ここ数日市場の注目を集め、Polymarketで数千万ドル規模の賭けが積み上がった事件「ZachXBTはどのCrypto企業がインサイダー取引を行っているかを暴露するのか？」がついに終結しました。

2月26日、オンチェーン探偵のZachXBTが正式に調査報告書を発表し、DeFi取引プラットフォームのAxiom Exchangeを名指しで非難しました。報告書の内容は、同プラットフォームのベテラン従業員が内部管理権限を濫用し、ユーザーのプライベートウォレットデータに長期にわたって不正アクセスし、これらの機密情報をインサイダー取引の道具にしていたと告発しています。

本稿では、ZachXBTが明らかにした証拠を詳細に分析し、「オンチェーンの透明性」が「オフチェーンのブラックボックス管理」にどのように乗っ取られたのかを検証します。

ZachXBTがAxiom Exchangeのインサイダー取引スキャンダルを暴露

Axiom Exchangeは、創業者MistとCalが共同で設立し、2025年初頭にY Combinator Winter Batch（W25）に選ばれました。このプラットフォームは、わずか1年で累計3.9億ドルの収益を上げるという驚異的な実績を上げました。

しかし、輝かしい財務データの裏で、Broox Bauerというベテランの事業開発担当者が、Axiomのバックエンドツールを私的な狩場に変えようとしていました。

ZachXBTの調査によると、Broox Bauerは単独で行動していたのではなく、組織化された「情報マネタイズ」プロセスを構築していました。このプロセスの中心はAxiomの内部管理ダッシュボードであり、Brooxはプロモーションコード、ウォレットアドレス、またはUIDを通じて、あらゆるユーザーの個人情報を自由に照会できました。

Brooxは録音の中で、彼は「その人物に関するあらゆることを見つけ出すことができる」と述べ、さらに彼の操作は非常に高度な対偵察意識を備えていました。最初は10〜20個のウォレットのみを照会し、システム異常アラートの発動を避けていました。

ロックされたターゲットはランダムに選択されたものではありません。例えば、MarcellというKOLは、長期間にわたってプライベートウォレットで大量のミームコインを購入し、ファンにプロモーションして流動性を退出させたため、重点的な追跡対象となりました。このようなトレーダーのプライベートウォレットは公開されることが少なく、アドレスの再利用率が低いため、これらの情報は非常に高いアービトラージ価値を持っていました。

組織とルールを確立しました。例えば、別のAxiom従業員であるRyan（Ryucio）がユーザー情報の検索を支援し、Gownoをモデレーターとして雇用し、これらのプライベートウォレットをGoogle Sheetsにまとめて追跡しました。これらの不正行為は10か月以上（2025年4月から）継続され、証拠には被害者である「Jerry」や「Monix」などのバックエンド管理画面のスクリーンショットが含まれています。

これらの資料はまた、なぜ事業開発担当者が職務を超えたアクセス権限を持っているのかという疑問を引き起こしました。当然存在するはずの監視警告と権限分離が明らかに機能していません。

Axiomの公式回答は、背後にある構造的な機能不全を隠蔽できず

ZachXBTの報告書が発表された後、Axiomの公式は標準的な広報危機管理の手法を取りました。声明を発表し、「衝撃と失望」を表明し、権限を取り消して調査を開始しました。しかし、これは背後にある構造的な機能不全を隠蔽することはできません。このような事件は、プラットフォームの権限管理の失敗を示しており、単一の従業員の個人的な行為だけではありません。

1. 欠落している監査ログ

従来の金融機関や成熟したWeb2テクノロジー企業では、ユーザーの機密データにアクセスする操作はすべてログに残す必要があります。もし事業開発担当者が、数百もの業務に関係のないウォレットアドレスを職務を超えて照会できる場合、システムは直ちに警告を発動する必要があります。Axiomの10か月にも及ぶ規制の空白は、その内部システムに「異常行動検出メカニズム」が存在しない可能性を示唆しており、さらには「操作記録」が残されているかどうかさえ疑わしいです。

