作者:Chloe,ChainCatcher
近日在 Polymarket 上累積數千萬美元投注、吸引市場目光的事件「ZachXBT 將爆料哪家 Crypto 公司進行內幕交易?」終於落下帷幕。2 月 26 日,鏈上偵探 ZachXBT 正式發布調查報告,直指 DeFi 交易平台 Axiom Exchange。
報告內容指控,該平台資深員工涉嫌濫用內部管理權限,長期非法訪問用戶的私人錢包數據,並將這些敏感資訊轉化為內幕交易的工具。本文將深入剖析 ZachXBT 揭露的證據鏈,當「鏈上透明度」被「鏈下黑箱管理」劫持。
ZachXBT 揭發 Axiom Exchange 內幕交易醜聞
Axiom Exchange 由創始人 Mist 與 Cal 聯手打造,並於 2025 年初入選 Y Combinator Winter Batch(W25),該平台在短短一年內交出累計營收逾 3.9 億美元的驚人成績單。然而,在輝煌的財務數據背後,一名名為 Broox Bauer 的資深業務拓展員工,卻正在將 Axiom 的後台工具變成私人獵場。
根據 ZachXBT 的調查,Broox Bauer 並非單打獨鬥,他建立了一套組織化的「資訊變現」流程,流程的核心是 Axiom 的內部控制儀表板,Broox 可隨意透過推廣碼、錢包地址或 UID 查詢任何使用者的隱私資訊。Broox 在錄音中表示,他能「找出關於那個人的任何事情」,並且其操作還具備極強的反偵查意識:
起初僅查詢 10 至 20 個錢包,避免觸發系統異常警報。
鎖定的目標並非隨機選取。例如,一位名為 Marcell 的 KOL 因長期以私人錢包購買大量迷因幣,並向粉絲推銷進行流動性退出,成為重點追蹤對象。此類交易者的私人錢包鮮少公開,地址重複使用率低,使得這些資訊具備極高的套利價值。
建立組織和規則,例如另一位 Axiom 員工 Ryan(Ryucio)協助查找用戶資訊、聘用 Gowno 擔任版主,並將這些私人錢包彙整至 Google Sheets 進行追蹤。
這些違規操作持續超過十個月(始於 2025 年 4 月),證據鏈中包含了受害者「Jerry」與「Monix」等人後台管理的截圖。這些資料也引發了質疑:為何業務拓展員工具備跨職能的存取權限?應有的監控預警與權限隔離顯然未發揮作用。
Axiom 官方回應,仍無法掩蓋背後的結構性失能
在 ZachXBT 報告發布後,Axiom 官方採取了一套標準的公關危機處理方式:發表聲明表示「震驚與失望」,撤銷權限並啟動調查。然而,這仍無法掩蓋背後的結構性失能,此類事件揭示了平台在權限管控上的失守,而非僅僅是單一員工的個人行為。
1. 缺失的審計日誌
在傳統金融或成熟的 Web2 科技公司,任何存取用戶敏感資料的操作都必須留下日誌。如果一名業務拓展員工能夠跨職能查詢數百個與其業務無關的錢包地址,系統理應在第一時間觸發警告。Axiom 長達十個月的監管真空,說明其內部系統可能根本不存在「異常行為檢測機制」,甚至是否留存「操作記錄」都令人質疑。
2. The extent of the impact remains unclear to date
Axiom 的聲明中未提及受影響用戶的規模,這引發了更深層的擔憂:如果 Broox Bauer 能夠查閱,那麼其他員工呢?報告中提到的版主 Gowno 與另一名業務拓展員工 Ryan 是其作案的幫手,暗示這種權限濫用可能相對容易。當一個組織的治理結構基於「信任」而非「制度」時,內部腐敗的邊際成本極低。
權限形同虛設?Web3 新創的數據治理黑洞
進一步審視這場醜聞的核心。ZachXBT 報告中列出的後台可訪問數據維度令人驚心:用戶完整錢包列表、用戶正在追蹤的錢包、完整交易歷史、用戶自行設定的錢包備註名稱,以及關聯帳號,這份清單涵蓋的不只是交易數據,而是足以還原一個用戶完整鏈上行為模式的全貌。
在傳統金融機構中,此類數據的訪問受到嚴格的「最小必要資訊原則」約束。任何員工若無明確業務必要,不得訪問客戶敏感資料;所有訪問行為均須留存可審計的操作日誌,並定期由合規部門抽查。這套機制的設計邏輯很簡單:它不依賴員工的個人道德水準,而是通過技術與制度的雙重約束,在問題發生前就縮小損害空間。
Axiom 的後台顯然未達到此標準。更值得深思的是,這類問題在 Web3 新創企業中並非個案。快速擴張的團隊往往將工程資源集中於產品迭代,合規與數據治理架構的建設則被延後,甚至被視為「先上幣再說」的議題。然而,一旦平台規模達到 Axiom 這樣的層級,後台工具所能接觸的數據敏感性早已遠超早期階段,而防護機制的建設卻往往仍停留在初創期的水準。
這次的案例也揭示了 Web3 特有的荒誕悖論:鏈上的透明,絕不等於鏈下的透明。區塊鏈賦予了交易「匿名式的透明」,所有人都能看見地址的流向,卻難以洞察背後的實體;然而,真正的風險發生在用戶完成註冊、綁定錢包、設定備註的那一刻:他們將「這個地址的主人是我」這條最關鍵的對應關係,交付給了平台的中心化資料庫。
在此之後,匿名逐漸變成幻覺。一旦這層身份與更多資訊關聯、貼上更多標籤,甚至遭到濫用,鏈上的透明度就不再保護用戶,反而成為加害者手中最精準的工具。
協議層面的去中心化,從不等同於公司
Axiom 的醜聞所揭示的,不只是幾名員工的個人失德。它更像是一面鏡子,映照出整個 Web3 行業在「去中心化」敘事下長期迴避的一個重大矛盾:協議層面的去中心化,從不等同於公司運營層面的去中心化。
當一家平台的業務核心仍依賴中心化的後台系統、人工客服、員工判斷時,“DeFi”或“Web3”的標籤就更像是前端的裝飾。用戶相信智能合約的不可篡改性,卻忘記了在完成個人資訊輸入、綁定錢包的那一刻,他們已將最關鍵的資訊交付給了一個完全中心化的組織。
信任從來不是免費的,在制度尚未成熟的地方,承擔信任成本的,永遠是資訊最不對稱的那一方。