Автор: Chloe, ChainCatcher
За последние дни событие «Какая криптовалютная компания будет раскрыта ZachXBT как участвующая в внутренней торговле?», привлекшее внимание рынка и собравшее десятки миллионов долларов ставок на Polymarket, наконец завершилось. 26 февраля онон-детектив ZachXBT официально опубликовал отчет о расследовании, обвинив в этом децентрализованную торговую платформу Axiom Exchange.
В отчете утверждается, что опытный сотрудник платформы подозревается в злоупотреблении внутренними административными полномочиями, длительном незаконном доступе к данным пользовательских частных кошельков и использовании этой конфиденциальной информации в качестве инструмента для внутренней торговли. В этой статье мы подробно проанализируем доказательства, раскрытые ZachXBT, когда «блокчейн-прозрачность» захвачена «оффлайн-черным ящиком».
ZachXBT раскрыл скандал с внутренней торговлей на Axiom Exchange
Axiom Exchange была создана основателями Mist и Cal и в начале 2025 года была включена в Winter Batch Y Combinator (W25). За всего один год платформа показала впечатляющий результат — совокупный доход превысил 390 миллионов долларов США. Однако за этими блестящими финансовыми показателями опытный сотрудник по развитию бизнеса Broox Bauer превращает внутренние инструменты Axiom в свою личную охотничью угодья.
Согласно расследованию ZachXBT, Брукс Бауэр действовал не в одиночку: он создал организованную систему «монетизации информации», центральным элементом которой была внутренняя панель управления Axiom, позволявшая Бруксу по произвольным промокодам, адресам кошельков или UID получать доступ к конфиденциальной информации любых пользователей. В записи Брукс заявил, что может «выяснить всё о человеке», а его действия отличались высокой степенью скрытности:
Изначально запросите только 10–20 кошельков, чтобы не вызвать срабатывание системных предупреждений.
Цель блокировки не выбирается случайным образом. Например, KOL по имени Marcell, который длительное время покупал большое количество мем-монет через личный кошелек и продвигал выход ликвидности своим подписчикам, стал объектом особого внимания. Частные кошельки таких трейдеров редко публикуются, а адреса редко повторяются, что придает этой информации высокую арбитражную ценность.
Создание организации и правил, включая помощь другого сотрудника Axiom Райана (Ryucio) в поиске информации о пользователях, найм Gowno в качестве модератора и сбор этих частных кошельков в Google Sheets для отслеживания.
Эти нарушения продолжались более десяти месяцев (начиная с апреля 2025 года), и в цепочке доказательств содержатся скриншоты панели управления от жертв, таких как «Jerry» и «Monix». Эти материалы также вызвали вопросы: почему сотрудники по развитию бизнеса имеют доступ, выходящий за рамки их функций? Очевидно, что предусмотренные системы мониторинга и изоляции прав не сработали.
Официальный ответ Axiom по-прежнему не может скрыть структурные неисправности за кулисами
После публикации отчета ZachXBT Axiom официально применила стандартную процедуру управления PR-кризисом: опубликовала заявление с выражением «шока и разочарования», отозвала права доступа и начала расследование. Однако это все еще не скрывает структурных сбоев, которые раскрывают утрату контроля над правами доступа на платформе, а не просто индивидуальные действия отдельного сотрудника.
Отсутствующие журналы аудита
В традиционных финансовых учреждениях или зрелых веб-2 технологических компаниях любая операция, связанная с доступом к чувствительным данным пользователей, должна фиксироваться в журналах. Если сотрудник по развитию бизнеса может через межфункциональный доступ запрашивать сотни кошельков, не имеющих отношения к его деятельности, система должна немедленно сгенерировать предупреждение. Длительный десятимесячный вакуум надзора Axiom свидетельствует о том, что внутри ее системы, возможно, вообще отсутствует механизм обнаружения аномального поведения, а также ставит под сомнение сам факт ведения журналов операций.
2. Пока неизвестно, насколько широко распространилось воздействие
В заявлении Axiom не указано количество пострадавших пользователей. Это вызывает более глубокую тревогу: если Broox Bauer мог получить доступ, то и другие сотрудники? В отчете упоминаются модератор Gowno и другой сотрудник по развитию бизнеса Ryan как соучастники его действий, что намекает на то, что такое злоупотребление полномочиями может быть относительно легким. Когда структура управления организацией основана на «доверии», а не на «институтах», предельные издержки внутренней коррупции чрезвычайно низки.
Права бесполезны? Черная дыра управления данными в Web3
Проведите более глубокий анализ сути этого скандала. Данные, перечисленные в отчете ZachXBT и доступные через админ-панель, вызывают тревогу: полный список кошельков пользователей, кошельки, которые пользователи отслеживают, полная история транзакций, пользовательские заметки к кошелькам и связанные аккаунты — этот список охватывает не только данные о транзакциях, но и всю картину полного поведения пользователя в цепочке.
В традиционных финансовых учреждениях доступ к таким данным строго регулируется принципом «минимально необходимой информации». Любой сотрудник не имеет права получать доступ к конфиденциальным данным клиентов без явной бизнес-необходимости; все действия по доступу фиксируются в аудиторских журналах и периодически проверяются отделом соответствия. Логика этой системы проста: она не полагается на личную этику сотрудников, а снижает потенциальный ущерб до возникновения проблемы за счет двойных ограничений — технических и организационных.
Фоновые системы Axiom явно не соответствуют этому стандарту. Более важным является то, что подобные проблемы не являются редкостью среди новых проектов Web3. Быстро растущие команды часто сосредотачивают инженерные ресурсы на итерациях продукта, откладывая создание архитектуры соответствия и управления данными или даже рассматривая их как вопрос «сначала вывести на биржу». Однако, как только платформа достигает масштаба Axiom, чувствительность данных, к которым могут получить доступ фоновые инструменты, значительно превышает уровень ранних этапов, в то время как механизмы защиты часто остаются на уровне стартап-этапа.
Этот случай также раскрывает абсурдный парадокс, свойственный Web3: прозрачность в цепочке абсолютно не означает прозрачность вне цепочки. Блокчейн предоставляет «анонимную прозрачность» транзакций: все могут видеть потоки адресов, но с трудом распознают стоящие за ними сущности; однако настоящий риск возникает в тот момент, когда пользователь завершает регистрацию, привязывает кошелек и задает заметку: он передает ключевую связь «владелец этого адреса — я» централизованной базе данных платформы.
После этого анонимность постепенно превратилась в иллюзию. Как только эта идентичность связывается с дополнительной информацией, помечается множеством меток или подвергается злоупотреблениям, прозрачность в цепочке перестаёт защищать пользователей и превращается в самый точный инструмент в руках злоумышленников.
Децентрализация на уровне протокола никогда не означает компанию
Скандал с Axiom раскрывает не просто индивидуальную непорядочность нескольких сотрудников. Он скорее является зеркалом, отражающим крупный противоречие, которое вся индустрия Web3 долгое время избегала в рамках нарратива «децентрализации»: децентрализация на уровне протокола никогда не означает децентрализации на уровне корпоративного управления.
Когда основная деятельность платформы все еще зависит от централизованных бэкенд-систем, человеческого обслуживания и суждений сотрудников, метки «DeFi» или «Web3» кажутся скорее декоративными элементами фронтенда. Пользователи верят в неизменяемость смарт-контрактов, но забывают, что в момент ввода личной информации и привязки кошелька они передали самые важные данные полностью централизованной организации.
Доверие никогда не бывает бесплатным; в местах, где институты еще не сформировались, стоимость доверия всегда несет сторона с наибольшей асимметрией информации.