Halaman Utama
Berita
Butiran

ZachXBT Mendedak Skandal Dagang Dalam Axiom Exchange

iconChaincatcher
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
ZachXBT telah mengungkap kemungkinan serangan terhadap bursa Axiom Exchange, dengan menuduh perniagaan dalaman oleh kakitangan senior Broox Bauer. Laporan tersebut menyatakan bahawa Bauer menggunakan alat dalaman untuk mengakses data dompet pengguna selama lebih daripada sepuluh bulan, membolehkan perdagangan arbitrase. Axiom mengeluarkan respons generik tanpa menjawab berita bursa kripto secara langsung. Insiden ini menimbulkan kebimbangan mengenai tata kelola dan keselamatan data di platform DeFi.

Penulis: Chloe, ChainCatcher

Peristiwa yang menarik perhatian pasaran selama beberapa hari ini dan mengumpulkan jutaan dolar AS dalam pertaruhan di Polymarket, “Siapakah syarikat Crypto yang akan diungkap oleh ZachXBT sebagai terlibat dalam perdagangan dalaman?” akhirnya berakhir. Pada 26 Februari, penyiasat rantai ZachXBT secara rasmi mengeluarkan laporan penyiasatan, menuduh platform perniagaan DeFi, Axiom Exchange.

Laporan tersebut menuduh seorang kakitangan berpengalaman platform itu menyalahgunakan kuasa pengurusan dalaman, secara berterusan mengakses data dompet peribadi pengguna secara haram, dan mengubah maklumat sensitif ini menjadi alat untuk perdagangan dalaman. Artikel ini akan menganalisis secara mendalam rantai bukti yang diungkap oleh ZachXBT, apabila "transparansi di atas rantai" dirampas oleh "pengurusan gelap di bawah rantai".

ZachXBT mendedahkan skandal perdagangan dalaman di Axiom Exchange

Axiom Exchange, yang dibangun oleh pendirinya Mist dan Cal, dan terpilih ke dalam Y Combinator Winter Batch (W25) pada awal 2025, telah mencatatkan pendapatan kumulatif melebihi US$390 juta dalam masa satu tahun sahaja. Namun, di belakang data kewangan yang cemerlang, seorang pekerja pengembangan perniagaan berpengalaman bernama Broox Bauer sedang menjadikan alat belakang Axiom sebagai tanah perburuan peribadinya.

Menurut penyiasatan ZachXBT, Broox Bauer tidak bertindak sendirian; beliau membina proses "memonetisasi maklumat" yang terorganisasi, dengan papan pemantau kawalan dalaman Axiom sebagai intinya, di mana Broox boleh mengakses maklumat peribadi pengguna apa sahaja melalui kod promosi, alamat wallet, atau UID. Broox menyatakan dalam rakaman itu bahawa beliau boleh "mencari apa sahaja mengenai orang itu", dan operasinya juga menunjukkan kesedaran anti-pengesanan yang sangat tinggi:

  1. Mulakan dengan mencari hanya 10 hingga 20 dompet untuk mengelakkan memicu amaran pengecualian sistem.

  2. Target yang dikunci bukan dipilih secara rawak. Seorang KOL bernama Marcell, yang telah lama membeli sejumlah besar memecoin melalui dompet peribadinya dan kemudian mendorong pengikutnya untuk melakukan penarikan likuiditi, menjadi sasaran utama pemantauan. Dompet peribadi peniaga jenis ini jarang dipaparkan secara awam dan mempunyai kadar penggunaan semula alamat yang rendah, menjadikan maklumat ini mempunyai nilai arbitrage yang sangat tinggi.

  3. Membina organisasi dan peraturan, seperti seorang pekerja Axiom lain, Ryan (Ryucio), membantu mencari maklumat pengguna, mempekerjakan Gowno sebagai moderator, dan mengumpulkan dompet peribadi ini ke dalam Google Sheets untuk dilacak.

Pelanggaran ini berterusan selama lebih daripada sepuluh bulan (bermula pada April 2025), dan rantai bukti termasuk tangkapan skrin pengurusan latar belakang daripada mangsa seperti "Jerry" dan "Monix". Dokumen-dokumen ini juga menimbulkan pertanyaan: mengapa kakitangan pengembangan perniagaan mempunyai akses lintas fungsi? Pemantauan dan pengasingan keizinan yang sepatutnya wujud jelas tidak berfungsi.

Respons rasmi Axiom masih tidak mampu menyembunyikan kegagalan struktur di sebaliknya

Selepas laporan ZachXBT dikeluarkan, pihak Axiom mengikuti prosedur pengurusan krisis PR biasa: mengeluarkan penyataan yang menyatakan “terkejut dan kecewa”, mencabut kebenaran, dan memulakan penyiasatan. Namun, ini masih tidak mampu menyembunyikan kegagalan struktural di sebaliknya; peristiwa semacam ini mengungkap kegagalan platform dalam pengawasan kebenaran, bukan sekadar tindakan individu seorang pekerja.

