Inicio
Noticias
Detalles

ZachXBT expone el supuesto escándalo de trading interno de Axiom Exchange

iconChaincatcher
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumen

expand icon
ZachXBT ha expuesto una posible violación de seguridad en Axiom Exchange, acusando al empleado senior Broox Bauer de operaciones de insider trading. El informe afirma que Bauer utilizó herramientas internas para acceder a los datos de los monederos de los usuarios durante más de diez meses, lo que le permitió realizar operaciones de arbitraje. Axiom emitió una respuesta genérica, sin abordar directamente esta noticia sobre el exchange. El incidente plantea preocupaciones sobre la gobernanza y la seguridad de los datos en plataformas DeFi.

Autor: Chloe, ChainCatcher

El evento que ha atraído la atención del mercado y ha acumulado decenas de millones de dólares en apuestas en Polymarket, “¿Qué empresa de cripto revelará ZachXBT como involucrada en operaciones de insider trading?”, finalmente ha llegado a su fin. El 26 de febrero, el investigador blockchain ZachXBT publicó oficialmente su informe de investigación, apuntando directamente a la plataforma DeFi Axiom Exchange.

El informe acusa a un empleado senior de la plataforma de abusar de sus privilegios de gestión interna, accediendo ilegalmente durante mucho tiempo a los datos de billeteras privadas de los usuarios y convirtiendo esta información sensible en una herramienta para operaciones con información privilegiada. Este artículo analizará en profundidad la cadena de evidencia revelada por ZachXBT, cuando la “transparencia en la cadena” es secuestrada por la “gestión en negro fuera de la cadena”.

ZachXBT expone el escándalo de trading interno en Axiom Exchange

Axiom Exchange fue creada por los fundadores Mist y Cal y fue seleccionada en el lote de invierno de Y Combinator (W25) a principios de 2025. La plataforma logró unos ingresos acumulados superiores a 390 millones de dólares en solo un año. Sin embargo, detrás de estos impresionantes datos financieros, un empleado experimentado de desarrollo de negocios llamado Broox Bauer está convirtiendo las herramientas internas de Axiom en su propio coto privado.

Según la investigación de ZachXBT, Broox Bauer no actuó solo; estableció un proceso organizado de “monetización de información”, cuyo núcleo era el panel de control interno de Axiom, mediante el cual Broox podía consultar libremente la información privada de cualquier usuario mediante códigos de promoción, direcciones de billetera o UID. Broox declaró en la grabación que podía “encontrar cualquier cosa sobre esa persona”, y sus operaciones también demostraban una fuerte conciencia anti-detección:

  1. Inicialmente, consulte solo 10 a 20 billeteras para evitar activar alertas anómalas del sistema.

  2. El objetivo no se selecciona al azar. Por ejemplo, un KOL llamado Marcell, que ha comprado grandes cantidades de memecoins durante mucho tiempo con su billetera privada y ahora promueve la salida de liquidez a sus seguidores, se ha convertido en un objetivo de seguimiento prioritario. Las billeteras privadas de este tipo de operadores rara vez se hacen públicas y tienen una baja tasa de reutilización de direcciones, lo que otorga a esta información un alto valor de arbitraje.

  3. Establecer una organización y reglas, como otro empleado de Axiom, Ryan (Ryucio), que ayudó a buscar información de usuarios, contratar a Gowno como moderador y consolidar estas billeteras privadas en una hoja de cálculo de Google para su seguimiento.

Estas violaciones persistieron durante más de diez meses (desde abril de 2025), y la cadena de evidencia incluye capturas de pantalla del panel de administración de la víctima "Jerry" y otras personas como "Monix". Estos documentos también generan preguntas: ¿por qué los empleados de desarrollo de negocios tienen acceso transversal a funciones? Las alertas de monitoreo y la separación de permisos que deberían existir claramente no funcionaron.

La respuesta oficial de Axiom aún no puede ocultar la incapacidad estructural detrás de ella

Tras la publicación del informe de ZachXBT, Axiom siguió un procedimiento estándar de gestión de crisis de relaciones públicas: emitió un comunicado expresando “sorpresa y decepción”, revocó los permisos e inició una investigación. Sin embargo, esto aún no puede ocultar la falla estructural subyacente; este tipo de eventos revela una pérdida de control sobre los permisos en la plataforma, más allá de simplemente un comportamiento individual de un solo empleado.

