ZachXBTがAxiomの内部スキャンダルを暴露、内部社員はどのように権限を乱用したのか？

著者： Chloe， ChainCatcher

この数日間、市場の注目を集め、Polymarketで数千万ドルの賭けが積み上がった事件「ZachXBTがどのCrypto企業のインサイダー取引を暴露するのか？」がついに幕を閉じました。2月26日、オンチェーン探偵ZachXBTは正式に調査報告書を発表し、DeFi取引プラットフォームAxiom Exchangeに矛先を向けました。

報告内容は、このプラットフォームの上級社員が内部管理権限を濫用し、長期間にわたりユーザーのプライベートウォレットデータに不正アクセスし、これらの敏感情報をインサイダー取引の道具に変えていたと指摘しています。本記事では、ZachXBTが暴露した証拠の連鎖を深く分析し、「オンチェーンの透明性」が「オフチェーンのブラックボックス管理」に奪われた状況を探ります。

ZachXBTがAxiom Exchangeのインサイダー取引スキャンダルを暴露

Axiom Exchangeは創業者のMistとCalが共同で立ち上げ、2025年初頭にY Combinator Winter Batch（W25）に選ばれました。このプラットフォームは、わずか1年で累計収益が39億ドルを超える驚異的な成績を収めました。しかし、輝かしい財務データの裏には、Broox Bauerという上級ビジネス開発社員がAxiomのバックエンドツールを私的な狩場に変えているという事実が隠されています。

ZachXBTの調査によると、Broox Bauerは単独行動ではなく、組織化された「情報の現金化」プロセスを構築しており、その核心はAxiomの内部管理ダッシュボードです。Brooxはプロモーションコード、ウォレットアドレス、またはUIDを通じて、任意のユーザーのプライバシー情報を自由に検索できました。Brooxは録音の中で、「その人についてのあらゆることを見つけ出せる」と述べ、彼の操作には強い反探知意識が備わっていました：

1. 初めは10から20のウォレットのみを検索し、システムの異常警報を引き起こさないようにしていました。

2. ロックオンしたターゲットはランダムに選ばれたわけではありません。例えば、Marcellという名のKOLは、長期間にわたりプライベートウォレットで大量のミームコインを購入しており、ファンに流動性の退出を勧めたため、重点的に追跡される対象となりました。このようなトレーダーのプライベートウォレットは公開されることが少なく、アドレスの再利用率も低いため、これらの情報は非常に高いアービトラージ価値を持っています。

3. 組織とルールを構築し、別のAxiom社員Ryan（Ryucio）がユーザー情報の検索を手伝い、Gownoをモデレーターとして雇い、これらのプライベートウォレットをGoogle Sheetsにまとめて追跡していました。

これらの不正行為は10ヶ月以上（2025年4月から始まる）続き、証拠の連鎖には被害者「Jerry」や「Monix」などのバックエンド管理のスクリーンショットが含まれています。これらの資料は疑問を引き起こしました：なぜビジネス開発社員が職能を超えたアクセス権を持っているのか？存在すべき監視警報と権限の隔離は明らかに機能していませんでした。

Axiomの公式回答、背後の構造的な無能を隠すことはできず

ZachXBTの報告書が発表された後、Axiomの公式は標準的なPR危機処理手法を取りました：「驚きと失望」を表明し、権限を取り消し、調査を開始すると発表しました。しかし、これでは背後にある構造的な無能を隠すことはできません。このような事件は、プラットフォームの権限管理の失敗を明らかにしており、単なる一社員の個人的な行動ではありません。

1. 欠落した監査ログ

伝統的な金融や成熟したWeb2テクノロジー企業では、ユーザーの敏感データにアクセスする操作は必ずログを残さなければなりません。もしビジネス開発社員が職能を超えて数百の業務に無関係なウォレットアドレスを検索できるのであれば、システムは即座に警告を発するべきです。Axiomの10ヶ月にわたる監視の真空は、内部システムに「異常行動検出メカニズム」が存在しない可能性を示唆しており、「操作記録」が残されているかどうかも疑問です。

