লেখক: ক্লোই, চেইনক্যাচার
এই কয়দিন ধরে বাজেটে কয়েক কোটি ডলার জমা হওয়া এবং বাজারের দৃষ্টি আকর্ষণ করা ঘটনা “ZachXBT কোন ক্রিপ্টো কোম্পানিকে অভ্যন্তরীণ ব্যবসায়ের জন্য অভিযুক্ত করবেন?” এখন শেষ হয়েছে। ২৬ ফেব্রুয়ারি, চেইন-বাস্তব গবেষক ZachXBT একটি তদন্ত প্রতিবেদন প্রকাশ করেন, যাতে তিনি DeFi ট্রেডিং প্ল্যাটফর্ম Axiom Exchange-এর দিকে ইঙ্গিত করেন।
রিপোর্টে অভিযোগ করা হয়েছে যে প্ল্যাটফর্মের একজন বয়স্ক কর্মচারী অভ্যন্তরীণ প্রশাসনিক অধিকারের দুর্ব্যবহার করেছেন, দীর্ঘদিন ধরে ব্যবহারকারীদের ব্যক্তিগত ওয়ালেট ডেটা অবৈধভাবে অ্যাক্সেস করেছেন এবং এই সংবেদনশীল তথ্যগুলিকে অভ্যন্তরীণ ব্যবসায়িক সুযোগের হাতিয়ার হিসাবে ব্যবহার করেছেন। এই নিবন্ধটি ZachXBT-এর প্রকাশিত প্রমাণের শৃঙ্খলা গভীরভাবে বিশ্লেষণ করবে, যখন “চেইন-উপরের স্বচ্ছতা” “চেইন-নিচের কালো বাক্স প্রশাসন” দ্বারা অপহৃত হয়।
জ্যাক্সএক্সবিটি এক্সিয়ম এক্সচেঞ্জের অভ্যন্তরীণ ব্যবসায়ের বিবাদ উন্মোচন করেছেন
অক্সিয়ম এক্সচেঞ্জ প্রতিষ্ঠাতা মিস্ট এবং ক্যালের সহযোগিতায় তৈরি হয়েছে এবং 2025 এর শুরুতে Y Combinator Winter Batch (W25)-এ নির্বাচিত হয়েছে। এই প্ল্যাটফর্মটি কেবলমাত্র এক বছরে 390 মিলিয়ন ডলারেরও বেশি মোট আয় অর্জন করেছে। তবে, এই অসাধারণ আর্থিক ডেটার পিছনে, একজন অভিজ্ঞ ব্যবসায়িক বিস্তার কর্মচারী ব্রুক্স বাউয়ার অক্সিয়মের ব্যাকএন্ড টুলগুলিকে তার ব্যক্তিগত শিকারের মাঠে পরিণত করছেন।
জ্যাক্সএক্সবিটির তদন্তের মতে, ব্রুক্স বাউয়ার একাই কাজ করছিলেন না, তিনি একটি সংগঠিত "তথ্য আয়" প্রক্রিয়া গড়ে তুলেছিলেন, যার কেন্দ্রে ছিল এক্সিয়মের অভ্যন্তরীণ কন্ট্রোল ড্যাশবোর্ড, যেখানে ব্রুক্স যেকোনো ব্যবহারকারীর গোপনীয়তা তথ্য প্রচার কোড, ওয়ালেট ঠিকানা বা UID-এর মাধ্যমে যেকোনো সময় জিজ্ঞাসা করতে পারতেন। ব্রুক্স রেকর্ডে বলেছিলেন যে তিনি "সেই ব্যক্তির সম্পর্কে যেকোনো কিছুই খুঁজে পেতে পারেন", এবং তার কাজের মধ্যে অত্যন্ত শক্তিশালী বিপরীত-পর্যবেক্ষণ সচেতনতা ছিল:
প্রথমে শুধুমাত্র 10 থেকে 20টি ওয়ালেট জিজ্ঞাসা করুন, যাতে সিস্টেমের অস্বাভাবিক সতর্কবার্তা ট্রিগার না হয়।
