ZachXBTがAxiomの内部スキャンダルを暴露、内部社員はどのように権限を乱用したのか？

著者： Chloe， ChainCatcher

この数日間、市場の注目を集め、Polymarketで数千万ドルの賭けが積み上げられた事件「ZachXBTはどのCrypto会社がインサイダー取引を行ったかを暴露するのか？」がついに幕を閉じました。2月26日、チェーン上の探偵ZachXBTは正式に調査報告書を発表し、DeFi取引プラットフォームAxiom Exchangeに矛先を向けました。

報告内容は、このプラットフォームの上級社員が内部管理権限を濫用し、長期間にわたりユーザーのプライベートウォレットデータに不正にアクセスし、これらの敏感情報をインサイダー取引の道具に変えていたと指摘しています。本記事では、ZachXBTが暴露した証拠の連鎖を深く分析し、「チェーン上の透明性」が「チェーン下のブラックボックス管理」に奪われた状況を探ります。

ZachXBTがAxiom Exchangeのインサイダー取引スキャンダルを暴露

Axiom Exchangeは創業者のMistとCalが共同で設立し、2025年初頭にY Combinator Winter Batch（W25）に選ばれました。このプラットフォームは、わずか1年で累計収益が3.9億ドルを超える驚異的な成績を収めました。しかし、輝かしい財務データの裏には、Broox Bauerという上級ビジネス開発社員がAxiomのバックエンドツールを私的な狩場に変えているという事実が隠れています。

ZachXBTの調査によると、Broox Bauerは単独行動ではなく、組織的な「情報の収益化」プロセスを構築しており、その核心はAxiomの内部管理ダッシュボードです。Brooxはプロモーションコード、ウォレットアドレス、またはUIDを通じて、任意のユーザーのプライバシー情報を自由に照会することができます。Brooxは録音の中で、「その人に関するあらゆることを見つけ出すことができる」と述べており、その操作には非常に強い反探知意識が備わっています：

1. 初めは10から20のウォレットのみを照会し、システムの異常警報を引き起こさないようにする。

2. ロックオンしたターゲットはランダムに選ばれたものではありません。例えば、Marcellという名のKOLは、長期間にわたりプライベートウォレットで大量のミームコインを購入し、ファンに流動性の退出を勧めたため、重点的に追跡される対象となりました。このようなトレーダーのプライベートウォレットは公開されることが少なく、アドレスの再利用率も低いため、これらの情報は非常に高いアービトラージ価値を持っています。

3. 組織とルールを構築し、別のAxiom社員であるRyan（Ryucio）がユーザー情報の検索を手伝い、Gownoをモデレーターとして雇い、これらのプライベートウォレットをGoogle Sheetsにまとめて追跡しました。

これらの不正行為は10ヶ月以上（2025年4月から始まる）続き、証拠の連鎖には被害者「Jerry」や「Monix」などのバックエンド管理のスクリーンショットが含まれています。これらの資料は疑問を引き起こしました：なぜビジネス開発者が職能を超えたアクセス権を持っているのか？存在すべき監視警報や権限の分離は明らかに機能していませんでした。

Axiom公式の反応、依然として背後の構造的な無能を隠すことはできず

ZachXBTの報告書が発表された後、Axiom公式は標準的なPR危機処理の手法を取りました。「驚きと失望」を表明し、権限を撤回し調査を開始すると発表しました。しかし、これでも背後の構造的な無能を隠すことはできません。このような事件は、プラットフォームの権限管理の失敗を明らかにしており、単なる一社員の個人的な行動ではありません。

1. 不足している監査ログ

伝統的な金融や成熟したWeb2テクノロジー企業では、ユーザーの敏感データにアクセスする操作は必ずログを残さなければなりません。もしビジネス開発者が職能を超えて数百の業務に無関係なウォレットアドレスを照会できるのであれば、システムは即座に警告を発するべきです。Axiomの10ヶ月にわたる監視の真空は、内部システムに「異常行動検出メカニズム」が存在しない可能性を示唆しており、「操作記録」が残されているかどうかも疑わしいです。

