May-akda: Chloe, ChainCatcher
Ang event na nakatanggap ng pansin ng merkado at nag-akumula ng milyon-milyong dolyar na taya sa Polymarket, na “Sino ang Crypto company na magiging ikinukunwari ng ZachXBT na gumagawa ng insider trading?” ay nagsimula na. Noong Pebrero 26, ang chain detective na si ZachXBT ay naglabas ng opisyal na ulat ng pagsisiyasat at direkta ang kanyang pag-atake sa DeFi trading platform na Axiom Exchange.
Ang mga akusasyon sa ulat ay nagsasabing ang isang matandang empleyado ng platform ay nag-abuso ng kanilang internal na pagsasapilitan, at nagsagawa ng matagal na ilegal na pag-access sa mga pribadong wallet data ng mga user, at ginamit ang mga sensitibong impormasyong ito bilang kasangkapan para sa insider trading. Sasaklawin ng artikulong ito ang ebidensyang ipinakita ni ZachXBT, kapag ang “on-chain transparency” ay hinuli ng “off-chain black box management”.
Ipinakita ni ZachXBT ang scandal ng insider trading sa Axiom Exchange
Nilikha ng mga tagapagtaguyod na si Mist at Cal ang Axiom Exchange, at noong unang bahagi ng 2025, napili ito sa Y Combinator Winter Batch (W25). Sa loob ng isang taon lamang, nakapagbigay ang platform ng kabuuang kita na higit sa $390 milyon. Gayunpaman, sa likod ng mga nakakatutok na data sa pananalapi, isang karanasan na empleyado sa pagpapalawak ng negosyo na si Broox Bauer ay nagiging gumagamit ng mga tool sa back-end ng Axiom bilang kanyang sariling teritoryo.
Ayon sa imbestigasyon ni ZachXBT, hindi nag-iisa si Broox Bauer; itinatag niya ang isang organisadong proseso ng “monetisasyon ng impormasyon”, kung saan ang sentro ay ang internal control dashboard ng Axiom, kung saan maaari ni Broox na i-query ang anumang pribadong impormasyon ng user gamit ang promo code, wallet address, o UID. Sa recording, sinabi ni Broox na kayang niyang “makita ang anumang bagay tungkol sa tao na iyon”, at ang kanyang mga aksyon ay may napakalakas na pag-iingat laban sa paghahanap:
Simulan ang pag-query sa 10 hanggang 20 na wallet upang maiwasan ang pag-trigger ng mga alerto sa sistema.
Hindi random ang mga target na isinara. Halimbawa, isang KOL na si Marcell, na matagal nang bumili ng malaking halaga ng memecoin gamit ang kanyang personal na wallet at nagpapromote ng liquidity exit sa kanyang mga follower, ay naging isang pangunahing obserbado. Ang mga personal na wallet ng mga trader na ito ay kadalasang hindi ipinapakita at may mababang paggamit muli ng address, na nagbibigay ng napakataas na halaga sa arbitrage.
Itinatayo ang organisasyon at mga patakaran, tulad ng pagtutulungan ni Ryan (Ryucio), isang empleyado ng Axiom, sa paghahanap ng impormasyon ng user, pagpapahintulot kay Gowno bilang moderator, at ang pagsasama-sama ng mga pribadong wallet sa Google Sheets para sa pagsubaybay.
Patuloy ang mga paglabag na ito sa loob ng higit sa sampung buwan (nagsimula noong Abril 2025), at ang serye ng ebidensya ay naglalaman ng mga screenshot ng backend management mula sa mga biktima tulad ni “Jerry” at “Monix”. Ang mga dokumentong ito ay nagdulot ng mga tanong: Bakit mayroon ang mga empleyado ng pagpapalawak ng negosyo sa pag-access na lumalampas sa kanilang mga tungkulin? Ang mga inaasahang mekanismo ng pagmamasid at paghihiwalay ng mga pribilehiyo ay tila hindi gumana.
Ang pormal na pagsagot ng Axiom ay hindi pa rin kayang itago ang structural failure sa likod nito
Pagkatapos ng paglabas ng ulat ni ZachXBT, ang opisyal na Axiom ay sumunod sa standard na proseso ng public relations sa panahon ng krisis: naglabas ng pahayag na nagpapahayag ng “pagkabigla at pagkabigo,” sinira ang mga pribilehiyo, at sinimulan ang imbestigasyon. Gayunpaman, hindi pa rin ito nakakatago sa likod na structural na pagkabigo; ipinapakita ng ganitong insidente ang pagkabigo ng platform sa pagkontrol sa mga pribilehiyo, at hindi lamang ang personal na pagkilos ng isang empleyado.
1. Nawawalang audit log
Sa tradisyonal na pampublikong pondo o mga matatag na Web2 tech company, kailangang i-record ang anumang pag-access sa sensitibong data ng user. Kung ang isang empleyado ng pagpapalawak ng negosyo ay maaaring mag-query ng mga wallet address na higit sa isang daan na walang kinalaman sa kanyang negosyo, dapat agad na mag-trigger ang sistema ng babala. Ang sampung buwan na pagkawala ng regulasyon ng Axiom ay nagpapakita na posibleng wala talagang “mekanismo para sa pagdetekta ng anomalous na pag-uugali” sa loob ng sistema nito, at kahit kung may mga “record ng aksyon” ay maaaring isipin.