লক করা লক্ষ্যগুলি দৈবভাবে নির্বাচিত হয় না। যেমন, একজন মারসেল নামের কেওএল দীর্ঘদিন ধরে ব্যক্তিগত ওয়ালেট দিয়ে অনেকগুলি মিম কয়েন কিনেছিলেন এবং তাঁর ফ্যানদের কাছে তরলতা বেরিয়ে যাওয়ার জন্য প্রচার করছিলেন, যার ফলে তিনি একটি গুরুত্বপূর্ণ ট্র্যাকিং লক্ষ্য হয়ে উঠেছিলেন। এই ধরনের ট্রেডারদের ব্যক্তিগত ওয়ালেটগুলি প্রায়শই প্রকাশ্যে আসে না, ঠিকানার পুনরাবৃত্তির হার কম, যার ফলে এই তথ্যগুলির আরবিট্রেজের জন্য অত্যন্ত উচ্চ মূল্য রয়েছে।
একজন অন্য Axiom কর্মচারী রাইয়ান (Ryucio) এর সহায়তায় ব্যবহারকারীর তথ্য খুঁজে বের করা, Gowno কে মডারেটর হিসেবে নিয়োগ দেওয়া এবং এই ব্যক্তিগত ওয়ালেটগুলি ট্র্যাক করার জন্য Google Sheets-এ সংগ্রহ করা।
এই অনিয়মগুলি দশ মাসেরও বেশি সময় ধরে চলেছিল (2025 সালের এপ্রিল থেকে শুরু), এবং প্রমাণ শৃঙ্খলায় প্রতিপক্ষ “জেরি” এবং “মনিক্স” সহ ব্যক্তিদের ব্যাকএন্ড ম্যানেজমেন্ট স্ক্রিনশট অন্তর্ভুক্ত রয়েছে। এই তথ্যগুলি প্রশ্ন তুলেছে: ব্যবসায়িক বিস্তার কর্মচারীদের কেন ফাংশনের অতিক্রমকারী অ্যাক্সেস পাওয়া উচিত? যা থাকা উচিত ছিল—নজরদারি, সতর্কতা এবং অ্যাক্সেস পৃথকীকরণ—স্পষ্টতই কাজ করেনি।
অক্সিয়মের অফিসিয়াল প্রতিক্রিয়া, যা পিছনের কাঠামোগত অক্ষমতাকে আড়াল করতে পারে না
জ্যাক্সএক্সবিটি রিপোর্ট প্রকাশের পর, অ্যাক্সিয়ম অফিসিয়ালি একটি স্ট্যান্ডার্ড পিআর ক্রাইসিস ম্যানেজমেন্ট পদ্ধতি অনুসরণ করে: “বিস্ময় ও বিষাদ” প্রকাশ করে, অনুমতি বাতিল করে এবং তদন্ত শুরু করে। তবুও, এটি পটভূমিগত কাঠামোগত ব্যর্থতা লুকাতে পারেনি, এই ঘটনাগুলি শুধুমাত্র একজন কর্মচারীর ব্যক্তিগত আচরণ নয়, বরং প্ল্যাটফর্মের অনুমতি নিয়ন্ত্রণের ব্যর্থতা প্রকাশ করে।
১. অনুপস্থিত অডিট লগ
প্রাচীন আর্থিক বা পরিপক্ক Web2 প্রযুক্তি কোম্পানিগুলিতে, কোনও ব্যবহারকারীর সংবেদনশীল ডেটা অ্যাক্সেস করার প্রতিটি অপারেশনের জন্য লগ রাখা আবশ্যিক। যদি একজন ব্যবসায়িক বিস্তার কর্মচারী তার ব্যবসার সাথে সম্পর্কহীন শত শত ওয়ালেট ঠিকানা পরীক্ষা করতে পারে, তবে সিস্টেমটি প্রথম সম্ভাব্য সময়েই সতর্কবার্তা ট্রিগার করা উচিত। Axiom-এর দশমাসের নিয়ন্ত্রণশূন্যতা এটি নির্দেশ করে যে এর অভ্যন্তরীণ সিস্টেমে সম্ভবত “অসাধারণ আচরণ শনাক্তকরণ মেকানিজম”ই নেই, এবং “অপারেশনের রেকর্ড” সংরক্ষণও করা হচ্ছে কিনা তা সন্দেহজনক।
