Tác giả: Chloe, ChainCatcher
Sự kiện thu hút sự chú ý của thị trường trong những ngày qua, với hàng chục triệu đô la Mỹ được đặt cược trên Polymarket về “ZachXBT sẽ tiết lộ công ty Crypto nào thực hiện giao dịch nội gián?” đã chính thức kết thúc. Vào ngày 26 tháng 2, nhà điều tra chuỗi ZachXBT đã công bố báo cáo điều tra, trực tiếp chỉ trích nền tảng giao dịch DeFi Axiom Exchange.
Báo cáo cáo buộc rằng nhân viên kỳ cựu của nền tảng này nghi ngờ lạm dụng quyền quản lý nội bộ, truy cập trái phép lâu dài vào dữ liệu ví cá nhân của người dùng và biến những thông tin nhạy cảm này thành công cụ để thực hiện giao dịch nội gián. Bài viết này sẽ phân tích sâu chuỗi bằng chứng do ZachXBT phơi bày, khi “sự minh bạch trên chuỗi” bị “quản lý bí mật ngoài chuỗi” chiếm đoạt.
ZachXBT phanh phui vụ bê bối nội tuyến tại Axiom Exchange
Axiom Exchange do người sáng lập Mist và Cal cùng nhau xây dựng, và đã được chọn vào đợt Winter Batch 2025 (W25) của Y Combinator vào đầu năm 2025. Trong vòng một năm, nền tảng này đã đạt doanh thu tích lũy vượt quá 390 triệu USD. Tuy nhiên, đằng sau những con số tài chính rực rỡ, một nhân viên phát triển kinh doanh kỳ cựu tên Broox Bauer đang biến các công cụ nền tảng của Axiom thành khu săn bắn riêng của mình.
Theo điều tra của ZachXBT, Broox Bauer không hoạt động một mình; anh ta đã xây dựng một quy trình “chuyển hóa thông tin thành tiền” có tổ chức, với trung tâm là bảng điều khiển kiểm soát nội bộ của Axiom, cho phép Broox truy vấn bất kỳ thông tin riêng tư nào của người dùng thông qua mã khuyến mãi, địa chỉ ví hoặc UID. Broox cho biết trong bản ghi âm rằng anh ta có thể “tìm ra bất kỳ điều gì về người đó”, và các hoạt động của anh ta còn thể hiện ý thức chống phát hiện rất mạnh:
Ban đầu chỉ tra cứu 10 đến 20 ví, tránh kích hoạt cảnh báo bất thường của hệ thống.
Mục tiêu bị khóa không được chọn ngẫu nhiên. Ví dụ, một KOL tên Marcell, do đã mua một lượng lớn meme coin bằng ví cá nhân trong thời gian dài và đang thúc đẩy người theo dõi thực hiện rút thanh khoản, đã trở thành đối tượng được theo dõi trọng điểm. Ví cá nhân của những người giao dịch này hiếm khi được công khai và tỷ lệ sử dụng lại địa chỉ thấp, khiến những thông tin này có giá trị chênh lệch rất cao.
Xây dựng tổ chức và quy tắc, chẳng hạn như nhân viên Axiom khác là Ryan (Ryucio) hỗ trợ tìm thông tin người dùng, thuê Gowno làm quản trị viên, và tổng hợp các ví riêng này vào Google Sheets để theo dõi.
Các hành vi vi phạm này kéo dài hơn mười tháng (bắt đầu từ tháng 4 năm 2025), và chuỗi bằng chứng bao gồm các ảnh chụp màn hình quản trị hậu trường của nạn nhân “Jerry” và những người khác như “Monix”. Những tài liệu này cũng đặt ra câu hỏi: tại sao nhân viên phát triển kinh doanh lại có quyền truy cập vượt quá chức năng của họ? Các cơ chế giám sát, cảnh báo và phân cách quyền hạn vốn nên tồn tại rõ ràng đã không phát huy tác dụng.
Axiom chính thức phản hồi, nhưng vẫn không thể che giấu sự bất lực về cấu trúc đằng sau
Sau khi báo cáo của ZachXBT được công bố, Axiom đã thực hiện các bước xử lý khủng hoảng truyền thông tiêu chuẩn: đưa ra tuyên bố bày tỏ “sự kinh ngạc và thất vọng”, thu hồi quyền truy cập và khởi động cuộc điều tra. Tuy nhiên, điều này vẫn không thể che giấu sự thất bại về mặt cấu trúc đằng sau, những sự kiện như vậy phơi bày sự mất kiểm soát trong quản lý quyền truy cập của nền tảng, chứ không chỉ đơn thuần là hành vi cá nhân của một nhân viên.
1. Nhật ký kiểm toán bị thiếu
Trong tài chính truyền thống hoặc các công ty công nghệ Web2 trưởng thành, mọi thao tác truy cập dữ liệu nhạy cảm của người dùng đều phải được ghi lại nhật ký. Nếu một nhân viên kinh doanh có thể truy vấn hàng trăm địa chỉ ví không liên quan đến công việc của mình, hệ thống lẽ ra phải ngay lập tức kích hoạt cảnh báo. Mười tháng thiếu vắng giám sát của Axiom cho thấy hệ thống nội bộ của họ có thể hoàn toàn không có cơ chế phát hiện hành vi bất thường, thậm chí việc lưu trữ "bản ghi thao tác" cũng đáng nghi ngờ.
