Файл внутреннего трейдинга Axiom Exchange от ZachXBT: централизованная тень децентрализованной системы

Web3 мире захватывающий Axiom Exchange начал с яркого старта, заработав более 390 миллионов долларов в год. Однако за этим успехом скрывается системный скандал внутренней торговли и утечки данных, выявленный исследователем ZachXBT. В отчёте, опубликованном в феврале 2025 года, было доказано, что сотрудники платформы получали несанкционированный доступ к центральной базе данных и использовали информацию о пользователях в коммерческих целях. Этот инцидент — не просто результат аморальных действий нескольких сотрудников, а яркое проявление структурной болезни индустрии Web3.

Системная внутренняя торговля: сеть ZachXBT

Axiom Exchange входил в зимний набор Y Combinator 2025 года, а основатели Mist и Cal создали быстрорастущую DeFi-платформу. Однако всестороннее расследование ZachXBT показало, насколько хрупка эта основа.

По данным исследования, сотрудник по развитию бизнеса Broox Bauer превратил контрольную панель Axiom в личную охотничью зону. Самое важное: Broox мог свободно получать доступ к конфиденциальной информации любого пользователя через промо-код, адрес кошелька или UID. В регистрационных данных платформы он заявил, что «может найти всё о человеке». Документы ZachXBT показали, что всё происходило по заранее спланированной схеме: вначале система ограничивала 10-20 запросов к кошелькам в неделю, чтобы не срабатывать автоматические оповещения. Выбор целей не был случайным: ключевым объектом стал KOL по имени Marcell, который активно покупал shitcoin и советовал подписчикам выводить ликвидность. Информация о таких особых кошельках имела высокую ценность из-за редкого повторного использования адресов и возможности арбитража.

Самое пугающее — насколько организованной была эта деятельность. В систему входили и другие участники, например, сотрудник Ryan и модератор Gowno. Подозрительные адреса собирались в Google Sheets, создавалась централизованная таблица мониторинга. Этот взлом длился более девяти месяцев, а записи о доступе к аккаунтам жертв, таких как “Jerry” и “Monix”, были зафиксированы в блокчейн-истории.

Провал контроля доступа в Axiom: взгляд за пределы Broox Bauer

После публикации отчёта ZachXBT Axiom ответил стандартной фразой: «шок и разочарование», отключили полномочия и начали расследование. Но эти поверхностные меры не скрывают глубинных проблем платформы.

Первая проблема: журналы аудита практически не работали. В традиционных финансовых и технологических компаниях доступ к чувствительным данным автоматически регистрируется. Если сотрудник по развитию бизнеса может без ограничений запрашивать сотни кошельков, система должна выдавать автоматические предупреждения. Провал наблюдения за десять месяцев говорит либо о полном отсутствии системы обнаружения аномалий, либо о том, что записи о доступе вообще не ведутся.

Вторая проблема: масштаб ущерба неизвестен. После отчёта ZachXBT Axiom не сообщил, сколько пользователей пострадало. Это молчание вызывает ещё больше опасений: если Broox мог получить доступ, то и другие сотрудники могли иметь такую возможность. Согласно отчету, Gowno и Ryan тоже участвовали в преступлении, что говорит о возможной широкой распространённости злоупотреблений. Если организация строится на доверии и отсутствуют строгие правила, то издержки коррупции практически нулевые.

Пробелы в управлении данными: иллюзия децентрализации Web3

В отчёте ZachXBT перечислены ужасные масштабы доступа к данным: полные списки кошельков, отслеживаемые адреса, история транзакций, заметки пользователей и связанные аккаунты. Эти данные позволяют не только отслеживать коммерческую активность, но и полностью восстанавливать поведенческий профиль пользователя.

В традиционной финансовой сфере такой доступ строго ограничен принципом минимальных привилегий. Ни один сотрудник не может без причины просматривать клиентские данные — всё регистрируется и регулярно проверяется отделом соответствия. Основная идея — не доверять человеку, а доверять системе и правилам.

Axiom этим стандартам не соответствовал. Более глубокая проблема — то, что в Web3 это считается нормой. Быстрорастущие команды сосредотачивают ресурсы на разработке продукта, а инфраструктуру соответствия откладывают. Но для платформы уровня Axiom доступ к данным, которыми обладают бэкенд-инструменты, гораздо более чувствителен, чем на ранних стадиях стартапа. Тем не менее, механизмы защиты остаются на уровне стартапа.

Ключевой парадокс Web3: прозрачность в блокчейне не равна прозрачности вне цепочки. Блокчейн обеспечивает «анонимную прозрачность»: все могут видеть адреса и транзакции, но не могут понять, кто за ними стоит. Реальная опасность начинается, когда пользователь регистрируется в Axiom, подключает кошелёк и пишет заметки: «этот адрес — мой» — и эта информация попадает в централизованную базу данных. После этого анонимность постепенно превращается в иллюзию. Каждое новое соединение, метка или злоупотребление превращают прозрачность блокчейна из защиты в оружие злоумышленников.

Конфликт между протокольной свободой и корпоративными рисками

Скандал Axiom — это не только проблема нескольких сотрудников. Он выявляет долгосрочный парадокс Web3: децентрализация на уровне протокола не равна децентрализации в операциях компании.

Если бизнес-модель платформы основана на централизованных системах, людской поддержке и решениях сотрудников, то «DeFi» или «Web3» — лишь декорация. Пользователи доверяют неизменности смарт-контрактов, но забывают, что их личные данные хранятся у централизованной организации. Доверие никогда не бывает бесплатным: в недоразвитых структурах его цена платится тем, у кого меньше всего власти и информации.

Исследование ZachXBT показывает не только провал Axiom, но и противоречие самой идеи Web3: технологическая децентрализация не может заменить человеческую дисциплину.