ملف التداول الداخلي لـ ZachXBT حول Axiom Exchange: الجانب المظلم المركزي للنظام اللامركزي

في عالم Web3، أظهرت منصة Axiom Exchange المثيرة للجدل بداية مشرقة بإيرادات سنوية تجاوزت 390 مليون دولار. لكن وراء هذا النجاح، يكمن فضيحة منهجية تتعلق بالتجارة الداخلية وتسريب البيانات، كشف عنها الباحث ZachXBT. أظهر تقرير نُشر في فبراير 2025 أن المنصة سمحت لموظفي تطوير الأعمال بالوصول غير المصرح به إلى قاعدة البيانات المركزية، واستغلال معلومات المستخدمين لتحقيق مكاسب تجارية. هذه الحادثة لا تتعلق فقط بسلوك غير أخلاقي لقلة من الموظفين، بل تكشف عن مرض هيكلي في صناعة Web3.

شبكة التجارة الداخلية المنهجية التي كشف عنها الباحث ZachXBT

كانت Axiom Exchange من ضمن المختارين في دفعة Winter 2025 من Y Combinator، ونجح مؤسسوها Mist و Cal في بناء منصة DeFi سريعة النمو. لكن التحقيق الشامل لـ ZachXBT أظهر أن أساس هذا النجاح هش للغاية.

وفقًا للتحقيق، قام موظف تطوير الأعمال Broox Bauer بتحويل لوحة التحكم الخلفية لـ Axiom إلى منطقة استهداف شخصية. وأهم اكتشاف: كان بإمكان Broox الوصول بحرية إلى معلومات سرية لأي مستخدم عبر رمز ترويجي، عنوان محفظة، أو UID. وذكر في سجلات التسجيل أنه “يمكنه العثور على كل شيء عن ذلك الشخص”. وأكدت وثائق ZachXBT أن هذا التصرف كان مخططًا له بشكل كامل: في البداية، تم تقييد استعلامات المحافظ الأسبوعية إلى 10-20 استعلام لتجنب تنشيط تنبيهات النظام. لم يكن اختيار الأهداف عشوائيًا؛ حيث استُهدف KOL يُدعى Marcell، الذي كان يشتري بشكل مكثف Shitcoin ويقدم نصائح لمتابعيه بسحب السيولة. وكانت عناوين المحافظ الخاصة بهذه الأهداف ذات قيمة عالية في عمليات التحكيم بسبب تكرار استخدامها النادر.

أما الجزء المروع فهو مدى تنظيم هذه العملية. كان هناك أفراد آخرون، مثل Ryan وGowno، من ضمن فريق Axiom، يشاركون في هذا النظام. تم جمع عناوين المحافظ المشبوهة في جداول Google، وتكوين قائمة مراقبة مركزية. استمرت هذه الاختراقات لأكثر من تسعة أشهر، وأُدرجت سجلات وصول الضحايا مثل “Jerry” و"Monix" في سجل الأدلة على السلسلة.

انهيار السيطرة على الصلاحيات في Axiom: نظرة أعمق على حادثة Broox Bauer

بعد إصدار تقرير ZachXBT، ردت Axiom بشكل تقليدي: “صدمة وخيبة أمل”، وتم إلغاء الصلاحيات وبدأت التحقيقات. لكن هذا الإجراء السطحي لا يخفي مدى مرض المنصة في الأعماق.

المشكلة الأولى: كانت سجلات التدقيق شبه غير فعالة. في المؤسسات المالية التقليدية والشركات التقنية الناضجة، يتم تلقائيًا تسجيل وصول المستخدمين إلى البيانات الحساسة. إذا كان موظف تطوير الأعمال يمكنه استعلام مئات العناوين بدون سبب، فيجب أن يصدر النظام تنبيهًا فوريًا. فشل مراقبة Axiom على مدى عشرة أشهر يشير إلى أن “آلية اكتشاف السلوك غير الطبيعي” إما لم تعمل أبدًا، أو أن “سجلات الوصول” لم تكن تُحتفظ.

