ZachXBTがAxiomの内部スキャンダルを暴露、内部社員はどのように権限を乱用したのか？

著者： Chloe， ChainCatcher

この数日間、市場の注目を集め、Polymarketで数千万ドルの賭けが集まった事件「ZachXBTはどのCrypto会社がインサイダー取引を行うかを暴露する？」がついに幕を閉じました。2月26日、チェーン上の探偵ZachXBTは正式に調査報告書を発表し、DeFi取引プラットフォームAxiom Exchangeに矛先を向けました。

報告内容は、このプラットフォームの上級社員が内部管理権限を濫用し、長期間にわたりユーザーのプライベートウォレットデータに不正アクセスし、これらの機密情報をインサイダー取引の道具に変えていたと指摘しています。本稿では、ZachXBTが暴露した証拠の連鎖を深く分析し、「チェーン上の透明性」が「チェーン下のブラックボックス管理」に奪われた様子を探ります。

ZachXBTがAxiom Exchangeのインサイダー取引スキャンダルを暴露

Axiom Exchangeは創設者のMistとCalによって共同で設立され、2025年初頭にY Combinator Winter Batch（W25）に選ばれました。このプラットフォームは、わずか1年で累計収益が3.9億ドルを超える驚異的な成績を収めました。しかし、輝かしい財務データの裏には、Broox Bauerという上級ビジネス開発社員がAxiomのバックエンドツールを私的な狩場に変えているという事実が隠れていました。

ZachXBTの調査によると、Broox Bauerは単独行動ではなく、組織的な「情報の現金化」プロセスを構築していました。このプロセスの核心はAxiomの内部管理ダッシュボードで、Brooxはプロモーションコード、ウォレットアドレス、またはUIDを通じて任意のユーザーのプライバシー情報を自由に検索できました。Brooxは録音の中で、「その人に関するあらゆることを見つけ出せる」と述べ、彼の操作には強い反探査意識が備わっていました：

1. 最初は10から20のウォレットのみを検索し、システムの異常警報を引き起こさないようにする。

2. ロックオンしたターゲットはランダムに選ばれたわけではありません。Marcellという名のKOLが長期間にわたりプライベートウォレットで大量のミームコインを購入し、ファンに流動性の退出を勧めたため、重点的に追跡される対象となりました。このようなトレーダーのプライベートウォレットは公開されることが少なく、アドレスの再利用率が低いため、これらの情報は非常に高いアービトラージ価値を持っています。

3. 組織とルールを構築し、別のAxiom社員Ryan（Ryucio）がユーザー情報の検索を手伝い、Gownoをモデレーターとして雇い、これらのプライベートウォレットをGoogle Sheetsにまとめて追跡しました。

これらの違反行為は10ヶ月以上（2025年4月から始まる）続き、証拠連鎖には被害者「Jerry」や「Monix」などのバックエンド管理のスクリーンショットが含まれています。これらの資料は疑問を引き起こしました：なぜビジネス開発員が職能を超えたアクセス権を持っているのか？存在すべき監視警報と権限の隔離は明らかに機能していませんでした。

Axiomの公式回答は、背後にある構造的な無能を隠すことはできない

ZachXBTの報告書が発表された後、Axiomの公式は標準的なPR危機処理の手法を取りました：「ショックと失望」を表明し、権限を撤回し調査を開始すると発表しました。しかし、これでは背後にある構造的な無能を隠すことはできません。このような事件は、プラットフォームの権限管理の失敗を明らかにしており、単なる一社員の個人的な行動ではありません。

1. 欠落した監査ログ

伝統的な金融や成熟したWeb2テクノロジー企業では、ユーザーの敏感なデータにアクセスする操作は必ずログを残さなければなりません。もしビジネス開発員が職能を超えて数百の業務に無関係なウォレットアドレスを検索できるなら、システムはすぐに警告を発するべきです。Axiomの10ヶ月にわたる監視の真空は、内部システムに「異常行動検出メカニズム」が存在しない可能性を示唆しており、「操作記録」が残されているかどうかも疑わしいです。