1. Registros de auditoría faltantes

En finanzas tradicionales o empresas tecnológicas maduras de Web2, cualquier operación que acceda a datos sensibles del usuario debe dejar un registro. Si un empleado de desarrollo comercial puede consultar transversalmente cientos de direcciones de billetera no relacionadas con su negocio, el sistema debería activar una alerta inmediatamente. El vacío regulatorio de diez meses de Axiom sugiere que su sistema interno probablemente no cuenta con un mecanismo de detección de comportamientos anómalos, e incluso pone en duda si se conservan "registros de operaciones".

2. El alcance de las víctimas aún no es claro

El comunicado de Axiom no menciona el número de usuarios afectados. Esto genera preocupaciones más profundas: si Broox Bauer pudo acceder, ¿qué pasa con otros empleados? El informe menciona que el moderador Gowno y otro empleado de desarrollo comercial, Ryan, fueron cómplices en los delitos, lo que sugiere que este abuso de permisos podría haber sido relativamente fácil. Cuando la estructura de gobernanza de una organización se basa en la "confianza" en lugar de en "instituciones", el costo marginal de la corrupción interna es extremadamente bajo.

¿Permisos sin sentido? El agujero negro de gobernanza de datos en Web3

Examine más de cerca el núcleo de este escándalo. Los dimensiones de datos accesibles por el backend listadas en el informe de ZachXBT son alarmantes: lista completa de billeteras de usuarios, billeteras que los usuarios están rastreando, historial completo de transacciones, nombres de billeteras definidos por los usuarios y cuentas asociadas; esta lista abarca no solo datos de transacciones, sino todo lo necesario para reconstruir el patrón completo del comportamiento en cadena de un usuario.

En las instituciones financieras tradicionales, el acceso a este tipo de datos está sujeto a estrictas restricciones del principio de “mínima necesidad”. Cualquier empleado no puede acceder a información sensible del cliente sin una necesidad comercial clara; todos los accesos deben dejar un registro de operaciones auditables y están sujetos a revisiones periódicas por parte del departamento de cumplimiento. La lógica detrás de este mecanismo es sencilla: no depende del nivel ético personal de los empleados, sino que reduce el espacio de daño antes de que ocurran problemas mediante restricciones técnicas y normativas.

El backend de Axiom claramente no cumple con este estándar. Más preocupante aún es que este tipo de problemas no son aislados en las startups de Web3. Los equipos en rápido crecimiento suelen concentrar los recursos de ingeniería en la iteración del producto, posponiendo o incluso considerando como secundario el desarrollo de estructuras de cumplimiento y gobernanza de datos. Sin embargo, una vez que la plataforma alcanza una escala como la de Axiom, la sensibilidad de los datos accesibles mediante las herramientas de backend ya supera con creces la de las etapas iniciales, mientras que los mecanismos de protección a menudo siguen estancados en el nivel de una startup.

Este caso también revela la paradoja absurda propia de Web3: la transparencia en la cadena no equivale a la transparencia fuera de la cadena. La blockchain otorga una "transparencia anónima" a las transacciones: todos pueden ver el flujo de direcciones, pero es difícil discernir las entidades detrás de ellas; sin embargo, el verdadero riesgo ocurre en el momento en que el usuario completa el registro, vincula su billetera y establece una nota: entrega a la base de datos centralizada de la plataforma la correspondencia más crítica: "el propietario de esta dirección soy yo".

Después de esto, el anonimato se convirtió gradualmente en una ilusión. Una vez que esta identidad se vinculó con más información, se le asignaron más etiquetas e incluso se abusó de ella, la transparencia en la cadena ya no protegió a los usuarios, sino que se convirtió en la herramienta más precisa en manos de los agresores.

La descentralización a nivel de protocolo nunca es equivalente a una empresa

El escándalo de Axiom no solo revela el comportamiento inadecuado de algunos empleados. Es más bien un espejo que refleja una contradicción importante que la industria Web3 ha evitado durante mucho tiempo bajo la narrativa de "descentralización": la descentralización en el nivel del protocolo nunca equivale a la descentralización en la operación de la empresa.

Cuando el núcleo de los negocios de una plataforma aún depende de sistemas centrales de fondo, servicio al cliente humano y juicio de empleados, las etiquetas de "DeFi" o "Web3" parecen más bien un adorno frontal. Los usuarios confían en la inmutabilidad de los contratos inteligentes, pero olvidan que en el momento en que ingresan su información personal y vinculan su billetera, ya han entregado la información más crítica a una organización completamente centralizada.

La confianza nunca es gratuita; en lugares donde las instituciones aún no están maduras, quien siempre asume el costo de la confianza es la parte con la mayor asimetría de información.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.