المشكلة الثانية: مدى الضرر غير واضح. بعد تقرير ZachXBT، لم تكشف Axiom عن عدد المستخدمين المتأثرين. هذا الصمت يثير خوفًا أعمق: إذا كان Broox يمكنه الوصول إلى هذه الصلاحيات، فهل يمكن لغيره من الموظفين ذلك أيضًا؟ ووفقًا للتقرير، فإن أشخاصًا مثل Gowno وRyan متورطون أيضًا، مما يشير إلى أن سوء استخدام الصلاحيات قد يكون أكثر انتشارًا. إذا كانت المنظمة تعتمد على “الثقة” وتفتقر إلى قواعد واضحة، فإن تكلفة الفساد تصبح تقريبًا معدومة.

فجوة إدارة البيانات: وهم اللامركزية في Web3

البيانات التي تم الوصول إليها في تقرير ZachXBT مروعة: قوائم المحافظ الكاملة، العناوين المراقبة، سجل المعاملات، ملاحظات المستخدم، والحسابات المرتبطة. هذه البيانات تكفي لإعادة بناء ملف سلوك المستخدم بالكامل على السلسلة.

في العالم المالي التقليدي، يُقيد الوصول إلى مثل هذه المعلومات بمبدأ “الحد الأدنى من الضرورة”. لا يمكن لأي موظف الوصول إلى بيانات العملاء بدون سبب مشروع، وتُسجل جميع عمليات الوصول، وتُراجع بشكل دوري من قبل قسم الامتثال. فلسفة التصميم بسيطة: تعتمد على أخلاق الموظف، وليس على التكنولوجيا أو القواعد.

أما Axiom، فهي لا تلتزم بهذه المعايير. والأخطر أن هذا الأمر أصبح عاديًا في مؤسسات Web3 الناشئة. الفرق السريعة النمو تركز على تحديث المنتجات، وتتجاهل بنية الامتثال. لكن، بالنسبة لمنصة بحجم Axiom، فإن البيانات التي يمكن الوصول إليها من أدوات الخلفية أكثر حساسية بكثير من مرحلة البداية. ومع ذلك، تظل آليات الحماية في مستوى الشركات الناشئة.

وهو تناقض جوهري في Web3: الشفافية على السلسلة لا تعني الشفافية خارج السلسلة. توفر البلوكشين “الشفافية المجهولة”، حيث يمكن للجميع رؤية تدفقات العناوين، لكن لا يمكنهم فهم من يقف وراءها. والخطر الحقيقي يبدأ عندما يسجل المستخدمون في Axiom ويربطون محافظهم ويكتبون ملاحظات: يتم تسليم خريطة “هذا العنوان لي” إلى قاعدة البيانات المركزية. ومن تلك النقطة، يتحول المجهول تدريجيًا إلى وهم. كل ارتباط جديد، وكل تصنيف، وكل سوء استخدام، يجعل الشفافية على السلسلة سلاحًا أكثر من كونها حماية.

التناقض بين حرية البروتوكول والمخاطر المؤسسية

فضيحة Axiom ليست مجرد مشكلة سلوك بعض الموظفين. فهي تكشف عن تناقض كبير لطالما تجنبت صناعة Web3 الاعتراف به: اللامركزية على مستوى البروتوكول لا تتساوى مع اللامركزية على مستوى العمليات المؤسسية.

إذا كانت منصة تعتمد على أنظمة خلفية مركزية، وفريق دعم بشري، وقرارات موظفين، فإن “DeFi” أو “Web3” مجرد ديكور أمامي. يثق المستخدمون في عدم قابلية تعديل العقود الذكية، لكنهم ينسون أن معلوماتهم الحساسة تُسلَّم إلى منظمة مركزية. الثقة لا تأتي مجانًا أبدًا؛ وفي عالم المؤسسات غير الناضجة، يتحمل الطرف الأقل معرفة تكلفة الثقة دائمًا.

تحقيق ZachXBT لا يسلط الضوء فقط على فشل Axiom، بل يكشف أيضًا عن التناقض الداخلي في Web3: اللامركزية التكنولوجية لا يمكن أن تحل محل الانضباط المؤسسي البشري.