ZachXBT expõe o escândalo interno da Axiom: como os funcionários internos abusam dos seus privilégios?

Autor: Chloe, ChainCatcher

O evento que atraiu a atenção do mercado nos últimos dias, acumulando dezenas de milhões de dólares em apostas no Polymarket, "Qual empresa de criptomoedas ZachXBT irá expor por uso de informação privilegiada?", finalmente chegou ao fim. Em 26 de fevereiro, o detetive on-chain ZachXBT divulgou oficialmente um relatório de investigação, apontando diretamente para a plataforma de negociação DeFi Axiom Exchange.

O relatório acusa um funcionário sênior da plataforma de ter supostamente abusado de privilégios de gestão interna para acessar ilegalmente dados privados das carteiras dos utilizadores durante um longo período, transformando essas informações confidenciais em uma ferramenta para negociação com informações privilegiadas. Este artigo irá aprofundar a cadeia de evidências revelada por ZachXBT, onde a «transparência na cadeia» é sequestrada pela «gestão da caixa preta fora da cadeia».

ZachXBT expõe escândalo de abuso de informação privilegiada na Axiom Exchange

A Axiom Exchange foi cofundada por Mist e Cal e foi selecionada para o Y Combinator Winter Batch (W25) no início de 2025. Esta plataforma apresentou um desempenho surpreendente, com receitas acumuladas superiores a 390 milhões de dólares em apenas um ano. No entanto, por trás dos dados financeiros brilhantes, um funcionário sênior de desenvolvimento de negócios chamado Broox Bauer estava transformando as ferramentas de back-end da Axiom em um terreno de caça privado.

De acordo com a investigação de ZachXBT, Broox Bauer não agiu sozinho; ele estabeleceu um processo organizado de "monetização de informações", tendo como núcleo o painel de controlo interno da Axiom, que permitia a Broox consultar livremente as informações privadas de qualquer utilizador através de códigos promocionais, endereços de carteiras ou UIDs. Broox afirmou numa gravação que poderia «descobrir qualquer coisa sobre essa pessoa», e as suas operações revelavam uma forte consciência da contravigilância:

1. Inicialmente, consultar apenas 10 a 20 carteiras para evitar o acionamento de alertas de anomalia do sistema.

2. Os alvos não foram selecionados aleatoriamente. Por exemplo, um KOL chamado Marcell tornou-se um alvo de rastreamento importante por ter comprado uma grande quantidade de moedas meme com a sua carteira privada e promovido a saída de liquidez para os seus fãs. As carteiras privadas desses negociantes raramente são públicas, e a taxa de reutilização de endereços é baixa, tornando essas informações altamente valiosas para arbitragem.

3. Estabelecer organização e regras, como outro funcionário da Axiom, Ryan (Ryucio), ajudar a encontrar informações do utilizador, contratar Gowno como moderador e compilar essas carteiras privadas em planilhas do Google para rastreamento.

Essas violações duraram mais de dez meses (começando em abril de 2025), com a cadeia de provas incluindo capturas de tela do backend de gestão das vítimas «Jerry» e «Monix». Essa informação também levantou questões: por que um funcionário do departamento de desenvolvimento de negócios tinha acesso multifuncional? Os alertas de monitorização necessários e o isolamento de acesso claramente não funcionaram.

A resposta oficial da Axiom não consegue esconder a disfunção estrutural

Após a divulgação do relatório ZachXBT, a resposta oficial da Axiom seguiu uma abordagem padrão de gestão de crises de relações públicas: emitir uma declaração expressando «choque e desapontamento», revogar o acesso e iniciar uma investigação. No entanto, isso ainda não consegue esconder a disfunção estrutural subjacente, uma vez que tais incidentes revelam a falha da plataforma no controlo de acesso, em vez de serem meramente ações de um funcionário individual.

1. Registos de auditoria em falta

Nas finanças tradicionais ou nas empresas maduras de tecnologia Web2, qualquer operação que aceda a dados confidenciais dos utilizadores deve deixar um registo. Se um funcionário do departamento de desenvolvimento de negócios puder consultar centenas de endereços de carteiras não relacionados ao seu negócio, o sistema deve acionar um alerta imediatamente. O vazio regulatório de dez meses da Axiom indica que o seu sistema interno pode nem mesmo ter um «mecanismo de deteção de anomalias», e também é questionável se os «registos de operação» são mantidos.