2. 被害範囲は今なお不明

Axiomの声明には、影響を受けたユーザーの規模について言及されていません。これはより深刻な懸念を引き起こします：もしBroox Bauerが情報を閲覧できるのなら、他の社員はどうでしょうか？報告書に記載されたモデレーターGownoと別のビジネス開発社員Ryanは彼の共犯者であり、この権限の濫用が比較的容易であることを示唆しています。組織のガバナンス構造が「信頼」に基づいている場合、内部の腐敗の限界コストは非常に低くなります。

権限は形骸化？Web3新興企業のデータガバナンスのブラックホール

このスキャンダルの核心をさらに検討します。ZachXBTの報告書に記載されたバックエンドでアクセス可能なデータの次元は驚愕です：ユーザーの完全なウォレットリスト、ユーザーが追跡しているウォレット、完全な取引履歴、ユーザーが設定したウォレットのメモ名、関連アカウント。このリストは取引データだけでなく、ユーザーの完全なオンチェーン行動パターンを再現するのに十分な情報を含んでいます。

伝統的な金融機関では、このようなデータへのアクセスは厳格な「最小限の必要情報原則」に制約されています。明確な業務上の必要がない限り、従業員は顧客の敏感情報にアクセスしてはならず、すべてのアクセス行為は監査可能な操作ログとして残され、定期的にコンプライアンス部門によって抽出されます。このメカニズムの設計論理は非常にシンプルです：それは従業員の個人的な道徳水準に依存せず、技術と制度の二重の制約によって、問題が発生する前に損害の範囲を縮小します。

Axiomのバックエンドは明らかにこの基準を満たしていません。さらに考慮すべきは、このような問題がWeb3の新興企業においては個別の事例ではないということです。急速に拡大するチームは、しばしばエンジニアリングリソースを製品のイテレーションに集中させ、コンプライアンスやデータガバナンスの構築は後回しにされ、さらには「上場後に考える」と見なされることさえあります。しかし、プラットフォームの規模がAxiomのような大きさに達すると、バックエンドツールがアクセスできるデータの敏感性は初期段階をはるかに超えており、防護メカニズムの構築はしばしば創業期の水準に留まっています。

今回のケースは、Web3特有の不条理な逆説を明らかにしています：オンチェーンの透明性は、オフチェーンの透明性とは決して同じではありません。ブロックチェーンは取引に「匿名の透明性」を与え、誰もがアドレスの流れを見ることができる一方で、その背後にある実体を洞察することは困難です。しかし、真のリスクはユーザーが登録を完了し、ウォレットを結びつけ、メモを設定する瞬間に発生します：彼らは「このアドレスの所有者は私である」という最も重要な対応関係をプラットフォームの中央集権的なデータベースに渡してしまいます。

その後、匿名性は徐々に幻想となります。このアイデンティティがより多くの情報に関連付けられ、より多くのラベルが貼られ、さらには濫用されると、オンチェーンの透明性はユーザーを保護することはなく、むしろ加害者の手中で最も正確な道具となります。

プロトコルレベルの非中央集権は、企業のそれとは決して同じではない

Axiomのスキャンダルは、単なる数人の社員の個人的な不正を暴露するものではありません。それはむしろ、Web3業界全体が「非中央集権」の物語の下で長年回避してきた重大な矛盾を映し出す鏡のようなものです：プロトコルレベルの非中央集権は、企業運営レベルの非中央集権とは決して同じではありません。

あるプラットフォームのビジネスの核心が依然として中央集権的なバックエンドシステム、人工カスタマーサービス、従業員の判断に依存している場合、「DeFi」や「Web3」というラベルは前面の装飾に過ぎません。ユーザーはスマートコントラクトの改ざん不可能性を信じていますが、個人情報の入力を完了し、ウォレットを結びつけた瞬間に、彼らは最も重要な情報を完全に中央集権的な組織に渡してしまったことを忘れています。

信頼は決して無料ではありません。制度が成熟していない場所では、信頼コストを負担するのは常に情報の非対称性が最も高い側です。