Beranda
Berita
Detail

ZachXBT Mengekspos Dugaan Skandal Perdagangan Dalam Negeri Axiom Exchange

iconChaincatcher
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
ZachXBT telah mengungkap potensi peretasan bursa di Axiom Exchange, dengan menduga adanya perdagangan dalam oleh karyawan senior Broox Bauer. Laporan tersebut menyatakan bahwa Bauer menggunakan alat internal untuk mengakses data dompet pengguna selama lebih dari sepuluh bulan, memungkinkan perdagangan arbitrase. Axiom merespons dengan pernyataan umum, gagal menanggapi berita bursa kripto secara langsung. Insiden ini menimbulkan kekhawatiran tentang tata kelola dan keamanan data di platform DeFi.

Penulis: Chloe, ChainCatcher

Peristiwa yang menarik perhatian pasar dan mengumpulkan jutaan dolar AS dalam taruhan di Polymarket, "Apa perusahaan Crypto yang akan diungkap oleh ZachXBT karena melakukan perdagangan dalam negeri?", akhirnya berakhir. Pada 26 Februari, detektif rantai blok ZachXBT secara resmi merilis laporan investigasi, menuding platform perdagangan DeFi, Axiom Exchange.

Laporan tersebut menuduh karyawan senior platform tersebut menyalahgunakan wewenang manajemen internal, secara ilegal mengakses data dompet pribadi pengguna dalam jangka panjang, dan mengubah informasi sensitif ini menjadi alat untuk perdagangan berdasarkan informasi internal. Artikel ini akan menganalisis secara mendalam rantai bukti yang diungkap oleh ZachXBT, ketika "transparansi on-chain" disandera oleh "manajemen black box off-chain".

ZachXBT mengungkap skandal insider trading di Axiom Exchange

Axiom Exchange dibangun oleh pendiri Mist dan Cal, dan pada awal 2025 terpilih sebagai bagian dari Y Combinator Winter Batch (W25). Dalam waktu satu tahun saja, platform ini mencatatkan pendapatan kumulatif lebih dari 390 juta dolar AS. Namun, di balik data keuangan yang gemilang, seorang karyawan pengembangan bisnis senior bernama Broox Bauer sedang mengubah alat backend Axiom menjadi lahan berburu pribadinya.

Menurut penyelidikan ZachXBT, Broox Bauer tidak bekerja sendirian; ia membangun proses terorganisasi untuk "menguangkan informasi," dengan intinya adalah dashboard kontrol internal Axiom, yang memungkinkan Broox secara sewenang-wenang mengakses informasi pribadi pengguna melalui kode promosi, alamat dompet, atau UID. Broox menyatakan dalam rekaman bahwa ia dapat "menemukan apa pun tentang orang tersebut," dan operasinya juga menunjukkan kesadaran anti-pendeteksian yang sangat kuat:

  1. Awalnya hanya periksa 10 hingga 20 dompet, hindari memicu alarm anomali sistem.

  2. Target yang dikunci tidak dipilih secara acak. Seorang KOL bernama Marcell, yang telah lama membeli sejumlah besar memecoin melalui dompet pribadi dan mendorong pengikutnya untuk melakukan exit liquidity, menjadi fokus utama pelacakan. Dompet pribadi para trader semacam ini jarang dipublikasikan dan memiliki tingkat penggunaan ulang alamat yang rendah, sehingga informasi ini memiliki nilai arbitrase yang sangat tinggi.

  3. Membangun organisasi dan aturan, seperti karyawan Axiom lainnya, Ryan (Ryucio), membantu mencari informasi pengguna, merekrut Gowno sebagai moderator, dan mengumpulkan dompet pribadi tersebut ke dalam Google Sheets untuk dilacak.

Pelanggaran ini berlangsung lebih dari sepuluh bulan (dimulai pada April 2025), dan rangkaian bukti mencakup tangkapan layar manajemen latar belakang dari korban seperti "Jerry" dan "Monix". Informasi ini juga memicu pertanyaan: mengapa karyawan pengembangan bisnis memiliki akses lintas fungsi? Pengawasan dan pemisahan wewenang yang seharusnya ada jelas tidak berfungsi.

Axiom meresmi merespons, tetap tidak bisa menyembunyikan kegagalan struktural di baliknya

Setelah laporan ZachXBT dirilis, pihak resmi Axiom mengikuti prosedur standar penanganan krisis publik: mengeluarkan pernyataan yang menyatakan "terkejut dan kecewa", mencabut izin, dan memulai investigasi. Namun, ini tetap tidak dapat menyembunyikan kegagalan struktural di baliknya; peristiwa semacam ini mengungkap kegagalan platform dalam pengendalian izin, bukan hanya tindakan individu dari satu karyawan.