1. 被害範囲は現在も不明

Axiomの声明では、影響を受けたユーザーの規模については言及されていません。これはより深い懸念を引き起こします。もしBroox Bauerが閲覧できたとしたら、他の従業員はどうでしょうか？報告書で言及されているモデレーターのGownoと、別の事業開発担当者であるRyanは、彼の犯行の共犯者であり、このような権限の濫用が比較的容易であることを示唆しています。組織のガバナンス構造が「信頼」ではなく「制度」に基づいている場合、内部腐敗の限界コストは非常に低くなります。

権限は形骸化？Web3スタートアップのデータガバナンスのブラックホール

さらにこのスキャンダルの核心を検証します。ZachXBTの報告書に記載されているバックエンドでアクセス可能なデータの次元は驚くべきものです。ユーザーの完全なウォレットリスト、ユーザーが追跡しているウォレット、完全な取引履歴、ユーザーが独自に設定したウォレットの備考名、および関連アカウント。このリストは取引データだけでなく、ユーザーの完全なオンチェーン行動パターンを復元するのに十分な全体像を網羅しています。

従来の金融機関では、このようなデータへのアクセスは厳格な「最小限の必要情報原則」によって制限されています。いかなる従業員も、明確な業務上の必要性がない限り、顧客の機密情報にアクセスすることはできません。すべてのアクセス行為は監査可能な操作ログに記録され、定期的にコンプライアンス部門によって抜き打ち検査されます。

このメカニズムの設計ロジックは非常にシンプルです。従業員の個人的な倫理観に依存するのではなく、技術と制度の二重の制約を通じて、問題が発生する前に損害を縮小します。Axiomのバックエンドは明らかにこの基準に達していません。

さらに深く考えるべきは、このような問題がWeb3スタートアップでは珍しいことではないということです。急速に拡大するチームは、エンジニアリングリソースを製品の反復に集中させることが多く、コンプライアンスとデータガバナンスアーキテクチャの構築は後回しにされ、さらには「上場してから考える」という議題と見なされることさえあります。

しかし、プラットフォームの規模がAxiomのような規模に達すると、バックエンドツールがアクセスできるデータの機密性は、初期段階をはるかに超えていますが、保護メカニズムの構築は、依然として創業期の水準にとどまっていることがよくあります。

今回の事例はまた、Web3特有の不条理なパラドックスを明らかにしています。オンチェーンの透明性は、オフチェーンの透明性とは決して同義ではありません。ブロックチェーンは取引に「匿名的な透明性」を与え、誰もがアドレスの流れを見ることができますが、その背後にある実体を洞察することは困難です。しかし、本当のリスクは、ユーザーが登録を完了し、ウォレットをバインドし、備考を設定した瞬間に発生します。彼らは「このアドレスの所有者は私である」という最も重要な対応関係を、プラットフォームの中央集権型データベースに委ねます。

その後、匿名性は徐々に幻想に変わります。このアイデンティティがより多くの情報に関連付けられ、より多くのラベルが貼られ、さらには濫用された場合、オンチェーンの透明性はユーザーを保護するのではなく、加害者の手にある最も正確なツールになります。

プロトコルレベルの分散化は、決して企業と同じではありません

Axiomのスキャンダルは、数人の従業員の個人的な不正行為だけを明らかにしているのではありません。それはむしろ、Web3業界全体が「分散化」の物語の下で長年回避してきた重大な矛盾を映し出す鏡のようなものです。プロトコルレベルの分散化は、決して企業運営レベルの分散化と同じではありません。

プラットフォームのビジネスの中核が、依然として中央集権型のバックエンドシステム、人的カスタマーサービス、従業員の判断に依存している場合、「DeFi」または「Web3」のラベルは、フロントエンドの装飾にすぎません。ユーザーはスマートコントラクトの改ざん不可能性を信じていますが、個人情報の入力を完了し、ウォレットをバインドした瞬間に、最も重要な情報を完全に中央集権化された組織に委ねていることを忘れています。

信頼は決して無料ではありません。制度がまだ成熟していない場所では、信頼コストを負担するのは、常に情報が最も非対称な側です。

[ChainCatcher]