लेखक: Chloe, ChainCatcher
कुछ दिनों से मार्केट का ध्यान आकर्षित करने वाली और Polymarket पर करोड़ों डॉलर की बेटिंग जुटाने वाली घटना "ZachXBT कौन सी क्रिप्टो कंपनी के आंतरिक व्यापार का खुलासा करेंगे?" अंततः समाप्त हो गई। 26 फरवरी को, चेन-आधारित जांचकर्ता ZachXBT ने अपनी जांच रिपोर्ट जारी करके सीधे DeFi ट्रेडिंग प्लेटफॉर्म Axiom Exchange पर आरोप लगाए।
रिपोर्ट में आरोप लगाया गया है कि इस प्लेटफॉर्म के एक वरिष्ठ कर्मचारी ने आंतरिक प्रबंधन अधिकारों का दुरुपयोग किया, लंबे समय तक उपयोगकर्ताओं के निजी वॉलेट डेटा तक अवैध रूप से पहुंचा, और इन संवेदनशील जानकारियों को आंतरिक सूचना वाले लेन-देन के उपकरण में बदल दिया। यह लेख ZachXBT द्वारा प्रकट किए गए साक्ष्य श्रृंखला का गहन विश्लेषण करेगा, जब "चेन पर पारदर्शिता" को "चेन के बाहर काला बॉक्स प्रबंधन" द्वारा हड़प लिया जाता है।
ZachXBT ने Axiom Exchange के आंतरिक व्यापार के घोटाले का खुलासा किया
Axiom Exchange को संस्थापक Mist और Cal ने मिलकर बनाया है, और इस प्लेटफॉर्म को 2025 की शुरुआत में Y Combinator Winter Batch (W25) में शामिल किया गया। इस प्लेटफॉर्म ने केवल एक वर्ष में 390 मिलियन डॉलर से अधिक की कुल आय प्राप्त की है। हालाँकि, इस उत्कृष्ट वित्तीय आँकड़ों के पीछे, एक अनुभवी व्यापार विस्तार कर्मचारी Broox Bauer, Axiom के बैकएंड टूल्स को अपना निजी शिकार का मैदान बना रहा है।
जैसा कि जैक्सएक्सबीटी ने जांच की है, ब्रूक्स बॉऊर अकेले नहीं थे; उन्होंने एक संगठित "जानकारी कमाई" प्रक्रिया बनाई, जिसका केंद्र एक्सियम का आंतरिक नियंत्रण डैशबोर्ड था, जहां ब्रूक्स किसी भी उपयोगकर्ता की निजी जानकारी को प्रचार कोड, वॉलेट पते या UID के माध्यम से किसी भी समय पूछ सकते थे। ब्रूक्स रिकॉर्डिंग में कहते हैं कि वह "उस व्यक्ति के बारे में कोई भी जानकारी निकाल सकता है", और उनकी कार्रवाई में अत्यधिक विपरीत पता लगाने की क्षमता भी थी:
शुरुआत में केवल 10 से 20 वॉलेट्स की जांच करें, ताकि सिस्टम असामान्य चेतावनी न ट्रिगर हो।
लक्ष्य यादृच्छिक रूप से चुना गया नहीं है। जैसे कि Marcell नाम के एक KOL ने लंबे समय तक अपने निजी वॉलेट से कई मीम कॉइन खरीदे हैं और अब अपने फॉलोअर्स को लिक्विडिटी निकास के लिए प्रोत्साहित कर रहे हैं, जिसके कारण वे एक प्रमुख ट्रैकिंग लक्ष्य बन गए हैं। इस प्रकार के ट्रेडर्स के निजी वॉलेट कम ही सार्वजनिक होते हैं और पते का पुनः उपयोग कम होता है, जिससे इन जानकारियों का आर्बिट्रेज मूल्य अत्यधिक होता है।
एक संगठन और नियम बनाएं, जैसे कि एक्सियम के एक अन्य कर्मचारी रायन (Ryucio) द्वारा उपयोगकर्ता जानकारी ढूंढने में सहायता करना, Gowno को मॉडरेटर के रूप में भर्ती करना, और इन निजी वॉलेट्स को ट्रैक करने के लिए Google Sheets में एकत्रित करना।
