Página inicial
Notícias
Detalhes

ZachXBT expõe suposto escândalo de insider trading da Axiom Exchange

iconChaincatcher
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumo

expand icon
ZachXBT expôs uma possível violação de segurança na Axiom Exchange, acusando o funcionário sênior Broox Bauer de operações de insider trading. O relatório afirma que Bauer utilizou ferramentas internas para acessar dados de carteiras de usuários por mais de dez meses, permitindo operações de arbitragem. A Axiom emitiu uma resposta genérica, sem abordar diretamente a notícia sobre o exchange de criptomoedas. O incidente levanta preocupações sobre governança e segurança de dados em plataformas DeFi.

Autor: Chloe, ChainCatcher

Nos últimos dias, o evento que atraiu a atenção do mercado e acumulou dezenas de milhões de dólares em apostas no Polymarket — “Qual empresa de cripto o ZachXBT exporá por insider trading?” — finalmente chegou ao fim. Em 26 de fevereiro, o detetive on-chain ZachXBT publicou oficialmente seu relatório de investigação, apontando diretamente a plataforma DeFi Axiom Exchange.

O relatório acusa um funcionário sênior da plataforma de abusar de permissões internas de gestão, acessando ilegalmente por longo período os dados de carteiras privadas dos usuários e transformando essas informações sensíveis em ferramentas para operações com informações privilegiadas. Este artigo analisará aprofundadamente a cadeia de evidências revelada por ZachXBT, quando a “transparência on-chain” é sequestrada pela “gestão em black box off-chain”.

ZachXBT expõe escândalo de insider trading na Axiom Exchange

Axiom Exchange, criada pelo fundador Mist e por Cal, foi selecionada para a turma de inverno de 2025 (W25) da Y Combinator no início de 2025. A plataforma alcançou receita acumulada superior a US$ 390 milhões em apenas um ano. No entanto, por trás desses dados financeiros impressionantes, um funcionário sênior de desenvolvimento de negócios chamado Broox Bauer está transformando as ferramentas internas da Axiom em seu próprio território particular.

Segundo a investigação de ZachXBT, Broox Bauer não agia sozinho; ele estabeleceu um processo organizado de “monetização de informações”, cujo núcleo era o painel de controle interno da Axiom, permitindo que Broox consultasse livremente informações privadas de qualquer usuário por meio de códigos de promoção, endereços de carteira ou UID. Broox afirmou em gravações que conseguia “descobrir qualquer coisa sobre essa pessoa”, e suas operações apresentavam um alto grau de consciência antidetecção:

  1. Inicie consultando apenas 10 a 20 carteiras para evitar acionar alertas anormais do sistema.

  2. O alvo bloqueado não foi escolhido aleatoriamente. Um KOL chamado Marcell, que comprou grandes quantidades de memecoins por meio de sua carteira privada e está incentivando seus seguidores a realizar saques de liquidez, tornou-se um foco de monitoramento. As carteiras privadas desses traders raramente são divulgadas e apresentam baixa taxa de reutilização de endereços, tornando essas informações de alto valor arbitragem.

  3. Estabelecer organização e regras, como outro funcionário da Axiom, Ryan (Ryucio), ajudando a localizar informações de usuários, contratando Gowno como moderador e reunindo essas carteiras privadas em uma planilha do Google para rastreamento.

Essas violações persistiram por mais de dez meses (iniciadas em abril de 2025), e a cadeia de evidências inclui capturas de tela do painel administrativo de vítimas como “Jerry” e “Monix”. Esses materiais também levantaram perguntas: por que os funcionários de expansão de negócios tinham acesso跨越funções? Os sistemas de monitoramento e alerta, bem como a isolamento de permissões, aparentemente não estavam funcionando.

Axiom responde oficialmente, mas ainda não consegue ocultar a incapacidade estrutural por trás

Após o relatório do ZachXBT ser divulgado, a Axiom seguiu um procedimento padrão de gerenciamento de crise de relações públicas: emitiu uma declaração expressando “choque e decepção”, revogou permissões e iniciou uma investigação. No entanto, isso ainda não consegue ocultar a falha estrutural por trás disso — esse tipo de evento revela a perda de controle de permissões pela plataforma, e não apenas um comportamento individual de um único funcionário.

