ZachXBT викриває скандал з інсайдерською інформацією в Axiom: як внутрішні співробітники зловживають своїми привілеями?

Автор: Хлоя, ChainCatcher

Подія, яка привернула увагу ринку в останні дні, зібравши десятки мільйонів доларів ставок на Polymarket, «Яку криптокомпанію ZachXBT викриє в інсайдерській торгівлі?» нарешті завершилася. 26 лютого детектив блокчейну ZachXBT офіційно опублікував звіт про розслідування, в якому прямо вказав на торгову платформу DeFi Axiom Exchange.

У звіті стверджується, що високопоставлений співробітник платформи нібито зловживав внутрішніми управлінськими привілеями, щоб протягом тривалого часу незаконно отримувати доступ до приватних даних гаманців користувачів, перетворюючи цю конфіденційну інформацію на інструмент для інсайдерської торгівлі. У цій статті ми детально розглянемо ланцюжок доказів, виявлений ZachXBT, де «прозорість ланцюжка» замінена «управлінням чорною скринькою поза ланцюжком».

ZachXBT викриває скандал з інсайдерською торгівлею на біржі Axiom

Axiom Exchange була заснована Містом і Калом і на початку 2025 року була обрана для участі в програмі Y Combinator Winter Batch (W25). Ця платформа продемонструвала вражаючі результати, досягнувши сукупного доходу, що перевищив 390 мільйонів доларів, лише за один рік. Однак за блискучими фінансовими показниками старший співробітник відділу розвитку бізнесу на ім'я Брукс Бауер перетворював внутрішні інструменти Axiom на приватне мисливське угіддя.

Згідно з розслідуванням ZachXBT, Брукс Бауер діяв не самостійно; він створив організований процес «монетизації інформації», основою якого була внутрішня панель управління Axiom, що дозволяла Бруксу вільно запитувати приватну інформацію будь-якого користувача за допомогою промокодів, адрес гаманців або UID. Брукс заявив у записі, що він може «дізнатися все про цю людину», а його дії свідчили про високу обізнаність у питаннях протидії стеженню:

1. Спочатку запитується лише 10–20 гаманців, щоб уникнути спрацьовування системних сповіщень про аномалії.

2. Цілі не були обрані випадково. Наприклад, KOL на ім'я Марсель став ключовою ціллю для відстеження через те, що придбав велику кількість мем-монет за допомогою свого приватного гаманця та закликав своїх шанувальників виводити ліквідність. Приватні гаманці таких трейдерів рідко є публічними, а рівень повторного використання адресів є низьким, що робить цю інформацію дуже цінною для арбітражу.

3. Встановлення організації та правил, таких як допомога іншого співробітника Axiom, Райана (Ryucio), у пошуку інформації про користувачів, наймання Gowno в якості модератора та компіляція цих приватних гаманців у Google Sheets для відстеження.

Ці порушення тривали понад десять місяців (починаючи з квітня 2025 року), а ланцюжок доказів включав скріншоти з бек-енду управління жертвами «Джеррі» та «Монікс». Ця інформація також викликала питання: чому співробітник відділу розвитку бізнесу мав міжфункціональний доступ? Необхідні сповіщення про моніторинг та ізоляція доступу явно не функціонували.

Офіційна відповідь Axiom не приховує структурну дисфункцію

Після опублікування звіту ZachXBT офіційна реакція Axiom відповідала стандартному підходу до управління кризовими ситуаціями в сфері публічних відносин: було опубліковано заяву, в якій висловлювалися «шок і розчарування», скасовано доступ і розпочато розслідування. Однак це все одно не може приховати глибинну структурну дисфункцію, оскільки такі інциденти свідчать про неспроможність платформи контролювати доступ, а не є просто діями окремого співробітника.

1. Відсутні журнали аудиту

У традиційних фінансових або зрілих технологічних компаніях Web2 будь-яка операція, що передбачає доступ до конфіденційних даних користувачів, повинна залишати журнал. Якщо співробітник відділу розвитку бізнесу може здійснювати міжфункціональний запит сотень адрес гаманців, не пов'язаних з його бізнесом, система повинна негайно спрацьовувати сигнал тривоги. Десятимісячний регуляторний вакуум Axiom свідчить про те, що його внутрішня система, можливо, навіть не має «механізму виявлення аномалій», а збереження «операційних записів» також є сумнівним.