2. Ang sakop ng mga biktima ay kasalukuyang hindi malinaw
Hindi binanggit sa pahayag ng Axiom ang dami ng mga user na naapektuhan. Ito ay nagdulot ng mas malalim na pag-aalala: kung kayang basahin ni Broox Bauer, ano naman ang ibang empleyado? Ang moderator na si Gowno at ang isa pang empleyado sa pagpapalawak ng negosyo na si Ryan ay tinuring na mga kasamahan sa krimen, na nagpapahiwatig na ang pag-abuso ng pagsasakop ay maaaring madali. Kapag ang pamamahala ng isang organisasyon ay batay sa “pananampalataya” at hindi sa “mga patakaran,” sobrang mababa ang marginal na gastos ng panloob na korupsyon.
Walang bisa ang mga pahintulot? Ang black hole ng paggawa ng pamamahala ng data sa Web3
Suriin nang mas malalim ang core ng skandalo. Ang mga dimensyon ng data na ma-access sa back-end na listahan sa report ni ZachXBT ay nakakatakot: buong listahan ng mga wallet ng user, mga wallet na tinatayong sinusubaybayan ng user, buong kasaysayan ng transaksyon, sariling talaan ng pangalan ng wallet na itinakda ng user, at mga kaugnay na account—ang listahang ito ay higit pa sa mga datos ng transaksyon; ito ay naglalaman ng buong larawan ng mga pattern ng blockchain behavior ng isang user.
Sa tradisyonal na mga institusyong pinansyal, ang pag-access sa mga data na ito ay pinaglalaban ng mahigpit na “prinsipyo ng minimum na kinakailangan.” Walang empleyado ang maaaring makapag-access sa sensitibong impormasyon ng kliyente kung walang malinaw na pangangailangan sa negosyo; ang lahat ng mga aksyon sa pag-access ay dapat na i-record sa mga log na maaaring i-audit, at paminsan-minsan ay sinusuri ng departamento ng pagkakasundo. Ang lohika sa disenyo ng mekanismo na ito ay simpleng: hindi ito nakasalalay sa personal na integridad ng mga empleyado, kundi sa parehong pagpapalakas ng teknolohiya at institusyon upang maliit ang posibilidad ng pinsala bago pa man ito mangyari.
Ang back-end ng Axiom ay malinaw na hindi nakamit ang antas na ito. Mas mahalagang isipin ay ang ganitong uri ng problema ay hindi isang kakaibang kaso sa mga bagong startup sa Web3. Madalas ang mga mabilis na umuunlad na koponan na pinaprioritize ang mga pagpapabuti ng produkto, habang pinapabayaan o itinuturing na “ilagay muna ang token” ang pagbuo ng mga istruktura para sa pagkakasunod at pamamahala ng data. Gayunpaman, kapag umabot na ang platform sa sukat tulad ng Axiom, ang sensitivity ng data na maabot ng mga back-end tool ay naging mas malaki kaysa sa mga unang yugto, samantalang ang mga mekanismo ng pagprotekta ay kadalasan ay nananatili pa sa antas ng pagkakaroon ng isang startup.
Ipakita rin ng kaso na ito ang kakaibang paradox na katangi-tangi sa Web3: ang transparency sa chain ay hindi katumbas ng transparency sa labas ng chain. Binigyan ng blockchain ang mga transaksyon ng “anonymously transparent,” kung saan makikita ng lahat ang daloy ng address, ngunit mahirap masuri ang mga nasa likod nito; gayunpaman, ang totoong panganib ay nangyayari sa sandaling matapos ng user ang pag-rehistro, pagkonekta ng wallet, at pagtatakda ng mga tala: isinuko nila ang pinakamahalagang ugnayan na “ang may-ari ng address na ito ay ako” sa sentralisadong database ng platform.
Pagkatapos nito, ang pagkakakilanlan ay naging isang hallucination. Kapag ang identidad na ito ay nakakonekta sa karagdagang impormasyon, na-labelan ng mas maraming tag, o kaya ay pinagmamalabis, ang transparency sa blockchain ay hindi na nagpaprotekta sa mga user, kundi naging pinakatumpak na kasangkapan sa kamay ng mga tagapag-utos.
Ang decentralization sa protokol ay hindi kailanman katumbas ng isang kumpanya
Ang skandalo ng Axiom ay hindi lamang nagpapakita ng pagkakasala ng ilang empleyado. Ito ay mas tulad ng isang salamin na nagpapakita ng isang malaking kontradiksiyon na mahabang panahon ay iniwasan ng buong industriya ng Web3 sa ilalim ng kuwento ng “decentralization”: ang decentralization sa antas ng protokolo ay hindi kailanman katumbas ng decentralization sa antas ng operasyon ng kumpanya.
Kapag ang pangunahang bahagi ng isang platform ay patuloy na nakasalalay sa sentralisadong back-end system, tao na customer service, at pagpapasya ng mga empleyado, ang label na “DeFi” o “Web3” ay mas mukhang isang dekorasyon sa harap. Naniniwala ang mga user sa immutability ng smart contract, ngunit nakalimutan na sila na sa sandaling ipinapasa nila ang kanilang personal na impormasyon at ikinonekta ang kanilang wallet, ipinagkatiwala na nila ang pinakamahalagang impormasyon sa isang buong sentralisadong organisasyon.
Hindi libre ang tiwala; sa mga lugar kung saan ang mga institusyon ay hindi pa nabubuo, ang palaging nagdudulot ng gastos sa tiwala ay ang bahagi na may pinakamalaking asimetrikong impormasyon.