Accueil
Actualités
Détails

ZachXBT dévoile l'allégue scandale de trading intérieur de la plateforme d'échange Axiom

iconChaincatcher
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
ZachXBT a révélé une possible violation de sécurité sur la plateforme d'échange Axiom Exchange, accusant l'employé senior Broox Bauer de manipulation interne. Le rapport affirme que Bauer a utilisé des outils internes pour accéder aux données des wallets des utilisateurs pendant plus de dix mois, ce qui lui a permis d'effectuer des opérations d'arbitrage. Axiom a publié une réponse générique, sans aborder directement cette actualité liée à la plateforme d'échange crypto. L'événement soulève des préoccupations concernant la gouvernance et la sécurité des données sur les plateformes DeFi.

Auteur : Chloe, ChainCatcher

L'événement qui a attiré l'attention du marché et a accumulé des dizaines de millions de dollars de paris sur Polymarket, « Quelle entreprise de crypto ZachXBT dénoncera pour manipulation interne ? », est enfin terminé. Le 26 février, le détective chainon ZachXBT a publié officiellement son rapport d'enquête, pointant du doigt la plateforme d'échange DeFi Axiom Exchange.

Le rapport accuse un employé expérimenté de la plateforme d'avoir abusé de ses droits d'accès internes pour accéder illégalement à long terme aux données des portefeuilles privés des utilisateurs et d'avoir transformé ces informations sensibles en outil de trading d'informations privilégiées. Cet article analysera en profondeur la chaîne de preuves révélée par ZachXBT, lorsque la « transparence sur chaîne » est prise en otage par une « gestion opaque hors chaîne ».

ZachXBT dévoile le scandale d'initiés de Axiom Exchange

Axiom Exchange, créée par les fondateurs Mist et Cal, a été sélectionnée en début d'année 2025 pour la cohorte Winter de Y Combinator (W25). En seulement un an, la plateforme a généré un chiffre d'affaires cumulé dépassant 390 millions de dollars. Toutefois, derrière ces chiffres financiers impressionnants, un employé chevronné en développement commercial, Broox Bauer, transforme les outils internes d'Axiom en terrain de chasse personnel.

Selon l'enquête de ZachXBT, Broox Bauer n'agit pas seul ; il a mis en place un processus organisé de monétisation des informations, dont le cœur est le tableau de bord de contrôle interne d'Axiom, permettant à Broox de consulter librement les informations privées de tout utilisateur via des codes de parrainage, des adresses de portefeuille ou des UID. Dans l'enregistrement, Broox déclare qu'il peut « trouver n'importe quoi sur cette personne », et ses actions présentent une forte conscience anti-détection :

  1. Au départ, interrogez uniquement 10 à 20 portefeuilles pour éviter de déclencher des alertes anormales du système.

  2. Les cibles verrouillées ne sont pas choisies au hasard. Par exemple, un KOL nommé Marcell, qui a acheté à long terme de grandes quantités de memecoins via son portefeuille privé et qui incite ses abonnés à effectuer un retrait de liquidité, est devenu une cible de suivi prioritaire. Les portefeuilles privés de ce type d'opérateurs sont rarement rendus publics et présentent un faible taux de réutilisation d'adresses, ce qui confère à ces informations une valeur d'arbitrage très élevée.

  3. Établir une organisation et des règles, comme un autre employé d’Axiom, Ryan (Ryucio), qui aide à rechercher des informations utilisateur, embauche Gowno en tant que modérateur, et regroupe ces portefeuilles privés dans un Google Sheets pour suivi.

Ces violations ont duré plus de dix mois (démarrant en avril 2025), et la chaîne de preuves inclut des captures d'écran de l'interface d'administration de la victime « Jerry » et d'autres personnes telles que « Monix ». Ces documents soulèvent également des questions : pourquoi les employés du développement commercial disposaient-ils d'un accès transversal aux fonctions ? Les mécanismes de surveillance et d'isolement des droits, qui devaient exister, n'ont visiblement pas fonctionné.

La réponse officielle d'Axiom ne peut toujours pas masquer les dysfonctionnements structurels sous-jacents

Après la publication du rapport de ZachXBT, Axiom a suivi une procédure standard de gestion de crise de relations publiques : publier une déclaration exprimant « la surprise et la déception », révoquer les autorisations et lancer une enquête. Toutefois, cela ne peut toujours pas masquer les défaillances structurelles sous-jacentes ; ce type d'événement révèle une perte de contrôle des autorisations sur la plateforme, et non simplement un comportement individuel d'un seul employé.

