著者:Chloe、ChainCatcher
この数日間、Polymarket上で数千万ドルの賭けが集まり、市場の注目を集めていたイベント「ZachXBTはどのCrypto企業が内部取引を行っているかを暴露するか?」がようやく幕を下ろした。2月26日、チェーン上の探偵ZachXBTが調査報告を正式に発表し、DeFi取引プラットフォームAxiom Exchangeを直接指弾した。
報告内容によると、同プラットフォームのベテラン従業員が内部管理権限を濫用し、長期にわたりユーザーのプライベートウォレットデータに不正アクセスし、これらの機密情報をインサイダー取引の手段として利用した疑いがある。本記事では、ZachXBTが明らかにした証拠の連鎖を深く分析し、「チェーン上の透明性」が「チェーン下のブラックボックス管理」に奪われる瞬間を検証する。
ZachXBT、Axiom Exchange の内部取引スキャンダルを暴露
Axiom Exchangeは、創設者であるMistとCalが共同で立ち上げ、2025年初頭にY Combinator Winter Batch(W25)に選出されたプラットフォームであり、わずか1年で累計売上3億9千万ドルという驚異的な成績を収めた。しかし、この輝かしい財務データの裏で、ベテランのビジネス開発担当者であるBroox Bauerが、Axiomのバックエンドツールを個人的な狩猟場に変えようとしている。
ZachXBTの調査によると、Broox Bauerは単独で行動していたわけではなく、Axiomの内部管理ダッシュボードを核とする組織化された「情報収益化」プロセスを構築していた。Brooxは、プロモーションコード、ウォレットアドレス、またはUIDを用いて、任意のユーザーのプライバシー情報を自由に照会できた。Brooxは録音の中で、「その人物に関するあらゆる情報を特定できる」と述べており、その操作には非常に高い隠蔽性が備わっていた:
最初は10〜20ウォレットのみを照会し、システムの異常アラートをトリガーしないようにしてください。
ターゲットはランダムに選ばれたものではありません。たとえば、KOLのMarcellは、長期間にわたり個人ウォレットで多数のミームコインを購入し、ファンに流動性の撤退を推奨したため、重点監視対象となりました。このような取引者の個人ウォレットはほとんど公開されておらず、アドレスの再利用率も低いため、これらの情報には高いアービトラージ価値があります。
組織とルールを構築し、別のAxiom従業員であるRyan(Ryucio)がユーザー情報の検索を支援し、Gownoをモデレーターとして採用し、これらのウォレット情報をGoogle Sheetsに集約して追跡した。
これらの違反行為は10か月以上継続しており(2025年4月から開始)、被害者「Jerry」や「Monix」らのバックオフィス管理スクリーンショットが証拠として含まれている。これらの資料は、営業拡大担当者が職務を超えたアクセス権限を有している理由について疑問を投げかけている。本来存在すべき監視アラートと権限分離は明らかに機能していなかった。
Axiomの公式対応は、背後にある構造的な不全を依然として隠すことができない
ZachXBT の報告が公開された後、Axiom は標準的な広報危機対応を実施し、「驚きと失望」を表明し、権限を削除して調査を開始した。しかし、これは背景にある構造的な機能不全を隠すことはできず、このような出来事は単一の従業員の個人的行動ではなく、プラットフォームの権限管理における失敗を明らかにしている。
1. 欠落している監査ログ
伝統的な金融機関や成熟したWeb2テクノロジー企業では、ユーザーの機密データにアクセスするあらゆる操作はログに残されるべきです。ビジネス拡張担当者が自社業務と無関係な数百のウォレットアドレスを跨機能的に照会できる場合、システムは即座に警告を発すべきです。Axiomが10か月にわたって監視の空白状態にあったことは、同社の内部システムに「異常行動検出メカニズム」がそもそも存在しない可能性を示しており、さらには「操作記録」の保存自体が疑わしいことを示唆しています。
2. 被害範囲はまだ不明です