2. Кількість жертв залишається невідомою

У заяві Axiom не згадується кількість користувачів, яких це стосується. Це викликає більш глибоке занепокоєння: якщо Брукс Бауер мав доступ до цієї інформації, то що ж можна сказати про інших співробітників? У звіті згадуються модератор Gowno та інший співробітник відділу розвитку бізнесу Райан як співучасники, що свідчить про те, що таке зловживання привілеями може бути відносно легким. Коли структура управління організацією базується на «довірі», а не на «інституції», граничні витрати внутрішньої корупції є надзвичайно низькими.

Чи є дозволи лише формальністю? Чорна діра управління даними у стартапах Web3

Подальше розслідування суті цього скандалу. Розмір доступних даних, перелічених у звіті ZachXBT, є тривожним: повні списки гаманців користувачів, гаманці, які відстежуються користувачами, повна історія транзакцій, імена гаманців, визначені користувачами, та пов'язані з ними рахунки. Цей список охоплює не тільки дані про транзакції, але й відтворює повну модель поведінки користувача в ланцюжку.

У традиційних фінансових установах доступ до таких даних суворо обмежується «принципом мінімально необхідної інформації». Будь-якому співробітнику без чіткої ділової необхідності заборонено отримувати доступ до конфіденційних даних клієнтів; всі дії з доступу повинні зберігатися в журналах операцій, що підлягають аудиту, і періодично перевірятися відділами з питань дотримання нормативних вимог. Логіка конструкції цього механізму проста: він не покладається на особисті моральні стандарти співробітників, а мінімізує збитки до виникнення проблем за допомогою подвійних обмежень технології та систем.

Бекенд Axiom явно не відповідав цьому стандарту. Більш цікавим є те, що такі проблеми не є поодинокими випадками у стартапах Web3. Швидко зростаючі команди часто зосереджують інженерні ресурси на ітерації продукту, тоді як питання відповідності вимогам та управління даними відходять на другий план, а іноді навіть розглядаються як теми, які слід вирішувати «після виходу на біржу». Однак, коли платформа досягає масштабів Axiom, чутливість даних, доступних через інструменти бекенду, значно перевищує чутливість на ранніх етапах, тоді як побудова захисних механізмів часто залишається на рівні стартапу.

Цей випадок також виявляє унікальний абсурдний парадокс Web3: прозорість в ланцюжку не дорівнює прозорості поза ланцюжком. Блокчейн забезпечує «анонімну прозорість» транзакцій; кожен може бачити потік адрес, але не може розпізнати суб'єктів, які за ними стоять. Однак реальний ризик виникає в той момент, коли користувачі завершують реєстрацію, прив'язують гаманці та встановлюють примітки: вони передають найважливішу інформацію про те, що «власником цієї адреси є я», до централізованої бази даних платформи.

Після цього анонімність поступово стає ілюзією. Як тільки цей рівень ідентичності пов'язується з більшою кількістю інформації, позначається більшою кількістю міток або навіть зловживається, прозорість ланцюжка блоків більше не захищає користувачів, а стає найточнішим інструментом у руках зловмисників.

Децентралізація на рівні протоколу не означає децентралізацію компанії

Скандал навколо компанії Axiom викриває не лише особисті провини кількох співробітників. Це служить дзеркалом, що відображає значну суперечність, яку вся галузь Web3 довгий час уникала під гаслом «децентралізації»: децентралізація на рівні протоколу не рівнозначна децентралізації на оперативному рівні компаній.

Коли основна діяльність платформи все ще покладається на централізовані серверні системи, ручне обслуговування клієнтів та суб'єктивні рішення співробітників, терміни «DeFi» або «Web3» нагадують лише декоративні елементи інтерфейсу. Користувачі довіряють незмінності смарт-контрактів, але забувають, що в момент введення особистої інформації та прив'язки гаманців вони вже передали найважливішу інформацію повністю централізованій організації.

Довіра ніколи не була безкоштовною; у місцях, де системи ще не досягли зрілості, сторона, яка несе витрати, пов'язані з довірою, завжди є тією, яка має найбільш асиметричну інформацію.