1. Registros de auditoria ausentes

Em finanças tradicionais ou empresas de tecnologia Web2 maduras, qualquer operação que acesse dados sensíveis do usuário deve deixar um registro. Se um funcionário de desenvolvimento de negócios puder consultar, transversalmente, centenas de endereços de carteira não relacionados ao seu negócio, o sistema deveria acionar um alerta imediatamente. O vácuo regulatório de dez meses da Axiom sugere que seu sistema interno pode não ter sequer um “mecanismo de detecção de comportamento anormal”, e até mesmo levanta dúvidas sobre se “registros de operações” são realmente mantidos.

2. A extensão das vítimas ainda é desconhecida

A declaração da Axiom não menciona a escala dos usuários afetados. Isso levanta preocupações mais profundas: se Broox Bauer pôde acessar, e outros funcionários? O moderador Gowno mencionado no relatório e outro funcionário de desenvolvimento de negócios, Ryan, foram cúmplices no crime, sugerindo que esse abuso de permissão pode ter sido relativamente fácil. Quando a estrutura de governança de uma organização é baseada em "confiança" e não em "instituições", o custo marginal da corrupção interna é extremamente baixo.

Permissões inúteis? O buraco negro de governança de dados do Web3

Examine mais de perto o núcleo desse escândalo. Os dimensionamentos de dados acessíveis pelo back-end listados no relatório de ZachXBT são alarmantes: lista completa de carteiras dos usuários, carteiras que os usuários estão rastreando, histórico completo de transações, nomes personalizados atribuídos pelos usuários às carteiras e contas associadas — essa lista abrange muito mais do que apenas dados de transações; ela oferece uma visão completa o suficiente para recriar o padrão integral de comportamento on-chain de um usuário.

Nas instituições financeiras tradicionais, o acesso a esses dados é restrito pelo princípio estrito de “informação mínima necessária”. Qualquer funcionário não pode acessar informações sensíveis dos clientes sem uma necessidade comercial clara; todas as atividades de acesso devem ser registradas em logs auditáveis e revisadas periodicamente pelo departamento de conformidade. A lógica por trás desse mecanismo é simples: ele não depende do nível ético individual dos funcionários, mas sim de restrições técnicas e institucionais que reduzem o espaço para danos antes que problemas ocorram.

O back-end da Axiom claramente não atingiu esse padrão. Mais preocupante ainda é que esse tipo de problema não é isolado entre startups do Web3. Equipes em rápida expansão frequentemente direcionam recursos de engenharia para a iteração do produto, adiando ou até ignorando a construção de estruturas de conformidade e governança de dados, tratando-as como questões secundárias, como “listar primeiro”. Contudo, uma vez que a plataforma atinge o tamanho da Axiom, a sensibilidade dos dados acessíveis pelas ferramentas de back-end já ultrapassou em muito o nível inicial, enquanto os mecanismos de proteção muitas vezes ainda permanecem no estágio de startup.

Este caso também revela o paradoxo absurdo próprio do Web3: a transparência na cadeia não equivale à transparência fora da cadeia. A blockchain concede aos transações uma "transparência anônima" — todos podem ver o fluxo dos endereços, mas é difícil discernir as entidades por trás deles; no entanto, o verdadeiro risco ocorre no momento em que o usuário completa o registro, vincula a carteira e define uma observação: eles entregam à base de dados centralizada da plataforma a correspondência mais crucial — "o proprietário deste endereço sou eu".

Após isso, a anonimidade tornou-se uma ilusão. Uma vez que essa identidade é associada a mais informações, rotulada com mais etiquetas ou até abusada, a transparência na cadeia não protege mais os usuários, mas se torna a ferramenta mais precisa nas mãos dos agressores.

A descentralização no nível do protocolo nunca é equivalente a uma empresa

O escândalo da Axiom não revela apenas a má conduta individual de alguns funcionários. Ele funciona como um espelho, refletindo uma grande contradição que o setor Web3 evitou por muito tempo sob a narrativa de "descentralização": a descentralização no nível do protocolo nunca é equivalente à descentralização na operação da empresa.

Quando o núcleo dos negócios de uma plataforma ainda depende de sistemas de back-end centralizados, atendimento ao cliente humano e julgamento de funcionários, os rótulos “DeFi” ou “Web3” parecem mais uma decoração de frente. Os usuários acreditam na imutabilidade dos contratos inteligentes, mas esquecem que, no momento em que inserem suas informações pessoais e vinculam sua carteira, já entregaram as informações mais cruciais a uma organização totalmente centralizada.

A confiança nunca é gratuita; em locais onde as instituições ainda não são maduras, quem sempre arca com o custo da confiança é a parte com a maior assimetria de informação.

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.