2. ক্ষতির পরিসর এখনও অজানা
অক্সিয়মের বিবৃতিতে প্রভাবিত ব্যবহারকারীদের সংখ্যা উল্লেখ করা হয়নি। এটি আরও গভীর উদ্বেগ তৈরি করে: যদি ব্রুক্স বাউয়ার প্রবেশ করতে পারেন, তবে অন্যান্য কর্মচারীরা কি পারবেন? রিপোর্টে উল্লিখিত মডারেটর গাওনো এবং অন্য একজন ব্যবসায়িক বিস্তার কর্মচারী রাইয়ানকে তাঁর অপরাধের সহায়ক হিসেবে উল্লেখ করা হয়েছে, যা এই অনুমতির দুর্ব্যবহারের সম্ভাবনা অপেক্ষাকৃত সহজ বলে ইঙ্গিত করে। যখন একটি সংগঠনের শাসনব্যবস্থা “বিশ্বাস”-এর উপর নির্ভরশীল, “প্রতিষ্ঠান”-এর উপর নয়, তখন অভ্যন্তরীণ দুষ্টুতার প্রান্তিক খরচ অত্যন্ত কম।
অনুমতি কাগজের কাগজ? ওয়েব3-এর ডেটা গভর্ন্যান্সের ব্ল্যাকহোল
এই স্ক্যান্ডালের মূলে আরও গভীরভাবে প্রবেশ করুন। জ্যাক্সএক্সবিটির রিপোর্টে উল্লিখিত ব্যাকএন্ডে অ্যাক্সেসযোগ্য ডেটা মাত্রাগুলি ভয়াবহ: ব্যবহারকারীর পূর্ণাঙ্গ ওয়ালেট তালিকা, ব্যবহারকারী যে ওয়ালেটগুলি ট্র্যাক করছেন, পূর্ণাঙ্গ লেনদেন ইতিহাস, ব্যবহারকারী দ্বারা নিজেরা নির্ধারিত ওয়ালেট নোট, এবং সংযুক্ত অ্যাকাউন্ট—এই তালিকাটি শুধুমাত্র লেনদেনের ডেটা নয়, বরং একজন ব্যবহারকারীর পূর্ণাঙ্গ চেইন-উপরের আচরণের প্যাটার্নকে পুনর্গঠন করতে পারে।
প্রাচীন আর্থিক প্রতিষ্ঠানগুলিতে, এই ধরনের ডেটার প্রবেশাধিকার কঠোরভাবে “সর্বনিম্ন প্রয়োজনীয় তথ্য নীতি” দ্বারা নিয়ন্ত্রিত হয়। যে কোনও কর্মচারী যদি স্পষ্ট ব্যবসায়িক প্রয়োজনীয়তা ছাড়াই গ্রাহকের সংবেদনশীল তথ্যের প্রবেশাধিকার না পায়; সমস্ত প্রবেশ কার্যক্রমের জন্য একটি অডিটযোগ্য অপারেশন লগ রাখা হয়, এবং নিয়মিতভাবে কমপ্লায়েন্স বিভাগ দ্বারা চেক করা হয়। এই পদ্ধতির ডিজাইনের যুক্তি খুবই সহজ: এটি কর্মচারীদের ব্যক্তিগত নৈতিকতার উপর নির্ভর করে না, বরং প্রযুক্তি এবং প্রতিষ্ঠানগত দুটি সীমাবদ্ধতার মাধ্যমে, সমস্যা ঘটার আগেই ক্ষতির সম্ভাবনা কমিয়ে দেয়।
অক্সিয়মের ব্যাকএন্ড স্পষ্টতই এই মানদণ্ড পূরণ করে না। আরও গভীরভাবে চিন্তা করার বিষয় হলো, এই ধরনের সমস্যা Web3 স্টার্টআপগুলিতে একটি বিশেষ ঘটনা নয়। দ্রুত বিস্তৃত দলগুলি প্রায়শই পণ্যের পুনরাবৃত্তির জন্য ইঞ্জিনিয়ারিং সম্পদ কেন্দ্রীভূত করে, আর কমপ্লায়েন্স এবং ডেটা গভর্ন্যান্স আর্কিটেকচারকে পিছনে ঠেলে দেয়, এমনকি “প্রথমে লিস্টিং” বিষয় হিসাবে বিবেচনা করে। তবে, যখন প্ল্যাটফর্মটি Axiom-এর মতো আকারে পৌঁছায়, তখন ব্যাকএন্ড টুলগুলির দ্বারা অ্যাকসেসযোগ্য ডেটার সংবেদনশীলতা পূর্ববর্তী পর্যায়ের চেয়ে অনেক বেশি, কিন্তু সুরক্ষা ব্যবস্থার উন্নয়নটি প্রায়শই স্টার্টআপের পর্যায়েরই মতো অবস্থায় থাকে।