2. O âmbito das vítimas permanece incerto

A declaração da Axiom não mencionou a escala de utilizadores afetados. Isso levanta preocupações mais profundas: se Broox Bauer teve acesso a essas informações, o que dizer dos outros funcionários? O relatório menciona o moderador Gowno e outro funcionário de desenvolvimento de negócios, Ryan, como cúmplices, sugerindo que tal abuso de privilégios pode ser relativamente fácil. Quando a estrutura de governança de uma organização é baseada na «confiança» em vez de na «instituição», o custo marginal da corrupção interna é extremamente baixo.

As permissões são apenas uma formalidade? O buraco negro da governança de dados das startups da Web3

Analisando mais profundamente o cerne deste escândalo. As dimensões dos dados acessíveis listados no relatório ZachXBT são alarmantes: listas completas de carteiras dos utilizadores, carteiras rastreadas pelos utilizadores, históricos completos de transações, nomes de notas de carteiras definidos pelos utilizadores e contas associadas. Esta lista abrange não apenas dados de transações, mas também reconstrói o padrão completo de comportamento do utilizador na cadeia.

Nas instituições financeiras tradicionais, o acesso a esses dados é estritamente restringido pelo «princípio da informação mínima necessária». Qualquer funcionário sem uma necessidade comercial clara está proibido de aceder a dados confidenciais de clientes; todas as ações de acesso devem manter registos de operação auditáveis e ser verificadas periodicamente pelos departamentos de conformidade. A lógica de design deste mecanismo é simples: não depende dos padrões morais pessoais dos funcionários, mas minimiza os danos antes que os problemas ocorram por meio de restrições duplas de tecnologia e sistemas.

O backend da Axiom claramente não cumpria esse padrão. Mais preocupante ainda é o facto de tais questões não serem casos isolados nas startups da Web3. Equipes em rápida expansão muitas vezes concentram os recursos de engenharia na iteração do produto, enquanto as estruturas de conformidade e governança de dados são deixadas em segundo plano, às vezes até mesmo vistas como tópicos a serem abordados "após a listagem". No entanto, quando uma plataforma atinge a escala da Axiom, a sensibilidade dos dados acessíveis através de ferramentas de back-end excede em muito a dos estágios iniciais, enquanto a construção de mecanismos de proteção muitas vezes permanece no nível inicial.

Este caso também revela um paradoxo absurdo único da Web3: a transparência na cadeia não equivale à transparência fora da cadeia. A blockchain proporciona «transparência anónima» às transações; todos podem ver o fluxo de endereços, mas têm dificuldade em discernir as entidades por trás deles. No entanto, o risco real ocorre no momento em que os utilizadores concluem o registo, vinculam carteiras e definem notas: eles entregam a correspondência mais crítica de «o proprietário deste endereço sou eu» ao banco de dados centralizado da plataforma.

Depois disso, o anonimato torna-se gradualmente uma ilusão. Quando essa camada de identidade é associada a mais informações, marcada com mais rótulos ou até mesmo abusada, a transparência na cadeia não protege mais os utilizadores, mas se torna a ferramenta mais precisa nas mãos dos criminosos.

A descentralização ao nível do protocolo não equivale à descentralização da empresa

O escândalo da Axiom revela não apenas a má conduta pessoal de alguns funcionários. Isso serve como um espelho que reflete uma contradição significativa que toda a indústria Web3 há muito evita sob a narrativa da «descentralização»: a descentralização no nível do protocolo não equivale à descentralização no nível operacional das empresas.

Quando o negócio principal de uma plataforma ainda depende de sistemas back-end centralizados, atendimento ao cliente manual e julgamento dos funcionários, os rótulos "DeFi" ou "Web3" parecem meras decorações de front-end. Os utilizadores confiam na imutabilidade dos contratos inteligentes, mas esquecem-se de que, no momento em que introduzem informações pessoais e vinculam carteiras, já entregaram as informações mais críticas a uma organização completamente centralizada.

A confiança nunca foi gratuita; em locais onde os sistemas ainda não estão maduros, a parte que arca com o custo da confiança é sempre aquela com a informação mais assimétrica.