Web3の世界で話題のAxiom Exchangeは、年間収益3億ドルを超える好調なスタートを切った。しかし、その背後には、調査員ZachXBTによって明らかにされた体系的な内部取引とデータ漏洩のスキャンダルが隠されている。2025年2月に公開された報告書は、プラットフォームのビジネス開発担当者が中央データベースに不正アクセスし、ユーザー情報を商業的利益のために悪用していた事実を証明した。この事件は、少数の従業員の不道徳な行動だけにとどまらず、Web3業界の構造的な病巣を照らし出している。## 調査員ZachXBTによる体系的な内部取引ネットワークAxiom ExchangeはY Combinatorの2025年冬季選考に選ばれ、創業者のMistとCalは急成長中のDeFiプラットフォームを築き上げていた。しかし、ZachXBTの詳細な調査は、この成功の土台がいかに脆弱であったかを明らかにした。調査によると、ビジネス開発担当のBroox Bauerは、Axiomのバックエンドコントロールパネルを個人的な狩猟エリアに変えていた。最も重要な発見は、Brooxがプロモーションコード、ウォレットアドレス、またはUIDを通じて、任意のユーザーの秘密情報に自由にアクセスできたことである。プラットフォームの登録記録には、「あの人について何でも調べられる」と記されていた。ZachXBTの資料は、この行為が完全に計画的に行われたことを示している。最初の段階では、システムの警告を発しないように、週に10〜20のウォレットクエリに制限されていた。ターゲットの選定もランダムではなく、KOLのMarcellは、激しいシットコイン購入やフォロワーへの流動性引き出しの勧誘を行うことで特に狙われた。こうした特定のウォレット情報は、稀に再利用されるアドレスのため、アービトラージの観点から高い価値を持っていた。この行為の恐ろしい点は、その組織化の度合いである。Axiomの従業員RyanやモデレーターのGownoなどもこのシステムの一部だった。疑わしいウォレットアドレスはGoogle Sheetsに集約され、中央の監視リストが作成された。この侵害は10か月以上続き、「Jerry」や「Monix」などの被害者のバックエンドアクセス記録も証拠チェーンに記録された。## Axiomにおける権限管理崩壊:Broox Bauer事件の先にあるものZachXBTの報告後、Axiomは危機からの脱却として標準的な対応を取った。「衝撃と失望」の声明とともに、権限は取り消され、調査が開始された。しかし、この表面的な対応だけでは、プラットフォームの根深い問題を隠しきれない。第一の問題は、監査ログのほとんどが機能していなかったことである。従来の金融機関や成熟したテクノロジー企業では、ユーザの敏感な情報へのアクセスは自動的に記録される。ビジネス開発担当者が何百ものウォレットアドレスを問い合わせても、システムは即座に警告を出すべきだ。Axiomの10か月にわたる監視の失敗は、「異常行動検知機能」が全く機能していなかったか、「アクセス記録」が保持されていなかったことを示している。第二の問題は、被害範囲が不明確な点だ。ZachXBTの報告後も、Axiomは何人のユーザーが影響を受けたかを公表していない。この沈黙は、より深刻な恐怖を浮き彫りにしている。もしBrooxがこの権限にアクセスできるなら、他の従業員も同様にアクセスできるのではないか?報告書によると、GownoやRyanなども関与している可能性があり、この種の権限の乱用はさらに広範囲に及ぶ可能性がある。組織が「信頼」を基盤にしており、ルールが欠如している場合、不正のコストはほぼゼロに近くなる。## データ管理の空白:Web3の中央集権幻想の崩壊ZachXBTの報告書に列挙されたバックエンドデータへのアクセス範囲は衝撃的だ。完全なウォレットリスト、追跡されたアドレス、取引履歴、ユーザーノート、関連アカウントなど、これらの情報は、単なる商業活動だけでなく、ユーザのオンチェーン上の行動プロフィールを再構築するのに十分なものである。従来の金融界では、この種の情報へのアクセスは「最小権限の原則」に基づき厳格に制限される。従業員は、業務上必要な場合を除き、顧客情報にアクセスできず、すべてのアクセスは監査ログに記録され、コンプライアンス部門によって定期的に検査される。設計思想はシンプルだ:従業員の個人的な倫理観ではなく、技術とルールに依存している。