2. 被害範囲は今も不明

Axiomの声明には、影響を受けたユーザーの規模について言及されていません。これはさらに深刻な懸念を引き起こします：もしBroox Bauerが情報を閲覧できるなら、他の社員はどうでしょうか？報告書に記載されたモデレーターGownoと別のビジネス開発社員Ryanは彼の共犯者であり、このような権限の濫用が比較的容易であることを示唆しています。組織のガバナンス構造が「信頼」に基づいている場合、「制度」ではなく、内部腐敗の限界コストは非常に低くなります。

権限は形骸化している？Web3新興企業のデータガバナンスのブラックホール

このスキャンダルの核心をさらに検証します。ZachXBTの報告書に記載されたバックエンドでアクセス可能なデータの次元は驚くべきものです：ユーザーの完全なウォレットリスト、ユーザーが追跡しているウォレット、完全な取引履歴、ユーザーが自分で設定したウォレットのメモ名、そして関連アカウント。このリストは取引データだけでなく、ユーザーの完全なチェーン上の行動パターンを再現するのに十分な情報を含んでいます。

伝統的な金融機関では、このようなデータへのアクセスは厳格な「最小限必要情報原則」に制約されています。明確な業務上の必要がない限り、いかなる社員も顧客の敏感な情報にアクセスしてはなりません；すべてのアクセス行為は監査可能な操作ログを残し、定期的にコンプライアンス部門によって抽出されるべきです。このメカニズムの設計論理は非常にシンプルです：それは社員の個人的な道徳水準に依存せず、技術と制度の二重の制約を通じて、問題が発生する前に損害の範囲を縮小します。

Axiomのバックエンドは明らかにこの基準に達していません。さらに考慮すべきは、このような問題がWeb3の新興企業においては決して特異なケースではないということです。急速に拡大するチームはしばしばエンジニアリングリソースを製品の反復に集中させ、コンプライアンスやデータガバナンスの構築は後回しにされ、さらには「上場してから考える」という議題として扱われることさえあります。しかし、プラットフォームの規模がAxiomのような大きさに達すると、バックエンドツールが触れるデータの敏感性は初期段階をはるかに超えており、防護メカニズムの構築はしばしば創業期の水準に留まっています。

このケースはまた、Web3特有の不条理な逆説を明らかにしています：チェーン上の透明性は、決してチェーン下の透明性と同じではありません。ブロックチェーンは取引に「匿名の透明性」を与え、誰もがアドレスの流れを見ることができるが、その背後にある実体を洞察することは難しいです；しかし、真のリスクはユーザーが登録を完了し、ウォレットを結び付け、メモを設定した瞬間に発生します：彼らは「このアドレスの所有者は私である」という最も重要な対応関係をプラットフォームの中央集権的なデータベースに渡してしまったのです。

その後、匿名性は徐々に幻想に変わります。この層のアイデンティティがより多くの情報に関連付けられ、より多くのラベルが貼られ、さらには濫用されると、チェーン上の透明性はもはやユーザーを保護せず、むしろ加害者の手中で最も正確な道具となります。

プロトコルレベルの非中央集権は、会社の非中央集権とは同じではない

Axiomのスキャンダルが明らかにしているのは、数人の社員の個人的な不正行為だけではありません。それはむしろ、Web3業界全体が「非中央集権」の物語の下で長年回避してきた重大な矛盾を映し出す鏡のようなものです：プロトコルレベルの非中央集権は、会社運営レベルの非中央集権とは決して同じではありません。

あるプラットフォームのビジネスの核心が依然として中央集権的なバックエンドシステム、人工カスタマーサービス、社員の判断に依存している場合、「DeFi」や「Web3」というラベルは前面の装飾に過ぎません。ユーザーはスマートコントラクトの改ざん不可能性を信じていますが、個人情報の入力を完了し、ウォレットを結び付けた瞬間に、彼らは最も重要な情報を完全に中央集権的な組織に渡してしまったことを忘れています。

信頼は決して無料ではありません。制度が成熟していない場所では、信頼コストを負担するのは常に情報が最も非対称な側です。