Yazar: Chloe, ChainCatcher
Son günlerde piyasa dikkatini çekmiş ve Polymarket'te on milyonlarca dolarlık tahmin birikten "ZachXBT, hangi Crypto şirketi iç ticareti yapıyor?" olayı sona erdi. 26 Şubat'ta zincir üzerindeki dedektif ZachXBT, sorunun hedefini DeFi ticaret platformu Axiom Exchange'e doğrultarak resmi bir araştırma raporu yayınladı.
Rapor, platformun uzman personelinin iç yönetim yetkilerini kötüye kullandığını, uzun süre kullanıcıların özel cüzdan verilerine yasal olmayan şekilde eriştiğini ve bu hassas bilgileri iç sesli ticaret aracına dönüştürdüğünü iddia ediyor. Bu makale, ZachXBT tarafından ortaya çıkarılan kanıt zincirini, “zincir üstü şeffaflık”ın “zincir altı kara kutu yönetimi” tarafından ele geçirildiği durumu derinlemesine analiz edecektir.
ZachXBT, Axiom Borsa'nın iç ticaret skandalını ortaya çıkardı
Axiom Exchange, kurucuları Mist ve Cal tarafından oluşturuldu ve 2025 başlarında Y Combinator Winter Batch (W25) seçildi; bu platform, bir yıl içinde birikmiş geliri 390 milyon doları aşan şaşırtıcı bir performans sergiledi. Ancak bu muhteşem finansal verilerin ardında, deneyimli iş geliştirme çalışanı Broox Bauer, Axiom'un arka uç araçlarını kendi özel avlanma alanına dönüştürüyor.
ZachXBT'in araştırmasına göre, Broox Bauer tek başına hareket etmiyor; Axiom'un dahili kontrol panelini temel alan organize bir "bilgi kazanç" süreci kurmuş. Broox, herhangi bir kullanıcının gizli bilgilerini promosyon kodu, cüzdan adresi veya UID üzerinden serbestçe sorgulayabiliyor. Kayıtlarda Broox, "o kişinin hakkında her şeyi bulabileceğimi" ifade etmiş ve operasyonları oldukça güçlü bir gizlilik bilinciyle yürütülmüş:
İlk olarak yalnızca 10 ila 20 cüzdan sorgulayın, sistemde anormal uyarı tetiklememek için.
Hedefler rastgele seçilmez. Marcell adlı bir KOL, uzun süre özel cüzdanıyla büyük miktarlarda mem coin satın alıp, takipçilerine likidite çekimi yapmak için öneride bulunarak odak noktası haline gelmiştir. Bu tür işlemcilerin özel cüzdanları nadiren açıktır ve adres tekrar kullanım oranı düşüktür; bu nedenle bu bilgiler yüksek arbitraj değeri taşır.
Organizasyon ve kurallar oluşturuldu; Axiom çalışanı Ryan (Ryucio), kullanıcı bilgilerini bulmada yardımcı oldu, Gowno'yu moderatör olarak işe aldı ve bu özel cüzdanları takip etmek için Google Sheets'e topladı.
Bu ihlaller, 2025 yılı Nisan ayından itibaren on aydan fazla sürdü ve mağdurların “Jerry” ve “Monix” gibi kişilerle ilgili arka plan yönetim ekranları kanıt zincirine dahil edildi. Bu belgeler, iş geliştirme çalışanlarının fonksiyonlar arası erişim yetkilerine nasıl sahip olabildiğini sorgulamaya neden oldu; var olması gereken izleme uyarıları ve yetki ayrımları açıkça etkisiz kalmıştı.
Axiom, arka plandaki yapısal başarısızlığı hâlâ gizleyemiyor
ZachXBT raporu yayınlandıktan sonra, Axiom resmi olarak standart bir kamu ilişkileri kriz yönetimi süreci izledi: “Şok ve hayal kırıklığı” ifadesiyle bir açıklama yaptı, yetkileri iptal etti ve bir soruşturma başlattı. Ancak bu, arka plandaki yapısal başarısızlığı gizleyemiyor; bu tür olaylar, yalnızca tek bir çalışanın bireysel davranışları değil, platformun yetki kontrolündeki eksiklikleri ortaya koyuyor.
1. Eksik denetim günlükleri
Geleneksel finans veya olgun Web2 teknoloji şirketlerinde, kullanıcıların hassas verilerine erişim her zaman kayıt altına alınmalıdır. Eğer bir iş geliştirme çalışanı, işiyle ilgili olmayan yüzlerce cüzdan adresini çapraz olarak sorgulayabiliyorsa, sistem hemen uyarı vermelidir. Axiom'un on ay süren düzenleyici boşluk, iç sistemlerinde "anormal davranış algılama mekanizmasının" aslında bulunmayabileceğini ve hatta "işlem kayıtlarının" tutulup tutulmadığı dahi şüpheli hale getirmektedir.
