的调查报告虽然没有公开，不过可以负责任地说：确实是因为 DEXX 使用的禅道平台的某个漏洞被利用导致了外部入侵，随后被拿下生产网相关服务器及数据库权限，所有留痕分析都还原了这条攻击路径。也就是说 DEXX 也是受害者，但有安全管理不力责任。我们其实很早知道真相，但为什么没公开说，一方面是因为当时的那种情绪下，没人信，几乎所有人都觉得是监守自盗；另一个方面是需要按执法节奏来（当时 DEXX 第一时间报警立案了）。出于谨慎目的，我们也是从内部嫌疑人开始做的调查，当和执法逐步排除后，才开始矛头对外... 2/ 攻击团伙很聪明很狡猾，刚开始就被其盗币手法恶心到了，每个受害者钱包地址对应了不同的攻击者钱包地址，我们对接了一千多个真实受害者及好几个各地受害者独立报警立案的执法机构，并合作了好几家深藏功与名的安全公司及数据公司，可惜的事，没有 Happy Ending。我们能做的工作有限，但我知道有安全公司及地方执法还没放弃，这里我真表示钦佩，也许未来在他们的手上会出现意外收获...攻击团伙洗钱方式也很恶心，扣掉各种损耗最终到手的也许不到 2000 万美金... 3/ 我们始终尽可能保持着中立，但有句话此时是可以说的：虽然 DEXX 在这次生死存亡黑客事件中的表现挺乱，但最终能做赔付工作（虽然好像也听到许多吐槽），在这行业已经秒杀 99.99% 的项目方了... 4/ 我们为什么没动力非得对攻击团伙不死不休？原因很简单，有的受害者在我们的调查工作过程中所使的坏，真让我们感受极差，我们为什么要出手援救这种人？还有另一个原因，和攻击团伙不死不休的应该是 DEXX 自己...我们的安全工作有自己的边界。 5/ 暖心的点也很多，受害者中的大多数、DEXX 相关成员、好几家深藏功与名的安全公司及数据公司、好几家执法机构、DEXX 赔付工作背后的资方等等，大家是真希望解决问题，互相协同推进事态不会坠入深渊。 许多安全事件，能趋于还原真相已经很不容易，如果能有 Happy Ending 那真的太过难得。事后安全真的非常累，事前安全真没多少项目方真正重视，许多都是事后懊悔还不如把事后损失资金的一定比例在事前安全上就投入做好...希望你不会是下一个懊悔者，别过于自信，请敬畏力量🫡