1. Log audit yang hilang

Dalam keuangan tradisional atau perusahaan teknologi Web2 yang matang, setiap operasi yang mengakses data sensitif pengguna harus meninggalkan log. Jika seorang karyawan pengembangan bisnis dapat mengakses secara lintas fungsi ratusan alamat dompet yang tidak terkait dengan bisnisnya, sistem seharusnya segera memicu peringatan. Sepuluh bulan kekosongan regulasi Axiom menunjukkan bahwa sistem internalnya mungkin sama sekali tidak memiliki "mekanisme deteksi perilaku anomali", bahkan keberadaan "rekam operasi" pun diragukan.

2. Lingkup korban hingga kini belum diketahui

Pernyataan Axiom tidak menyebutkan skala pengguna yang terdampak. Hal ini memicu kekhawatiran yang lebih dalam: jika Broox Bauer dapat mengaksesnya, bagaimana dengan karyawan lainnya? Laporan menyebutkan bahwa moderator Gowno dan seorang karyawan pengembangan bisnis lainnya, Ryan, adalah rekan dalam tindakan kriminalnya, yang mengindikasikan bahwa penyalahgunaan wewenang ini mungkin relatif mudah terjadi. Ketika struktur tata kelola suatu organisasi didasarkan pada "kepercayaan" bukan "institusi", biaya marjinal korupsi internal sangat rendah.

Hak akses tak berarti? Lubang hitam tata kelola data Web3

Teliti lebih dalam inti skandal ini. Dimensi data yang dapat diakses oleh latar belakang yang tercantum dalam laporan ZachXBT sangat mengejutkan: daftar lengkap dompet pengguna, dompet yang sedang dilacak oleh pengguna, riwayat transaksi lengkap, nama catatan dompet yang ditetapkan sendiri oleh pengguna, serta akun terkait—daftar ini mencakup tidak hanya data transaksi, tetapi seluruh gambaran perilaku on-chain pengguna yang dapat direkonstruksi.

Di lembaga keuangan tradisional, akses terhadap data semacam ini dibatasi oleh prinsip "minimum necessary information" yang ketat. Setiap karyawan tidak diperbolehkan mengakses informasi sensitif pelanggan kecuali ada kebutuhan bisnis yang jelas; semua tindakan akses harus mencatat log operasi yang dapat diaudit, dan secara berkala diperiksa oleh departemen kepatuhan. Logika desain mekanisme ini sederhana: ia tidak bergantung pada tingkat moral pribadi karyawan, tetapi mengurangi ruang kerusakan sebelum masalah terjadi melalui pembatasan ganda dari teknologi dan sistem.

Sistem backend Axiom jelas belum mencapai standar ini. Lebih penting lagi, masalah semacam ini bukanlah kasus tunggal di kalangan startup Web3. Tim yang berkembang pesat sering kali mengalokasikan sumber daya teknis secara fokus pada iterasi produk, sementara pembangunan arsitektur kepatuhan dan tata kelola data ditunda, bahkan dianggap sebagai isu “list dulu, baru urus kepatuhan.” Namun, ketika platform mencapai skala sebesar Axiom, sensitivitas data yang dapat diakses oleh alat backend jauh melebihi tahap awal, sementara mekanisme perlindungan sering kali masih berada pada tingkat startup.

Kasus ini juga mengungkap paradoks absurd yang khas Web3: transparansi di rantai tidak sama dengan transparansi di luar rantai. Blockchain memberikan "transparansi anonim" pada transaksi, di mana semua orang dapat melihat alur alamat, tetapi sulit mengungkap entitas di baliknya; namun, risiko sejati terjadi pada saat pengguna menyelesaikan pendaftaran, menghubungkan dompet, dan menetapkan catatan: mereka menyerahkan korespondensi paling krusial—“pemilik alamat ini adalah saya”—ke database terpusat platform.

Setelah itu, anonimitas perlahan berubah menjadi ilusi. Begitu identitas ini dikaitkan dengan informasi lebih lanjut, diberi lebih banyak label, bahkan disalahgunakan, transparansi di blockchain tidak lagi melindungi pengguna, melainkan menjadi alat paling akurat di tangan pelaku.

Desentralisasi pada tingkat protokol tidak pernah setara dengan perusahaan

Skandal Axiom tidak hanya mengungkapkan pelanggaran pribadi beberapa karyawan. Ia lebih seperti cermin yang memperlihatkan kontradiksi besar yang telah lama dihindari oleh seluruh industri Web3 di bawah narasi "desentralisasi": desentralisasi pada tingkat protokol tidak pernah setara dengan desentralisasi pada tingkat operasi perusahaan.

Ketika inti bisnis sebuah platform masih bergantung pada sistem backend terpusat, layanan pelanggan manusia, dan penilaian karyawan, label "DeFi" atau "Web3" lebih mirip hiasan frontend. Pengguna percaya pada ketidakdapatubahan kontrak pintar, tetapi lupa bahwa pada saat mereka memasukkan informasi pribadi dan menghubungkan dompet, mereka telah menyerahkan informasi paling kritis kepada organisasi yang sepenuhnya terpusat.

Kepercayaan tidak pernah gratis; di tempat-tempat di mana sistem belum matang, pihak yang selalu menanggung biaya kepercayaan adalah pihak dengan ketidakseimbangan informasi paling besar.

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.