এই কেসটি Web3-এর অনন্য অসঙ্গতি প্রকাশ করে: চেইনের প্রকাশ্যতা চেইনের বাইরের প্রকাশ্যতার সমান নয়। ব্লকচেইন লেনদেনকে “অ্যানোনিমাস প্রকাশ্যতা” প্রদান করে, যেখানে সবাই ঠিকানার প্রবাহ দেখতে পায়, কিন্তু পিছনের ব্যক্তিগত সত্তা চিনতে পারে না; তবে, প্রকৃত ঝুঁকি ঘটে যখন ব্যবহারকারীরা রেজিস্টার করে, ওয়ালেট বাইন্ড করে, এবং মন্তব্য সেট করে: তারা “এই ঠিকানার মালিক আমি” — এই সবচেয়ে গুরুত্বপূর্ণ সম্পর্কটি, প্ল্যাটফর্মের সেন্ট্রালাইজড ডাটাবেসের হাতে সমর্পণ করে।
এর পরে, অজ্ঞাততা ধীরে ধীরে একটি মিথ্যা অনুভূতিতে পরিণত হয়। যখন এই পরিচয়টি আরও বেশি তথ্যের সাথে সংযুক্ত হয়, আরও বেশি লেবেল দেওয়া হয়, বা দুর্ব্যবহারের শিকার হয়, তখন চেইনের স্বচ্ছতা ব্যবহারকারীদের সুরক্ষা দেয় না, বরং হুমকির হাতে সবচেয়ে সূক্ষ্ম সরঞ্জামে পরিণত হয়।
প্রোটোকল স্তরের ডিসেন্ট্রালাইজেশন কখনই কোম্পানির সমান নয়
অক্সিয়মের স্ক্যান্ডালটি শুধু কয়েকজন কর্মচারীর ব্যক্তিগত অনৈতিকতার কথা বলে না। এটি একটি আয়না হিসেবে কাজ করে, যা Web3 শিল্পের দীর্ঘদিনের একটি বড় বিরোধকে প্রকাশ করে—যেখানে প্রোটোকল স্তরের ডিসেন্ট্রালাইজেশন কখনও কোম্পানির পরিচালনা স্তরের ডিসেন্ট্রালাইজেশনের সমান হয় না।
যখন একটি প্ল্যাটফর্মের ব্যবসায়িক কেন্দ্র এখনও কেন্দ্রীয় ব্যাকএন্ড সিস্টেম, মানব গ্রাহক সেবা এবং কর্মচারীদের বিচারের উপর নির্ভর করে, তখন "DeFi" বা "Web3" লেবেলগুলি বেশিরভাগই ফ্রন্টএন্ডের সজ্জা হয়ে ওঠে। ব্যবহারকারীরা স্মার্ট চুক্তির অপরিবর্তনীয়তায় বিশ্বাস করে, কিন্তু তারা ভুলে যায় যে তাদের ব্যক্তিগত তথ্য প্রবেশ করানো এবং ওয়ালেট বাঁধার মুহূর্তে, তারা সবচেয়ে গুরুত্বপূর্ণ তথ্যগুলি একটি সম্পূর্ণ কেন্দ্রীয় সংগঠনকে হস্তান্তর করেছে।
বিশ্বাস কখনই বিনামূল্যে হয় না, যেখানে প্রতিষ্ঠানগুলি পর্যাপ্ত পরিপক্ক নয়, সেখানে বিশ্বাসের খরচ বহন করে সবসময় তথ্যের অসমতা সবচেয়ে বেশি যার।