2. 被害の範囲は今なお不明

Axiomの声明には、影響を受けたユーザーの規模について言及されていません。これはより深刻な懸念を引き起こします：もしBroox Bauerが照会できるのであれば、他の社員はどうでしょうか？報告書に記載されたモデレーターGownoと別のビジネス開発社員Ryanは彼の共犯者であり、このような権限の濫用が比較的容易であることを示唆しています。組織のガバナンス構造が「信頼」に基づいている場合、内部腐敗の限界コストは非常に低くなります。

権限は形骸化？Web3新興企業のデータガバナンスのブラックホール

このスキャンダルの核心をさらに検討します。ZachXBTの報告書に記載されたバックエンドでアクセス可能なデータの次元は驚くべきものです：ユーザーの完全なウォレットリスト、ユーザーが追跡しているウォレット、完全な取引履歴、ユーザーが設定したウォレットのメモ名、関連アカウント。このリストは取引データだけでなく、ユーザーの完全なチェーン上の行動パターンを再現するのに十分なものです。

伝統的な金融機関では、このようなデータへのアクセスは厳格な「最小限の必要情報原則」に制約されています。明確な業務上の必要がない限り、従業員は顧客の敏感情報にアクセスしてはならず、すべてのアクセス行為は監査可能な操作ログを残し、定期的にコンプライアンス部門によって抽出される必要があります。このメカニズムの設計論理は非常にシンプルです：それは従業員の個人的な道徳水準に依存せず、技術と制度の二重の制約を通じて、問題が発生する前に損害の範囲を縮小します。

Axiomのバックエンドは明らかにこの基準を満たしていません。さらに考慮すべきは、このような問題がWeb3の新興企業においては個別のケースではないということです。急速に拡張するチームはしばしばエンジニアリングリソースを製品の反復に集中させ、コンプライアンスやデータガバナンスの構築は後回しにされ、「上場の後に考える」というテーマと見なされることすらあります。しかし、プラットフォームの規模がAxiomのような大きさに達すると、バックエンドツールがアクセスできるデータの敏感性は早期段階をはるかに超えており、防護メカニズムの構築はしばしば初期段階の水準にとどまっています。

このケースは、Web3特有の不条理な逆説を明らかにしています：チェーン上の透明性は、決してチェーン下の透明性と同じではありません。ブロックチェーンは取引に「匿名の透明性」を与え、誰もがアドレスの流れを見ることができるが、その背後にある実体を洞察することは難しいです。しかし、真のリスクはユーザーが登録を完了し、ウォレットをバインドし、メモを設定した瞬間に発生します：彼らは「このアドレスの所有者は私である」という最も重要な対応関係を、プラットフォームの中央集権的なデータベースに渡してしまったのです。

その後、匿名性は徐々に幻想となります。この層のアイデンティティがより多くの情報に関連付けられ、より多くのラベルが貼られ、さらには濫用されると、チェーン上の透明性はもはやユーザーを保護することはなく、むしろ加害者の手中で最も正確な道具となります。

プロトコルレベルの非中央集権は、決して企業の非中央集権と同じではない

Axiomのスキャンダルは、単に数人の社員の個人的な不正を暴露するものではありません。それはむしろ、Web3業界全体が「非中央集権」の物語の下で長年回避してきた重大な矛盾を映し出す鏡のようなものです：プロトコルレベルの非中央集権は、決して企業運営レベルの非中央集権と同じではありません。

あるプラットフォームのビジネスの核心が依然として中央集権的なバックエンドシステム、人工カスタマーサービス、従業員の判断に依存している場合、「DeFi」や「Web3」のラベルは前面の装飾に過ぎません。ユーザーはスマートコントラクトの改ざん不可能性を信じていますが、個人情報の入力を完了し、ウォレットをバインドした瞬間に、彼らは最も重要な情報を完全に中央集権的な組織に渡してしまったことを忘れています。

信頼は決して無料ではありません。制度が成熟していない場所では、信頼コストを負担するのは常に情報が最も非対称な側です。