しかし、Axiomはこの基準を満たしていなかった。より深刻な問題は、Web3の若い組織ではこれが当たり前になっていることである。急成長するチームはエンジニアリングリソースを製品のアップデートに集中させ、コンプライアンスのインフラ整備を後回しにしがちだ。しかし、Axiomの規模では、バックエンドツールがアクセスできるデータは、初期段階のスタートアップ時よりもはるかに敏感だというのに、その保護メカニズムは依然としてスタートアップレベルにとどまっている。Web3の自己矛盾もここに露呈している。チェーン上の透明性は、チェーン下の透明性を保証しない。ブロックチェーンは「匿名の透明性」を提供し、誰もアドレスの流れを見ることはできるが、その背後にいる実体を理解できない。真のリスクは、ユーザがAxiomに登録し、ウォレットをリンクし、メモを書き込む瞬間に始まる:その「このアドレスは私のもの」というマッピングが中央データベースに渡されるのだ。そこから先は、匿名性は次第にフィクションとなり、各新たな紐付けや悪用により、チェーン上の透明性はもはや保護ではなく、攻撃者の最強の武器となる。## プロトコルの自由と企業リスクの矛盾Axiomのスキャンダルは、単なる少数の従業員の行動問題にとどまらない。Web3業界が長らく避けてきた大きな矛盾を浮き彫りにしている。それは、プロトコルレベルの分散性と、企業運営レベルの中央集権性は等価ではないということだ。もしあるプラットフォームのビジネスモデルが、中央のバックエンドシステムや人間のサポートチーム、従業員の意思決定に依存しているなら、「DeFi」や「Web3」のタグは表面的な装飾に過ぎない。ユーザはスマートコントラクトの改ざん不可能性を信頼しながらも、敏感な個人情報を中央の組織に預けていることを忘れてはならない。信頼は決して無料ではなく、未成熟な組織の世界では、そのコストは常に最も情報力の低い側が負担する。ZachXBTのこの徹底的な調査は、Axiomの失敗だけでなく、Web3の自己矛盾も明らかにしている。技術的な分散性は、人間の組織的規律を置き換えることはできない。
ZachXBTのAxiom Exchange内部取引ファイル:中央集権型システムの非中央集権的な闇
Web3の世界で話題のAxiom Exchangeは、年間収益3億ドルを超える好調なスタートを切った。しかし、その背後には、調査員ZachXBTによって明らかにされた体系的な内部取引とデータ漏洩のスキャンダルが隠されている。2025年2月に公開された報告書は、プラットフォームのビジネス開発担当者が中央データベースに不正アクセスし、ユーザー情報を商業的利益のために悪用していた事実を証明した。この事件は、少数の従業員の不道徳な行動だけにとどまらず、Web3業界の構造的な病巣を照らし出している。
調査員ZachXBTによる体系的な内部取引ネットワーク
Axiom ExchangeはY Combinatorの2025年冬季選考に選ばれ、創業者のMistとCalは急成長中のDeFiプラットフォームを築き上げていた。しかし、ZachXBTの詳細な調査は、この成功の土台がいかに脆弱であったかを明らかにした。
調査によると、ビジネス開発担当のBroox Bauerは、Axiomのバックエンドコントロールパネルを個人的な狩猟エリアに変えていた。最も重要な発見は、Brooxがプロモーションコード、ウォレットアドレス、またはUIDを通じて、任意のユーザーの秘密情報に自由にアクセスできたことである。プラットフォームの登録記録には、「あの人について何でも調べられる」と記されていた。ZachXBTの資料は、この行為が完全に計画的に行われたことを示している。最初の段階では、システムの警告を発しないように、週に10〜20のウォレットクエリに制限されていた。ターゲットの選定もランダムではなく、KOLのMarcellは、激しいシットコイン購入やフォロワーへの流動性引き出しの勧誘を行うことで特に狙われた。こうした特定のウォレット情報は、稀に再利用されるアドレスのため、アービトラージの観点から高い価値を持っていた。
この行為の恐ろしい点は、その組織化の度合いである。Axiomの従業員RyanやモデレーターのGownoなどもこのシステムの一部だった。疑わしいウォレットアドレスはGoogle Sheetsに集約され、中央の監視リストが作成された。この侵害は10か月以上続き、「Jerry」や「Monix」などの被害者のバックエンドアクセス記録も証拠チェーンに記録された。
