Автор: Chloe, ChainCatcher
Протягом кількох днів увагу ринку привертало подія на Polymarket, на яку було зроблено мільйони доларів ставок: «Яку криптовалютну компанію ZachXBT розкриє як учасницю внутрішньої торгівлі?». 26 лютого ланцюговий детектив ZachXBT офіційно опублікував звіт про розслідування, звинувативши DeFi-платформу Axiom Exchange.
У звіті стверджується, що досвідчений співробітник платформи підозрюється у зловживанні внутрішніми адміністративними повноваженнями, тривалий час незаконно отримуючи доступ до приватних гаманців користувачів і використовуючи ці конфіденційні дані як інструмент для внутрішньої торгівлі. У цій статті ми глибоко проаналізуємо докази, розкриті ZachXBT, коли «ончейн-прозорість» захоплена «офчейн-чорним ящиком».
ZachXBT розкриває скандал з внутрішньою торгівлею на Axiom Exchange
Axiom Exchange була створена засновниками Mist та Cal і у ранньому 2025 року потрапила до Winter Batch Y Combinator (W25). За короткий рік платформа досягла загального доходу понад 390 мільйонів доларів США. Однак за цими вражаючими фінансовими показниками старший спеціаліст з розвитку бізнесу Broox Bauer перетворює внутрішні інструменти Axiom на свою приватну територію.
Згідно з розслідуванням ZachXBT, Брукс Бауер не діяв самотньо — він створив організовану систему «монетизації інформації», центральним елементом якої був внутрішній інформаційний інтерфейс Axiom, через який Брукс міг за допомогою реферальних кодів, адрес гаманців або UID отримувати будь-яку приватну інформацію про користувачів. У записах Брукс заявив, що може «знайти будь-що про цю людину», а його дії супроводжувалися високим рівнем протидії розслідуванням:
Спочатку запитуйте лише 10–20 гаманців, щоб уникнути спрацьовування системних сповіщень.
Ціль не вибирається випадково. Наприклад, KOL під ім’ям Marcell, який тривалий час купував велику кількість мем-монет через особистий гаманець і тепер продвігає вихід з ліквідності для своїх фанатів, став об’єктом уваги. Особисті гаманці таких трейдерів рідко публічні, а адреси майже не використовуються повторно, що надає цій інформації дуже високу арбітражну цінність.
Створення організації та правил, наприклад, інший співробітник Axiom Ryan (Ryucio) допоміг знайти інформацію про користувачів, найняв Gowno на посаду модератора та зібрав ці приватні гаманці в Google Sheets для відстеження.
Ці порушення тривали понад десять місяців (з квітня 2025 року), і в ланцюжку доказів містяться скріншоти панелі адміністрування від жертв, таких як «Jerry» та «Monix». Ці матеріали також викликали питання: чому співробітники з розвитку бізнесу мали доступ, що перевищує їхні функціональні обов’язки? Моніторинг та ізоляція прав доступу, які мали б існувати, очевидно, не працювали.
Офіційна відповідь Axiom не може приховати структурну неспроможність за кулисами
Після публікації звіту ZachXBT, офіційний представник Axiom використав стандартну процедуру кризового публічних відносин: опублікував заяву з виразом «шоку та розчарування», скасував доступи та розпочав розслідування. Однак це все ще не може приховати структурну неспроможність, яку розкривають такі події — платформа втратила контроль над управлінням доступами, а не просто став жертвою окремої дії працівника.
Відсутній аудитний журнал
У традиційних фінансових установах чи зрілих Web2-технологічних компаніях будь-яка дія з доступом до чутливих даних користувача повинна залишати журнал. Якщо співробітник з розвитку бізнесу може перехресно запитувати сотні гаманців, що не мають відношення до його бізнесу, система мала б відразу викликати попередження. Дев’ять місяців регуляторного вакууму Axiom свідчать про те, що її внутрішні системи, ймовірно, взагалі не мають «механізму виявлення аномальної поведінки», а навіть під сумнівом залишається, чи зберігаються взагалі «журнали операцій».