ये उल्लंघन दस महीनों से अधिक समय तक जारी रहे (अप्रैल 2025 से शुरू), और इस साक्ष्य श्रृंखला में पीड़ित "जेरी" और "मोनिक्स" आदि के बैकएंड प्रबंधन स्क्रीनशॉट शामिल हैं। ये दस्तावेज प्रश्न भी उठाते हैं: क्यों व्यापार विस्तार कर्मचारियों को कार्यात्मक सीमाओं के पार पहुँच का अधिकार था? जिस निगरानी और पहुँच पृथक्करण की उम्मीद की जानी चाहिए थी, वह स्पष्ट रूप से कार्यन्वयित नहीं हुई।
Axiom की आधिकारिक प्रतिक्रिया, अभी भी पीछे की संरचनात्मक अक्षमता को छिपाने में असमर्थ है
ZachXBT की रिपोर्ट जारी होने के बाद, Axiom ने मानक PR संकट प्रबंधन प्रक्रिया अपनाई: एक बयान जारी करके "आश्चर्य और निराशा" का भाव व्यक्त किया, प्रवेश अधिकार रद्द किए और जांच शुरू की। हालाँकि, यह पीछे की संरचनात्मक असमर्थता को छिपाने में असमर्थ रहा, जिससे पता चलता है कि ऐसी घटनाएँ केवल एकल कर्मचारी के व्यक्तिगत कार्य के बजाय प्लेटफॉर्म के प्रवेश नियंत्रण में विफलता को उजागर करती हैं।
1. अनुपलब्ध ऑडिट लॉग
पारंपरिक वित्त या परिपक्व Web2 टेक कंपनियों में, किसी भी उपयोगकर्ता के संवेदनशील डेटा तक पहुंचने की क्रिया का लॉग रखा जाना चाहिए। यदि एक व्यापार विस्तार कर्मचारी अपने व्यापार से असंबंधित सैकड़ों वॉलेट पतों का पार-कार्यात्मक रूप से पूछताछ कर सकता है, तो प्रणाली को तुरंत चेतावनी ट्रिगर करनी चाहिए। Axiom की दस महीने की नियामक रिक्तता से पता चलता है कि उसकी आंतरिक प्रणाली में संभवतः “असामान्य व्यवहार पता लगाने की मैकेनिज्म” ही मौजूद नहीं है, और “ऑपरेशन रिकॉर्ड” को संग्रहित किया जा रहा है या नहीं, यह संदेह का विषय है।
2. क्षति का पैमाना अभी तक अज्ञात है
Axiom के बयान में प्रभावित उपयोगकर्ताओं के पैमाने का उल्लेख नहीं किया गया है। इससे गहरी चिंता उठती है: यदि Broox Bauer के पास ऐसी जानकारी तक पहुँच थी, तो अन्य कर्मचारियों के पास भी ऐसी पहुँच थी? रिपोर्ट में उल्लिखित मॉडरेटर Gowno और एक अन्य व्यापार विस्तार कर्मचारी Ryan को उनके अपराध के सहयोगी के रूप में दर्शाया गया है, जिससे यह संकेत मिलता है कि इस प्रकार की अधिकारों का दुरुपयोग सापेक्ष रूप से सरल हो सकता है। जब किसी संगठन की शासन प्रणाली "विश्वास" पर आधारित होती है, तो "संस्थागत" प्रणाली के बजाय, आंतरिक भ्रष्टाचार की सीमांत लागत बहुत कम होती है।
अधिकार बेकार? Web3 का डेटा शासन का ब्लैक होल
इस घोटाले के केंद्र की गहराई से जांच करें। जैक्सएक्सबीटी की रिपोर्ट में सूचीबद्ध पृष्ठभूमि तक पहुंचने योग्य डेटा आयाम चौंका देने वाले हैं: उपयोगकर्ता के पूर्ण वॉलेट सूची, उपयोगकर्ता द्वारा ट्रैक किए जा रहे वॉलेट, पूर्ण लेनदेन इतिहास, उपयोगकर्ता द्वारा स्वयं निर्धारित वॉलेट टिप्पणी नाम, और संबंधित खाते, यह सूची केवल लेनदेन डेटा तक ही सीमित नहीं है, बल्कि एक उपयोगकर्ता के पूर्ण ऑन-चेन व्यवहार पैटर्न को पुनः बनाने के लिए पर्याप्त है।