Axiomにおける権限管理崩壊:Broox Bauer事件の先にあるもの
ZachXBTの報告後、Axiomは危機からの脱却として標準的な対応を取った。「衝撃と失望」の声明とともに、権限は取り消され、調査が開始された。しかし、この表面的な対応だけでは、プラットフォームの根深い問題を隠しきれない。
第一の問題は、監査ログのほとんどが機能していなかったことである。従来の金融機関や成熟したテクノロジー企業では、ユーザの敏感な情報へのアクセスは自動的に記録される。ビジネス開発担当者が何百ものウォレットアドレスを問い合わせても、システムは即座に警告を出すべきだ。Axiomの10か月にわたる監視の失敗は、「異常行動検知機能」が全く機能していなかったか、「アクセス記録」が保持されていなかったことを示している。
第二の問題は、被害範囲が不明確な点だ。ZachXBTの報告後も、Axiomは何人のユーザーが影響を受けたかを公表していない。この沈黙は、より深刻な恐怖を浮き彫りにしている。もしBrooxがこの権限にアクセスできるなら、他の従業員も同様にアクセスできるのではないか?報告書によると、GownoやRyanなども関与している可能性があり、この種の権限の乱用はさらに広範囲に及ぶ可能性がある。組織が「信頼」を基盤にしており、ルールが欠如している場合、不正のコストはほぼゼロに近くなる。
データ管理の空白:Web3の中央集権幻想の崩壊
ZachXBTの報告書に列挙されたバックエンドデータへのアクセス範囲は衝撃的だ。完全なウォレットリスト、追跡されたアドレス、取引履歴、ユーザーノート、関連アカウントなど、これらの情報は、単なる商業活動だけでなく、ユーザのオンチェーン上の行動プロフィールを再構築するのに十分なものである。
従来の金融界では、この種の情報へのアクセスは「最小権限の原則」に基づき厳格に制限される。従業員は、業務上必要な場合を除き、顧客情報にアクセスできず、すべてのアクセスは監査ログに記録され、コンプライアンス部門によって定期的に検査される。設計思想はシンプルだ:従業員の個人的な倫理観ではなく、技術とルールに依存している。
しかし、Axiomはこの基準を満たしていなかった。より深刻な問題は、Web3の若い組織ではこれが当たり前になっていることである。急成長するチームはエンジニアリングリソースを製品のアップデートに集中させ、コンプライアンスのインフラ整備を後回しにしがちだ。しかし、Axiomの規模では、バックエンドツールがアクセスできるデータは、初期段階のスタートアップ時よりもはるかに敏感だというのに、その保護メカニズムは依然としてスタートアップレベルにとどまっている。
Web3の自己矛盾もここに露呈している。チェーン上の透明性は、チェーン下の透明性を保証しない。ブロックチェーンは「匿名の透明性」を提供し、誰もアドレスの流れを見ることはできるが、その背後にいる実体を理解できない。真のリスクは、ユーザがAxiomに登録し、ウォレットをリンクし、メモを書き込む瞬間に始まる:その「このアドレスは私のもの」というマッピングが中央データベースに渡されるのだ。そこから先は、匿名性は次第にフィクションとなり、各新たな紐付けや悪用により、チェーン上の透明性はもはや保護ではなく、攻撃者の最強の武器となる。
プロトコルの自由と企業リスクの矛盾
Axiomのスキャンダルは、単なる少数の従業員の行動問題にとどまらない。Web3業界が長らく避けてきた大きな矛盾を浮き彫りにしている。それは、プロトコルレベルの分散性と、企業運営レベルの中央集権性は等価ではないということだ。
もしあるプラットフォームのビジネスモデルが、中央のバックエンドシステムや人間のサポートチーム、従業員の意思決定に依存しているなら、「DeFi」や「Web3」のタグは表面的な装飾に過ぎない。ユーザはスマートコントラクトの改ざん不可能性を信頼しながらも、敏感な個人情報を中央の組織に預けていることを忘れてはならない。信頼は決して無料ではなく、未成熟な組織の世界では、そのコストは常に最も情報力の低い側が負担する。
ZachXBTのこの徹底的な調査は、Axiomの失敗だけでなく、Web3の自己矛盾も明らかにしている。技術的な分散性は、人間の組織的規律を置き換えることはできない。