ZachXBTがAxiomの内部スキャンダルを暴露、内部社員はどのように権限を乱用したのか？

著者： Chloe， ChainCatcher

この数日間、市場の注目を集め、Polymarketで数千万ドルの賭けが積み上がった事件「ZachXBTはどのCrypto会社がインサイダー取引を行ったかを暴露するのか？」がついに幕を閉じました。2月26日、チェーン上の探偵ZachXBTは正式に調査報告書を発表し、DeFi取引プラットフォームAxiom Exchangeを直接指摘しました。

報告書の内容は、このプラットフォームの上級社員が内部管理権限を濫用し、長期間にわたりユーザーのプライベートウォレットデータに不正にアクセスし、これらの敏感な情報をインサイダー取引の道具に変えていたと告発しています。本記事では、ZachXBTが暴露した証拠の連鎖を深く分析し、「チェーン上の透明性」が「チェーン下のブラックボックス管理」に奪われた状況を探ります。

ZachXBTがAxiom Exchangeのインサイダー取引スキャンダルを暴露

Axiom Exchangeは創業者のMistとCalによって共同で設立され、2025年初頭にY Combinator Winter Batch（W25）に選出されました。このプラットフォームは、わずか1年で累計収益が3.9億ドルを超える驚異的な成績を収めました。しかし、輝かしい財務データの裏には、Broox Bauerという名の上級ビジネス開発社員がAxiomのバックエンドツールを私的な狩場に変えているという事実が隠されています。

ZachXBTの調査によると、Broox Bauerは単独で行動しているわけではなく、組織化された「情報のマネタイズ」プロセスを構築しており、その核心はAxiomの内部制御ダッシュボードです。Brooxはプロモーションコード、ウォレットアドレス、またはUIDを通じて、任意のユーザーのプライバシー情報を自由に検索できます。Brooxは録音の中で、「その人に関するあらゆることを見つけ出せる」と述べており、彼の操作には非常に強い反探知意識が備わっています：

1. 初めは10から20のウォレットのみを検索し、システムの異常警報を引き起こさないようにする。

2. ロックオンしたターゲットはランダムに選ばれたものではありません。例えば、Marcellという名のKOLは、長期間にわたりプライベートウォレットで大量のミームコインを購入し、ファンに流動性の退出を勧めたため、重点的に追跡される対象となりました。このようなトレーダーのプライベートウォレットは公開されることが少なく、アドレスの再利用率も低いため、これらの情報は非常に高いアービトラージ価値を持っています。

3. 組織とルールを構築し、別のAxiom社員Ryan（Ryucio）がユーザー情報の検索を手伝い、Gownoをモデレーターとして雇い、これらのプライベートウォレットをGoogle Sheetsにまとめて追跡しています。

これらの不正行為は10ヶ月以上（2025年4月から始まる）にわたって続き、証拠の連鎖には被害者「Jerry」や「Monix」などのバックエンド管理のスクリーンショットが含まれています。これらの資料は疑問を引き起こしました：なぜビジネス開発社員が職能を超えたアクセス権を持っているのか？存在すべき監視警報と権限の隔離は明らかに機能していませんでした。

Axiomの公式回答、依然として背後の構造的な無能を隠すことはできず

ZachXBTの報告書が発表された後、Axiomの公式は標準的なPR危機処理の手法を取りました。「驚きと失望」を表明し、権限を撤回し調査を開始すると発表しました。しかし、これでも背後にある構造的な無能を隠すことはできません。このような事件は、プラットフォームの権限管理の失敗を明らかにしており、単なる一社員の個人的な行動ではありません。

1. 欠如した監査ログ

伝統的な金融機関や成熟したWeb2テクノロジー企業では、ユーザーの敏感データにアクセスする操作は必ずログを残さなければなりません。もしビジネス開発社員が職能を超えて数百の業務に無関係なウォレットアドレスを検索できるのであれば、システムは即座に警告を発するべきです。Axiomの10ヶ月にわたる監視の真空は、内部システムに「異常行動検知メカニズム」が存在しない可能性を示唆しており、「操作記録」が保存されているかどうかすら疑問です。

