Archivo de Operaciones Internas de ZachXBT en Axiom Exchange: La Oscuridad Centralizada del Sistema Descentralizado

Web3 mundo, la emocionante Axiom Exchange, hizo un brillante comienzo con ingresos anuales que superan los 390 millones de dólares. Sin embargo, detrás de este éxito se oculta un escándalo sistemático de comercio interno y filtración de datos revelado por el investigador ZachXBT. El informe publicado en febrero de 2025 documentó que los empleados de desarrollo comercial accedieron sin autorización a la base de datos central y usaron la información de los usuarios para obtener beneficios comerciales. Este incidente no solo refleja la conducta inmoral de unos pocos empleados, sino que también ilumina una enfermedad estructural en la industria Web3.

Red de comercio interno sistemático revelada por el investigador ZachXBT

Axiom Exchange fue incluido en la selección de invierno de Y Combinator 2025, y sus fundadores Mist y Cal lograron crear una plataforma DeFi de rápido crecimiento. Sin embargo, la investigación exhaustiva de ZachXBT mostró cuán frágico era realmente ese éxito.

Según la investigación, el empleado de desarrollo comercial Broox Bauer convirtió el panel de control backend de Axiom en un campo de caza personal. La evidencia más crítica: Broox podía acceder libremente a información confidencial de cualquier usuario mediante códigos promocionales, direcciones de wallet o UID. En los registros de la plataforma, él mismo afirmó: “puedo encontrar todo sobre esa persona”. Los documentos de ZachXBT demostraron que esta operación se realizó de manera completamente planificada: inicialmente, se limitó a 10-20 consultas de wallet por semana para no activar alertas del sistema. La selección de objetivos no fue aleatoria; un KOL llamado Marcell fue especialmente atacado, debido a sus compras intensas de shitcoins y sus recomendaciones de retirar liquidez a sus seguidores. La información de estas wallets especiales tenía un alto valor en arbitraje, debido a la reutilización de direcciones raras.

Lo más inquietante fue lo organizado que estaba todo. Otros como Ryan, empleado de la plataforma, y el moderador Gowno también formaban parte del sistema. Las direcciones sospechosas se recopilaron en Google Sheets, creando una lista de seguimiento centralizada. Esta violación duró más de diez meses y las grabaciones de acceso de víctimas como “Jerry” y “Monix” se incluyeron en la cadena de pruebas.

Colapso del control de permisos en Axiom: más allá del caso de Broox Bauer

Tras la publicación del informe de ZachXBT, Axiom respondió con la típica frase de crisis: “shock y decepción”, cancelaron permisos y comenzaron una investigación. Pero estos movimientos superficiales no ocultan lo enferma que está la plataforma en realidad.

El primer problema: los registros de auditoría eran casi inútiles. En instituciones financieras tradicionales y empresas tecnológicas maduras, el acceso a datos sensibles de usuarios se registra automáticamente. Si un empleado de desarrollo comercial consulta cientos de wallets sin motivo justificado, el sistema debe alertar inmediatamente. La fallida supervisión de diez meses de Axiom indica que el “mecanismo de detección de comportamientos anormales” nunca funcionó o que los “registros de acceso” no se mantenían.

El segundo problema: el alcance del daño es incierto. Tras el informe, Axiom no reveló cuántos usuarios fueron afectados. Este silencio revela un miedo aún mayor: si Broox pudo acceder a esa información, ¿otros empleados también? Según el informe, personas como Gowno y Ryan también participaron en el delito, lo que sugiere que el uso indebido de permisos podría ser mucho más extendido. Si una organización se basa en la “confianza” y carece de reglas, el costo marginal de la corrupción se acerca a cero.

Vacíos en la gestión de datos: la ilusión de descentralización en Web3

El alcance del acceso a datos en el trasfondo que lista ZachXBT es aterrador: listas completas de wallets, direcciones monitoreadas, historial de transacciones, notas de usuarios y cuentas relacionadas. Estos datos no solo permiten rastrear actividades comerciales, sino que también reconstruyen el perfil completo de comportamiento de un usuario en la cadena.

En el mundo financiero tradicional, este tipo de información se limita estrictamente bajo el principio de “mínimo necesario”. Ningún empleado puede acceder a datos de clientes sin motivo justificado; todos los accesos quedan registrados y son revisados regularmente por el departamento de cumplimiento. La filosofía de diseño es simple: se basa en la ética individual de los empleados, la tecnología y las reglas.

Axiom no cumplía con estos estándares. Un problema aún más profundo es que en las nuevas instituciones Web3, esto se vuelve algo común. Los equipos en rápido crecimiento priorizan las actualizaciones del producto y dejan la infraestructura de cumplimiento para después. Pero para una plataforma del tamaño de Axiom, los datos accesibles a través de herramientas de backend son mucho más sensibles que en las etapas iniciales. Sin embargo, los mecanismos de protección siguen siendo de nivel startup.

Un punto que revela la contradicción de Web3: la transparencia en la cadena no significa transparencia fuera de ella. La blockchain ofrece “transparencia anónima”; todos pueden ver las transacciones, pero no entender quién está detrás. El verdadero riesgo empieza cuando los usuarios se registran en Axiom, conectan sus wallets y escriben notas: el mapa “esta dirección es mía” se entrega a la base de datos central. Desde ese momento, el anonimato se vuelve una ilusión. Cada nueva conexión, etiqueta o mal uso hace que la transparencia en la cadena deje de ser protección y se convierta en la arma más poderosa de los atacantes.

Contradicciones entre la libertad del protocolo y el riesgo corporativo

El escándalo de Axiom no es solo un problema de unos pocos empleados. Revela una gran contradicción que la industria Web3 ha evitado durante mucho tiempo: la descentralización a nivel de protocolo no es equivalente a la descentralización en las operaciones de la empresa.

Si el modelo de negocio de una plataforma depende de sistemas backend centralizados, soporte humano y decisiones de empleados, las etiquetas de “DeFi” o “Web3” son solo decoraciones superficiales. Los usuarios confían en la inmutabilidad de los contratos inteligentes, pero olvidan que entregan datos sensibles a una organización centralizada. La confianza nunca es gratuita; en las instituciones inmaduras, el costo de la confianza lo paga siempre la parte con menos poder de información.

La investigación de ZachXBT no solo revela el fracaso de Axiom, sino que también ilumina la paradoja del propio Web3: la descentralización tecnológica no puede reemplazar la disciplina institucional humana.