1. Log audit yang hilang

Dalam perbankan tradisional atau syarikat teknologi Web2 yang matang, sebarang tindakan yang mengakses data sensitif pengguna mesti meninggalkan log. Jika seorang kakitangan pengembangan perniagaan boleh mengkaji ratusan alamat dompet yang tidak berkaitan dengan perniagaannya, sistem sepatutnya segera memicu amaran. Kekosongan pengawasan selama sepuluh bulan oleh Axiom menunjukkan bahawa sistem dalaman mungkin tidak mempunyai "mekanisme pengesanan tingkah laku mencurigakan" sama sekali, dan bahkan sama ada "rekod operasi" disimpan pun diragui.

2. Lingkungan mangsa masih tidak jelas

Pernyataan Axiom tidak menyebutkan skala pengguna yang terjejas. Ini menimbulkan kebimbangan yang lebih mendalam: jika Broox Bauer mampu mengaksesnya, bagaimana dengan pekerja lain? Gowno, moderator yang disebut dalam laporan, bersama dengan seorang pekerja pengembangan perniagaan lain bernama Ryan, merupakan rakan sekongkolnya, yang mengisyaratkan bahawa penyalahgunaan kuasa ini mungkin relatif mudah berlaku. Apabila struktur tata pentadbiran suatu organisasi berasaskan "kepercayaan" bukan "institusi", kos marjinal korupsi dalaman sangat rendah.

Kuasa tidak berkesan? Lubang hitam pengurusan data untuk permulaan Web3

Tinjau lebih mendalam inti skandal ini. Dimensi data yang boleh diakses oleh latar belakang yang disenaraikan dalam laporan ZachXBT mengejutkan: senarai penuh dompet pengguna, dompet yang sedang dipantau oleh pengguna, sejarah transaksi penuh, nama catatan dompet yang ditetapkan oleh pengguna sendiri, serta akaun yang berkaitan—senarai ini merangkumi bukan sahaja data transaksi, tetapi seluruh gambaran perilaku rantai pengguna yang boleh dipulihkan.

Dalam institusi kewangan tradisional, akses kepada data semacam ini dikawal ketat oleh prinsip "minimum necessary information". Sebarang pekerja yang tidak mempunyai keperluan perniagaan yang jelas tidak dibenarkan mengakses maklumat sensitif pelanggan; semua tindakan akses mesti dicatat dalam log operasi yang boleh diaudit, dan secara berkala disemak oleh jabatan kesesuaian. Logik reka bentuk mekanisme ini adalah ringkas: ia tidak bergantung pada tahap moral peribadi pekerja, tetapi menggunakan pengawalan teknikal dan institusi secara berganda untuk mengurangkan ruang kerosakan sebelum masalah berlaku.

Latar belakang Axiom jelas tidak mencapai standard ini. Lebih penting lagi, masalah semacam ini bukanlah kesan tunggal dalam permulaan Web3. Pasukan yang berkembang pantas sering mengalihkan sumber kejuruteraan kepada pengulangan produk, sementara pembinaan struktur kepatuhan dan tata kelola data ditunda, bahkan dianggap sebagai isu “naikkan dulu”. Namun, apabila platform mencapai skala seperti Axiom, kepekaan data yang boleh diakses oleh alat latar belakang sudah jauh melebihi peringkat awal, tetapi mekanisme perlindungan sering kali masih berada pada tahap permulaan.

Kes ini juga mengungkap paradoks absurd yang khas Web3: transparansi di rantai tidak sama dengan transparansi di luar rantai. Blockchain memberikan "transparansi anonim" kepada transaksi, di mana semua orang dapat melihat arus alamat, tetapi sulit untuk mengungkap entiti di sebaliknya; namun, risiko sebenarnya berlaku pada saat pengguna menyelesaikan pendaftaran, mengikat dompet, dan menetapkan catatan: mereka menyerahkan hubungan paling penting—“pemilik alamat ini adalah saya”—ke dalam pangkalan data terpusat platform.

Selepas itu, anonimiti perlahan-lahan menjadi ilusi. Sekali identiti ini dikaitkan dengan maklumat tambahan, diberi lebih banyak label, atau bahkan disalahgunakan, kejelasan di rantai tidak lagi melindungi pengguna, tetapi sebaliknya menjadi alat paling tepat di tangan pelaku jenayah.

Pemusnahan pada peringkat protokol tidak pernah sama dengan syarikat

Skandal Axiom bukan sahaja mengungkapkan kegagalan peribadi beberapa orang pekerja. Ia lebih seperti cermin yang memantulkan kontradiksi besar yang telah lama dielakkan oleh seluruh industri Web3 di bawah naratif "pemusnahan pusat": pemusnahan pusat pada peringkat protokol tidak pernah sama dengan pemusnahan pusat pada peringkat pengurusan syarikat.

Apabila inti operasi sesuatu platform masih bergantung kepada sistem belakang terpusat, perkhidmatan pelanggan manusia, dan penilaian pekerja, label "DeFi" atau "Web3" lebih merupakan hiasan depan. Pengguna percaya pada ketidakbolehan ubah smart contract, tetapi lupa bahawa pada ketika mereka memasukkan maklumat peribadi dan mengikat dompet, mereka telah menyerahkan maklumat paling penting kepada organisasi yang sepenuhnya terpusat.

Kepercayaan tidak pernah percuma; di tempat-tempat di mana institusi belum matang, pihak yang selalu menanggung kos kepercayaan ialah pihak yang paling tidak seimbang informasinya.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.