पारंपरिक वित्तीय संस्थानों में, इस प्रकार के डेटा तक पहुंच को "न्यूनतम आवश्यकता सिद्धांत" के कठोर नियमों द्वारा नियंत्रित किया जाता है। कोई भी कर्मचारी बिना स्पष्ट व्यावसायिक आवश्यकता के ग्राहक के संवेदनशील डेटा तक पहुंच नहीं सकता; सभी पहुंच क्रियाएं एक ऑडिट के लिए उपलब्ध ऑपरेशन लॉग में रिकॉर्ड की जाती हैं, और नियमन विभाग द्वारा नियमित रूप से जांच की जाती हैं। इस तंत्र के डिज़ाइन का तर्क सरल है: यह कर्मचारियों के व्यक्तिगत नैतिकता पर निर्भर नहीं करता, बल्कि समस्या होने से पहले ही, प्रौद्योगिकी और प्रणाली के दोहरे प्रतिबंधों के माध्यम से क्षति के स्थान को सीमित करता है।
एक्सियम के बैकएंड स्पष्ट रूप से इस मानक को पूरा नहीं कर रहा है। इससे अधिक गहराई से सोचने की बात है कि ऐसी समस्याएँ Web3 स्टार्टअप्स में अकेली नहीं हैं। तेजी से विस्तार कर रही टीमें अक्सर इंजीनियरिंग संसाधनों को उत्पाद अपडेट पर केंद्रित करती हैं, जबकि पालन और डेटा गवर्नेंस ढांचे के निर्माण को पीछे छोड़ दिया जाता है, यहाँ तक कि "पहले लिस्टिंग, बाद में कॉम्प्लायंस" के रूप में माना जाता है। हालाँकि, जब मंच का आकार एक्सियम जितना हो जाता है, तो बैकएंड टूल्स द्वारा स्पर्श किए जाने वाले डेटा की संवेदनशीलता पहले की तुलना में कहीं अधिक हो जाती है, जबकि सुरक्षा तंत्र का विकास अक्सर स्टार्टअप स्तर पर ही रुका रहता है।
यह मामला Web3 के अनूठे विरोधाभास को भी उजागर करता है: ब्लॉकचेन पर पारदर्शिता, ब्लॉकचेन के बाहर की पारदर्शिता के समान नहीं होती। ब्लॉकचेन लेनदेन को "एनोनिमस पारदर्शिता" प्रदान करता है, जिससे सभी पतों के प्रवाह को देख सकते हैं, लेकिन पीछे के संस्थान को समझना मुश्किल होता है; हालाँकि, वास्तविक जोखिम उस क्षण में होता है जब उपयोगकर्ता पंजीकरण पूरा करते हैं, अपनी वॉलेट को जोड़ते हैं और टिप्पणी सेट करते हैं: वे "इस पते का मालिक मैं हूँ" यह सबसे महत्वपूर्ण संबंध, प्लेटफ़ॉर्म के केंद्रीकृत डेटाबेस को सौंप देते हैं।
इसके बाद, अनामिकता धीरे-धीरे एक भ्रम बन गई। जब यह पहचान अधिक जानकारी से जुड़ गई, अधिक टैग लगाए गए, या दुरुपयोग किया गया, तो ब्लॉकचेन पर पारदर्शिता अब उपयोगकर्ताओं की सुरक्षा नहीं करती, बल्कि आक्रमणकारियों के हाथों में सबसे सटीक उपकरण बन गई।
प्रोटोकॉल स्तर की डिसेंट्रलाइजेशन, कभी भी कंपनी के समान नहीं होती
एक्सियम के स्कैंडल ने केवल कुछ कर्मचारियों के व्यक्तिगत अनैतिकता को ही नहीं उजागर किया। यह एक ऐसा दर्पण है जो Web3 उद्योग के लंबे समय से बचे जा रहे एक बड़े विरोधाभास को दर्शाता है: प्रोटोकॉल स्तर की डिसेंट्रलाइजेशन, कभी भी कंपनी संचालन स्तर की डिसेंट्रलाइजेशन के समान नहीं होती।
जब किसी प्लेटफॉर्म का व्यापारिक केंद्र अभी भी केंद्रीकृत बैकएंड सिस्टम, मानव सहायता और कर्मचारियों के निर्णय पर निर्भर है, तो "DeFi" या "Web3" का लेबल अधिकतर फ्रंटएंड की सजावट की तरह होता है। उपयोगकर्ता स्मार्ट कॉन्ट्रैक्ट्स की अपरिवर्तनीयता पर विश्वास करते हैं, लेकिन अपनी व्यक्तिगत जानकारी दर्ज करने और वॉलेट को जोड़ने के क्षण में, वे सबसे महत्वपूर्ण जानकारी को एक पूरी तरह से केंद्रीकृत संगठन को सौंप देते हैं।
विश्वास कभी मुफ्त नहीं होता, और जहाँ संस्थाएँ अपरिपक्व होती हैं, विश्वास की लागत को हमेशा सूचना के सबसे असमान वाला पक्ष वहन करता है।