ZachXBT 揭 Axiom 內幕醜聞，內部員工如何濫用權限？

作者： Chloe， ChainCatcher

這幾日吸引市場目光、在 Polymarket 上累積數千萬美元押注的事件"ZachXBT 將爆料哪家 Crypto 公司進行內幕交易？"終於落下帷幕。2 月 26 日，鏈上偵探 ZachXBT 正式發布調查報告，將矛頭直指 DeFi 交易平台 Axiom Exchange。

報告內容指控，該平台資深員工涉嫌濫用內部管理權限，長期非法訪問用戶的私人錢包數據，並將這些敏感信息轉化為內幕交易的工具。本文將深入剖析 ZachXBT 揭露的證據鏈，當"鏈上透明度"被"鏈下黑箱管理"劫持。

ZachXBT 揭發 Axiom Exchange 內幕交易醜聞

Axiom Exchange 由創始人 Mist 與 Cal 聯手打造，並在 2025 年初入選 Y Combinator Winter Batch（W25），這家平台在短短一年內交出了累計營收逾 3.9 億美元的驚人成績單。然而，在輝煌的財務數據背後，一個名為 Broox Bauer 的資深業務拓展員工，卻正在將 Axiom 的後台工具變成私人獵場。

根據 ZachXBT 的調查，Broox Bauer 並非單打獨鬥，他建立了一套組織化的"信息變現"流程，流程的核心是 Axiom 的內部控制儀表板，Broox 可以隨意通過推廣碼、錢包地址或 UID 查詢任何用戶的隱私信息。Broox 在錄音中表示，他能"找出關於那個人的任何事情"，並且其操作還具備極強的反偵查意識：

1. 起初僅查詢 10 至 20 個錢包，避免觸發系統異常警報。

2. 鎖定的目標並非隨機選取。如一位名為 Marcell 的 KOL 因長期以私人錢包購買了大量迷因幣，在向粉絲推銷進行流動性退出，成為重點追蹤對象。這類交易者的私人錢包鮮少公開、地址重複使用率低，使得這些信息具備極高的套利價值。

3. 建立組織和規則，如另一位 Axiom 員工 Ryan（Ryucio）協助查找用戶信息、聘用 Gowno 擔任版主，並將這些私人錢包彙整進 Google Sheets 進行追蹤。

這些違規操作持續超過十個月（始於 2025 年 4 月），證據鏈中包含了受害者"Jerry"與"Monix"等人的後台管理截圖。這些資料也引發了質疑：為何業務拓展員工具備有跨越職能的訪問權限？理應存在的監控預警與權限隔離顯然沒有發揮作用。

Axiom 官方回應，仍然無法掩蓋背後的結構性失能

在 ZachXBT 報告發布後，Axiom 官方走了一套標準的公關危機處理方式：發表聲明表示"震驚與失望"，撤銷權限並啟動調查。然而，這仍然無法掩蓋背後的結構性失能，這類事件揭示了平台在權限管控上的失守，而非僅僅是單一員工的個人行為。

1. 缺失的審計日誌

在傳統金融或成熟的Web2科技公司，任何訪問用戶敏感數據的操作都必須留下日誌。如果一個業務拓展員工可以跨職能查詢數百個與其業務無關的錢包地址，系統理應在第一時間觸發警告。Axiom 長達十個月的監管真空，說明了其內部系統可能根本不存在"異常行為檢測機制"，甚至是否留存"操作記錄"都令人存疑。

2. 受害範圍至今尚不清楚

Axiom的聲明中沒有提及受影響的用戶規模。這引發了更深層的擔憂：如果 Broox Bauer 能夠查閱，那麼其他員工呢？報告中提到的版主 Gowno 與另一名業務拓展員工 Ryan 是其作案的幫手，暗示了這種權限濫用可能相對容易。當一個組織的治理結構是基於"信任"而非"制度"時，內部腐敗的邊際成本極低。

權限形同虛設？Web3 新創的數據治理黑洞

進一步審視這場醜聞的核心。ZachXBT 報告中列出的後台可訪問數據維度令人心驚：用戶完整錢包列表、用戶正在追蹤的錢包、完整交易歷史、用戶自行設定的錢包備註名稱，以及關聯帳號，這份清單涵蓋的不只是交易數據，而是足以還原一個用戶完整鏈上行為模式的全貌。

在傳統金融機構中，這類數據的訪問受到嚴格的"最小必要信息原則"約束。任何員工若無明確業務必要，不得訪問客戶敏感資料；所有訪問行為均須留存可審計的操作日誌，並定期由合規部門抽查。這套機制的設計邏輯很簡單：它不依賴員工的個人道德水準，而是通過技術與制度的雙重約束，在問題發生前就縮小損害空間。

Axiom 的後台顯然未達到這個標準。更值得深思的是，這類問題在 Web3 新創中並非個案。快速擴張的團隊往往將工程資源集中在產品迭代上，合規與數據治理架構的建設則被後置，甚至被視為"上幣再說"的議題。然而，一旦平台規模達到 Axiom 這樣的體量，後台工具所能觸及的數據敏感性早已遠超早期階段，而防護機制的建設卻往往仍停留在初創期的水準。

這次的案例也揭示了 Web3 特有的荒謬悖論：鏈上的透明，絕不等於鏈下的透明。區塊鏈賦予了交易"匿名式的透明"，所有人都能看見地址的流向，卻難以洞察背後的實體；然而，真正的風險發生在用戶完成註冊、綁定錢包、設定備註的那一刻：他們將"這個地址的主人是我"這條最關鍵的對應關係，交付給了平台的中心化數據庫。

在這之後，匿名逐漸變成幻覺。一旦這層身份被關聯到更多信息、貼上更多標籤、甚至遭到濫用，鏈上的透明度就不再保護用戶，反而成為加害者手中最精準的工具。

協議層面的去中心化，從來不等同於公司

Axiom 的醜聞揭示的不只是幾個員工的個人失德。它更像是一面鏡子，照出了整個 Web3 行業在"去中心化"敘事下長期迴避的一個重大矛盾：協議層面的去中心化，從來不等同於公司運營層面的去中心化。

當一家平台的業務核心仍依賴中心化的後台系統、人工客服、員工判斷，"DeFi"或"Web3"的標籤就更像是前端的裝飾。用戶相信智能合約的不可篡改性，卻忘記了在完成個人信息輸入、綁定錢包的那一刻，他們已將最關鍵的信息交付給了一個完全中心化的組織。

信任從來不是免費的，在制度尚未成熟的地方，承擔信任成本的，永遠是信息最不對稱的那一方。