1. Journaux d'audit manquants

Dans les institutions financières traditionnelles ou les entreprises technologiques matures du Web2, toute opération d'accès aux données sensibles des utilisateurs doit laisser une trace dans les journaux. Si un employé chargé du développement commercial peut interroger à travers des fonctions des centaines d'adresses de portefeuilles non liées à son activité, le système devrait déclencher une alerte immédiatement. Le vide réglementaire de dix mois chez Axiom suggère que ses systèmes internes pourraient ne pas disposer du tout d'un mécanisme de détection des comportements anormaux, et même la conservation de « journaux d'opérations » est mise en doute.

2. L'étendue des dommages n'est pas encore connue

La déclaration d'Axiom ne mentionne pas l'ampleur des utilisateurs affectés. Cela soulève des préoccupations plus profondes : si Broox Bauer a pu accéder à ces informations, qu'en est-il des autres employés ? Le modérateur Gowno et un autre employé chargé du développement commercial, Ryan, sont cités dans le rapport comme complices de l'acte, ce qui suggère que cet abus de pouvoir pourrait être relativement facile. Lorsqu'une organisation repose sur la « confiance » plutôt que sur des « institutions », le coût marginal de la corruption interne est extrêmement faible.

Droits sans effet ? Le trou noir de la gouvernance des données dans le Web3

Examinez plus en détail le cœur de cette affaire. Les dimensions des données accessibles en arrière-plan listées dans le rapport de ZachXBT sont choquantes : liste complète des portefeuilles des utilisateurs, portefeuilles suivis par les utilisateurs, historique complet des transactions, noms de portefeuilles personnalisés définis par les utilisateurs, et comptes associés — cette liste couvre bien plus que des données de transaction ; elle permet de reconstituer l’ensemble du comportement en chaîne d’un utilisateur.

Dans les institutions financières traditionnelles, l'accès à ces données est soumis à la stricte règle du « principe du minimum nécessaire ». Aucun employé ne peut accéder aux informations sensibles des clients sans une nécessité commerciale explicite ; tous les accès doivent faire l'objet d'un journal d'opérations auditables et faire l'objet de contrôles aléatoires réguliers par le département de conformité. La logique de conception de ce mécanisme est simple : il ne repose pas sur le niveau moral des employés, mais sur des contraintes techniques et institutionnelles visant à réduire les risques avant qu'un problème ne survienne.

L'interface d'arrière-plan d'Axiom ne répond visiblement pas à ce standard. Ce qui est plus préoccupant, c'est que ce type de problème n'est pas isolé dans les startups Web3. Les équipes en croissance rapide concentrent souvent leurs ressources techniques sur l'itération du produit, tandis que la construction d'architectures de conformité et de gouvernance des données est reportée, voire considérée comme une question secondaire : « On liste d'abord, on régule après ». Toutefois, une fois qu'une plateforme atteint une taille comme celle d'Axiom, la sensibilité des données accessibles via les outils d'arrière-plan dépasse largement les niveaux des débuts, tandis que les mécanismes de protection restent souvent au stade des débuts de la startup.

Ce cas illustre également le paradoxe absurde propre à Web3 : la transparence sur la chaîne ne signifie pas du tout la transparence hors chaîne. La blockchain offre une « transparence anonyme » aux transactions : tout le monde peut voir les flux d'adresses, mais il est difficile d'identifier les entités derrière celles-ci. Pourtant, le véritable risque survient au moment où l'utilisateur termine son inscription, relie son portefeuille et définit des notes : il confie à la base de données centralisée de la plateforme la correspondance la plus cruciale — « le propriétaire de cette adresse, c'est moi ».

Après cela, l'anonymat est devenu une illusion. Dès que cette identité est liée à davantage d'informations, étiquetée plus précisément, voire abusive, la transparence sur la chaîne ne protège plus les utilisateurs, mais devient l'outil le plus précis entre les mains des auteurs de dommages.

La décentralisation au niveau du protocole n'est jamais équivalente à une entreprise

Le scandale d’Axiom révèle bien plus que des fautes individuelles de quelques employés. Il agit comme un miroir, reflétant une contradiction majeure longtemps évitée par l’ensemble de l’industrie Web3 sous le récit de « décentralisation » : la décentralisation au niveau du protocole ne signifie jamais une décentralisation au niveau de l’exploitation de l’entreprise.

Lorsque le cœur des activités d’une plateforme repose toujours sur des systèmes d’arrière-plan centralisés, un service client humain et des jugements d’employés, les étiquettes « DeFi » ou « Web3 » ressemblent davantage à un décor de surface. Les utilisateurs croient en l’immuabilité des contrats intelligents, mais oublient qu’à l’instant même où ils saisissent leurs informations personnelles et lient leur portefeuille, ils remettent les informations les plus critiques à une organisation entièrement centralisée.

La confiance n'est jamais gratuite ; dans les endroits où les institutions ne sont pas encore matures, celui qui assume le coût de la confiance est toujours la partie la plus désavantagée en termes d'information.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.