2. Hasarın kapsamı şu ana kadar belirsiz
Axiom'un açıklamasında etkilenen kullanıcı sayısı belirtilmedi. Bu, daha derin endişeleri aşırdı: Eğer Broox Bauer erişim sağlayabiliyorsa, diğer çalışanlar da mı? Rapor, suçun yardımcıları olarak moderator Gowno ve başka bir iş geliştirme çalışanı Ryan'ı adlandırıyor; bu da böyle bir yetki kötüye kullanımının nispeten kolay olabileceğini gösteriyor. Bir organizasyonun yönetimi "güven"e dayalıysa, kurallara değil, içsel yolsuzluğun marjinal maliyeti çok düşüktür.
Yetki boş bir formül mü? Web3’ün veri yönetimi kara deliği
Bu skandalın çekirdeğini daha derinlemesine inceleyin. ZachXBT raporunda listelenen arka plan erişilebilir veri boyutları korkutucu: kullanıcıların tam cüzdan listesi, kullanıcıların takip ettiği cüzdanlar, tam işlem geçmişi, kullanıcıların kendi belirlediği cüzdan notları ve ilişkili hesaplar; bu liste sadece işlem verilerini değil, bir kullanıcının tamamen zincir üzerindeki davranış desenini yeniden oluşturmak için yeterli tüm bilgileri kapsıyor.
Geleneksel finansal kurumlarda, bu tür verilere erişim, "en az gerekli bilgi ilkesi" ile sıkı şekilde sınırlıdır. Herhangi bir çalışan, açık bir iş gerekçesi olmadan müşteri hassas verilerine erişemez; tüm erişim faaliyetleri denetlenebilir işlem günlükleriyle kaydedilir ve uygunluk departmanı tarafından düzenli olarak denetlenir. Bu mekanizmanın tasarım mantığı basittir: Çalışanların bireysel ahlaki düzeyine değil, teknoloji ve kuralların çift kısıtlamasına dayanır; sorunlar yaşanmadan önce zarar alanını daraltır.
Axiom'un arka planı açıkça bu standartları karşılamıyor. Daha derin bir düşünme gerektiren nokta, bu tür sorunların Web3 yeni kurumlarında olağan bir durum olması. Hızlı büyüyen ekipler, mühendislik kaynaklarını genellikle ürün güncellemelerine odaklar, uyumluluk ve veri yönetimi altyapısını ise erteler veya “önce listede olalım” meselesi olarak görürler. Ancak bir platformun boyutu Axiom gibi bir seviyeye ulaştığında, arka plan araçlarının erişebileceği verilerin hassasiyeti, erken aşamalardan çok daha yüksektir; ancak koruma mekanizmalarının gelişimi hâlâ girişim aşamasındaki seviyede kalır.
Bu vaka, Web3'ün kendine özgü absürd paradoksunu da ortaya koyuyor: zincir üzerindeki şeffaflık, zincir dışındaki şeffaflık anlamına gelmez. Blok zinciri, işlemlere “anonim şeffaflık” kazandırır; herkes adreslerin akışını görebilir, ancak arkasındaki varlıkları anlamak zordur; ancak gerçek risk, kullanıcıların kayıt olup cüzdanlarını bağlayıp notlar belirledikleri anda ortaya çıkar: en kritik eşleme olan “bu adresin sahibi benim” bilgisini, platformun merkezi veritabanına teslim ederler.
Bu noktadan sonra, anonimlik yavaş yavaş bir illüzyon haline geldi. Bu kimlik, daha fazla bilgiyle ilişkilendirildiğinde, daha fazla etiketlendiğinde ve hatta kötüye kullanıldığında, zincir üzerindeki şeffaflık artık kullanıcıları korumuyor, aksine saldırganların en hassas aracına dönüşüyor.
Protokol düzeyindeki merkeziyetsizlik, asla bir şirketle eş anlamlı değildir.
Axiom'un skandalı, yalnızca birkaç çalışanın bireysel ahlaksızlığını değil, Web3 endüstrisinin "merkeziyetsiz" anlatısının altında uzun süredir kaçınılan büyük bir çelişkiyi de ortaya koyuyor: protokol düzeyindeki merkeziyetsizlik, şirket operasyonları düzeyindeki merkeziyetsizlikle eşdeğer değildir.
Bir platformun iş modeli hâlâ merkezi arka uç sistemlerine, insan destek ekibine ve çalışanların kararlarına dayanıyorsa, “DeFi” veya “Web3” etiketleri sadece ön yüz için bir dekorasyon gibidir. Kullanıcılar akıllı sözleşmelerin değiştirilemezliğini inanır, ancak kişisel bilgilerini girdikleri ve cüzdanlarını bağladıkları anda en kritik bilgilerini tamamen merkezi bir organizasyona teslim ettiklerini unuturlar.
Güven hiçbir zaman ücretsiz değildir; kurumlar henüz olgunlaşmamış yerlerde, güven maliyetini her zaman en fazla bilgi eşitsizliğine sahip taraf taşır.