Axiomの声明には、影響を受けたユーザーの規模については言及されていない。これはさらに深い懸念を生み出している:Broox Bauerが閲覧できたのであれば、他の従業員も可能だったのか?報告では、モデレーターのGownoと別のビジネス開発従業員のRyanがこの不正の共犯者であるとされており、このような権限乱用が比較的容易だったことを示唆している。組織のガバナンス構造が「制度」ではなく「信頼」に基づいている場合、内部の不正の限界コストは極めて低い。
権限が空洞化?Web3の新興データガバナンスのブラックホール
このスキャンダルの核心をさらに検討しよう。ZachXBTのレポートに記載されたバックエンドアクセス可能なデータの次元は驚異的だ:ユーザーの完全なウォレットリスト、ユーザーが追跡中のウォレット、完全なトランザクション履歴、ユーザーが独自に設定したウォレットのメモ名、および関連アカウント。このリストには取引データだけでなく、ユーザーのオンライン上の行動パターン全体を再構築できる情報が網羅されている。
従来の金融機関では、このようなデータへのアクセスは「最小限の必要情報の原則」によって厳格に制限されています。従業員は明確な業務上の必要がなければ顧客の機密情報をアクセスできず、すべてのアクセス行為は監査可能な操作ログとして記録され、コンプライアンス部門が定期的にチェックします。この仕組みの設計思想は単純です。従業員の個人的な道徳に頼るのではなく、技術的および制度的な二重の制約を通じて、問題が発生する前に損害の範囲を縮小することを目的としています。
Axiomのバックエンドは明らかにこの基準を満たしていません。さらに深く考えるべきは、このような問題がWeb3スタートアップにおいて珍しくないということです。急速に拡大するチームは、エンジニアリングリソースを製品の反復改善に集中させがちで、コンプライアンスやデータガバナンスのアーキテクチャ構築は後回しにされ、場合によっては「上場してから考えよう」とされる課題となっています。しかし、プラットフォームの規模がAxiomのようなレベルに達すると、バックエンドツールがアクセスできるデータの機密性は初期段階をはるかに超えており、その保護メカニズムは依然としてスタートアップ期の水準にとどまっているのが実情です。
今回の事例は、Web3特有の奇妙なパラドックスを浮き彫りにしています:チェーン上の透明性は、チェーン下の透明性を保証しません。ブロックチェーンは取引に「匿名的な透明性」をもたらし、誰でもアドレスの流れを見ることができますが、その背後にある実体を特定することは困難です。しかし、真のリスクは、ユーザーが登録を完了し、ウォレットを紐付け、メモを設定した瞬間に発生します。そのとき、ユーザーは「このアドレスの所有者は私である」という最も重要な対応関係を、プラットフォームの中心化されたデータベースに委ねてしまうのです。
その後、匿名性は次第に幻覚となった。この身分がさらに多くの情報と関連付けられ、より多くのタグが貼られ、甚至悪用されるようになると、チェーン上の透明性はもはやユーザーを保護せず、加害者の手にある最も正確なツールとなってしまう。
プロトコルレベルの分散化は、決して会社と等しくない
アクシオムのスキャンダルは、数名の従業員の個人的な不正行為にとどまらない。それは、Web3業界全体が「分散化」というナラティブの下で長年にわたり回避し続けてきた重大な矛盾を映し出す鏡である。つまり、プロトコルレベルでの分散化は、企業運営レベルでの分散化と等価ではないという事実だ。
あるプラットフォームのビジネスの核が、依然として中央集権的なバックエンドシステム、人間によるカスタマーサポート、従業員の判断に依存している場合、「DeFi」や「Web3」というラベルは、単にフロントエンドの装飾に過ぎない。ユーザーはスマートコントラクトの改ざん不可能性を信じているが、個人情報を入力し、ウォレットを接続した瞬間に、最も重要な情報を完全に中央集権的な組織に委ねていることを忘れている。
信頼は常に無料ではない。制度が未熟な場所では、信頼コストを負担するのは常に情報の非対称性が最も大きい側である。