2. Масштаб пошкоджень наразі невідомий
У заяві Axiom не зазначено масштабу впливу на користувачів. Це викликає глибші занепокоєння: якщо Broox Bauer міг отримати доступ, то інші співробітники? У звіті згадуються модератор Gowno та інший співробітник з розвитку бізнесу Ryan, які були його спільниками у злочині, що свідчить про те, що таке зловживання повноваженнями може бути відносно легким. Коли структура управління організації базується на «довірі», а не на «інституціях», гранична вартість внутрішньої корупції надзвичайно низька.
Права не мають сенсу? Новий веб3-данний гравітаційний провал
Глибше проаналізуйте суть цього скандалу. Дані, перелічені у звіті ZachXBT, викликають хвилювання: повний список гаманців користувачів, гаманці, які користувачі слідкують, повна історія транзакцій, власноруч вказані назви гаманців користувачів та пов’язані облікові записи — цей перелік охоплює не лише дані про транзакції, а й повну картину ланцюгової поведінки користувача.
У традиційних фінансових установах доступ до таких даних обмежений строгим принципом «мінімально необхідної інформації». Будь-який працівник не має доступу до конфіденційних даних клієнта, якщо це не необхідно для виконання його робочих обов’язків; всі дії з доступу фіксуються у аудитованих журналах операцій, які регулярно перевіряються відділом відповідності. Логіка цього механізму проста: він не покладається на особисту мораль працівників, а замість цього зменшує простір для шкоди ще до її виникнення за допомогою подвійного обмеження — технічного та інституційного.
Задній план Axiom очевидно не відповідає цьому стандарту. Ще більш глибоким є те, що такі проблеми не є винятком серед нових стартапів у Web3. Швидко розширюючіся команди часто зосереджують інженерні ресурси на ітераціях продукту, відкладаючи створення архітектури відповідності та управління даними, іноді навіть вважаючи це питанням «спочатку лістинг, потім — все інше». Однак, коли платформа досягає масштабу Axiom, чутливість даних, до яких можуть отримати доступ інструменти заднього плану, значно перевищує рівень початкового етапу, тоді як механізми захисту залишаються на рівні стартап-фази.
Цей випадок також розкриває абсурдний парадокс, властивий Web3: на ланцюзі прозорість не означає прозорості поза ланцюгом. Блокчейн надає транзакціям «анонімну прозорість»: усі можуть бачити напрямки переказів між адресами, але важко встановити, хто стоїть за ними; однак справжні ризики виникають у момент, коли користувач завершує реєстрацію, прив’язує гаманець і встановлює позначки: вони передають платформі централізовану базу даних найважливішу інформацію — «власником цієї адреси є я».
Після цього анонімність поступово перетворилася на ілюзію. Коли цей ідентифікатор пов’язують з додатковою інформацією, позначають більшою кількістю міток або використовують зловживання, прозорість ланцюга більше не захищає користувачів, а стає найточнішим інструментом у руках нападників.
Децентрализація на рівні протоколу ніколи не означає компанію
Скандал з Axiom розкриває не лише індивідуальну недобросовісність кількох співробітників. Він більше схожий на дзеркало, яке відображає великий суперечність, яку цілий індустрія Web3 довгий час уникав у рамках нарративу про «децентралізацію»: децентралізація на рівні протоколу ніколи не означає децентралізації на рівні операцій компанії.
Коли основна діяльність платформи все ще залежить від централизованих бекенд-систем, ручного обслуговування клієнтів та рішень працівників, мітки «DeFi» або «Web3» схожі на прикрасу на фронтенді. Користувачі вірять у незмінність смарт-контрактів, але забувають, що в момент введення особистої інформації та прив’язки гаманця вони передали найважливіші дані повністю централизованій організації.
Довіра ніколи не є безкоштовною, і в місцях, де інститути ще не дозріли, витрати на довіру завжди несе та сторона, яка має найбільшу інформаційну асиметрію.