2. Phạm vi thiệt hại vẫn chưa rõ ràng
Tuyên bố của Axiom không đề cập đến quy mô người dùng bị ảnh hưởng. Điều này gây ra những lo ngại sâu sắc hơn: nếu Broox Bauer có thể truy cập, thì những nhân viên khác thì sao? Báo cáo cho biết quản trị viên Gowno và một nhân viên phát triển kinh doanh khác là Ryan đã đồng lõa trong hành vi phạm tội, cho thấy việc lạm dụng quyền hạn này có thể tương đối dễ dàng. Khi cấu trúc quản trị của một tổ chức dựa trên “sự tin tưởng” thay vì “cơ chế”, chi phí biên của tham nhũng nội bộ cực kỳ thấp.
Quyền hạn chỉ là hình thức? Lỗ đen quản lý dữ liệu trong Web3
Hãy xem xét kỹ lưỡng cốt lõi của vụ bê bối này. Các chiều dữ liệu có thể truy cập từ后台 được liệt kê trong báo cáo của ZachXBT thật đáng sợ: danh sách đầy đủ ví người dùng, các ví mà người dùng đang theo dõi, lịch sử giao dịch đầy đủ, tên ghi chú do người dùng tự đặt cho ví, và các tài khoản liên kết—danh sách này không chỉ bao gồm dữ liệu giao dịch, mà còn đủ để tái hiện toàn bộ mô hình hành vi trên chuỗi của một người dùng.
Trong các tổ chức tài chính truyền thống, việc truy cập vào dữ liệu này bị ràng buộc nghiêm ngặt bởi nguyên tắc "thông tin tối thiểu cần thiết". Bất kỳ nhân viên nào không có nhu cầu kinh doanh rõ ràng đều không được truy cập vào thông tin nhạy cảm của khách hàng; mọi hành vi truy cập đều phải được ghi lại nhật ký hoạt động có thể kiểm toán và được kiểm tra định kỳ bởi bộ phận tuân thủ. Logic thiết kế của cơ chế này rất đơn giản: nó không dựa vào mức độ đạo đức cá nhân của nhân viên, mà thông qua sự ràng buộc kép từ công nghệ và hệ thống, thu hẹp không gian thiệt hại ngay từ trước khi vấn đề xảy ra.
Hệ thống nền tảng của Axiom rõ ràng chưa đạt đến tiêu chuẩn này. Điều đáng suy ngẫm hơn là những vấn đề như vậy không phải là trường hợp cá biệt trong các startup Web3. Các đội ngũ mở rộng nhanh chóng thường tập trung nguồn lực kỹ thuật vào việc cải tiến sản phẩm, trong khi việc xây dựng hạ tầng tuân thủ và quản lý dữ liệu bị đẩy xuống thứ yếu, thậm chí bị coi là “đưa lên sàn đã rồi tính”. Tuy nhiên, khi nền tảng đạt quy mô như Axiom, độ nhạy cảm của dữ liệu mà các công cụ nền tảng có thể tiếp cận đã vượt xa giai đoạn đầu, trong khi các cơ chế bảo vệ lại thường vẫn dừng lại ở mức của giai đoạn khởi nghiệp.
Vụ việc này cũng làm nổi bật nghịch lý kỳ quặc đặc trưng của Web3: sự minh bạch trên chuỗi hoàn toàn không đồng nghĩa với sự minh bạch ngoài chuỗi. Blockchain mang lại sự “minh bạch ẩn danh” cho các giao dịch, mọi người đều có thể thấy luồng tiền qua các địa chỉ, nhưng khó lòng vén màn được thực thể đằng sau; tuy nhiên, rủi ro thực sự xảy ra ngay tại thời điểm người dùng hoàn tất đăng ký, liên kết ví và đặt ghi chú: họ đã giao phó mối quan hệ tương ứng quan trọng nhất — “chủ nhân của địa chỉ này là tôi” — cho cơ sở dữ liệu tập trung của nền tảng.
Sau đó, sự ẩn danh dần trở thành ảo tưởng. Một khi danh tính này bị liên kết với nhiều thông tin hơn, gắn thêm nhiều nhãn hiệu, thậm chí bị lạm dụng, sự minh bạch trên chuỗi sẽ không còn bảo vệ người dùng, mà trở thành công cụ chính xác nhất trong tay kẻ gây hại.
Sự phi tập trung ở cấp độ giao thức không bao giờ tương đương với một công ty
Bê bối của Axiom không chỉ phơi bày sự thất đức cá nhân của một vài nhân viên. Nó giống như một tấm gương phản chiếu mâu thuẫn lớn mà toàn bộ ngành Web3 đã lâu nay né tránh dưới câu chuyện “phi tập trung”: sự phi tập trung ở cấp độ giao thức không bao giờ tương đương với sự phi tập trung ở cấp độ vận hành doanh nghiệp.
Khi nền tảng vẫn dựa vào hệ thống backend tập trung, dịch vụ khách hàng thủ công và phán quyết của nhân viên, thì nhãn hiệu “DeFi” hay “Web3” chỉ giống như trang trí mặt tiền. Người dùng tin vào tính bất biến của hợp đồng thông minh, nhưng lại quên rằng ngay khoảnh khắc họ nhập thông tin cá nhân và liên kết ví, họ đã giao nộp thông tin quan trọng nhất cho một tổ chức hoàn toàn tập trung.
Sự tin tưởng chưa bao giờ là miễn phí; ở những nơi thể chế chưa trưởng thành, bên phải gánh chi phí tin tưởng luôn là bên có thông tin kém cân xứng nhất.