2. 被害範囲は今なお不明

Axiomの声明には、影響を受けたユーザーの規模についての言及がありません。これはさらに深刻な懸念を引き起こします：もしBroox Bauerが情報を閲覧できるのであれば、他の社員はどうでしょうか？報告書に記載されたモデレーターGownoと別のビジネス開発社員Ryanは彼の共犯者であり、このような権限の濫用が比較的容易であることを示唆しています。組織のガバナンス構造が「信頼」に基づいている場合、内部の腐敗の限界コストは非常に低くなります。

権限は形骸化している？Web3新興企業のデータガバナンスのブラックホール

このスキャンダルの核心をさらに検討します。ZachXBTの報告書に記載されたバックエンドでアクセス可能なデータの次元は驚くべきものです：ユーザーの完全なウォレットリスト、ユーザーが追跡しているウォレット、完全な取引履歴、ユーザーが設定したウォレットのメモ名、関連アカウント。このリストは取引データだけでなく、ユーザーの完全なチェーン上の行動パターンを再現するのに十分なものです。

伝統的な金融機関では、このようなデータへのアクセスは厳格な「最小限の必要情報原則」に制約されています。明確な業務上の必要がない限り、どの社員も顧客の敏感な資料にアクセスしてはなりません；すべてのアクセス行為は監査可能な操作ログに保存され、定期的にコンプライアンス部門によって抽出されます。このメカニズムの設計論理は非常にシンプルです：それは社員の個人的な道徳水準に依存せず、技術と制度の二重の制約を通じて、問題が発生する前に損害の範囲を縮小します。

Axiomのバックエンドは明らかにこの基準に達していません。さらに考慮すべきは、このような問題がWeb3の新興企業においては個別の事例ではないということです。急速に拡大するチームは、しばしばエンジニアリングリソースを製品のイテレーションに集中させ、コンプライアンスとデータガバナンスの構築は後回しにされ、時には「上場後に考える」と見なされることさえあります。しかし、プラットフォームの規模がAxiomのような大きさに達すると、バックエンドツールがアクセスできるデータの敏感性は早期段階をはるかに超え、保護メカニズムの構築はしばしば初期の水準に留まっています。

この事例は、Web3特有の不条理な逆説を明らかにしています：チェーン上の透明性は、決してチェーン下の透明性と同じではありません。ブロックチェーンは取引に「匿名の透明性」を与え、誰もがアドレスの流れを見ることができますが、その背後にある実体を洞察することは困難です。しかし、真のリスクはユーザーが登録を完了し、ウォレットをバインドし、メモを設定した瞬間に発生します：彼らは「このアドレスの所有者は私である」という最も重要な対応関係を、プラットフォームの中央集権的なデータベースに渡してしまったのです。

その後、匿名性は徐々に幻想に変わります。この層のアイデンティティがより多くの情報に関連付けられ、より多くのラベルが貼られ、さらには濫用されると、チェーン上の透明性はもはやユーザーを保護せず、むしろ加害者の手中で最も正確な道具となります。

プロトコルレベルの分散化は、会社の分散化とは決して同じではない

Axiomのスキャンダルは、単に数人の社員の個人的な不正を暴露するものではありません。それはむしろ、Web3業界全体が「分散化」という物語の下で長年回避してきた重大な矛盾を映し出す鏡のようなものです：プロトコルレベルの分散化は、決して会社運営レベルの分散化と同じではありません。

プラットフォームのビジネスの核心が依然として中央集権的なバックエンドシステム、人工カスタマーサービス、社員の判断に依存している場合、「DeFi」や「Web3」というラベルは前面の装飾に過ぎません。ユーザーはスマートコントラクトの改ざん不可能性を信じていますが、個人情報の入力を完了し、ウォレットをバインドした瞬間に、彼らは最も重要な情報を完全に中央集権的な組織に渡してしまったことを忘れています。

信頼は決して無料ではありません。制度が未成熟な場所では、信頼コストを負担するのは常に情報の最も非対称な側です。