Ficheiro de Negociação Interna da Axiom Exchange da ZachXBT: A Escuridão Centralizada de um Sistema Descentralizado

Web3 dünyasında heyecan yaratan Axiom Exchange, 390 milhões de dólares em receita anual, com um começo brilhante. Mas por trás deste sucesso, esconde-se um escândalo de comércio interno sistemático e fuga de dados, revelado pelo investigador ZachXBT. O relatório de fevereiro de 2025 documentou que funcionários de desenvolvimento de negócios acessaram indevidamente a base de dados central, usando as informações dos utilizadores para ganhos comerciais. Este incidente revela uma doença estrutural na indústria Web3, além de ações imorais de alguns funcionários.

Rede de Comércio Interno Sistemático Revelada por ZachXBT

Axiom Exchange foi incluída na seleção de inverno de 2025 do Y Combinator, e os fundadores Mist e Cal criaram uma plataforma DeFi de rápido crescimento. Contudo, a investigação aprofundada de ZachXBT mostrou o quão fraco era o alicerce deste sucesso.

Segundo a investigação, o funcionário de desenvolvimento de negócios Broox Bauer transformou o painel de controlo do backend da Axiom numa área de caça pessoal. A descoberta mais crítica: Broox podia aceder livremente a informações confidenciais de qualquer utilizador através de códigos promocionais, endereços de carteira ou UID. Nos registos da plataforma, ele afirmou que “podia encontrar tudo sobre essa pessoa”. Os documentos de ZachXBT revelaram que esta operação foi totalmente planeada: inicialmente, limitou-se a 10-20 consultas semanais por carteira para evitar alertas do sistema. A seleção dos alvos não foi aleatória; um influenciador chamado Marcell foi especialmente visado, devido às compras intensas de shitcoins e às recomendações de liquidez aos seguidores. Os detalhes destas carteiras especiais tinham alto valor de arbitragem, devido à reutilização de endereços raros.

O aspecto mais perturbador foi a organização desta operação. Outros indivíduos, como Ryan e o moderador Gowno, também faziam parte do sistema. Endereços suspeitos foram recolhidos em Google Sheets, formando uma lista de controlo centralizada. Esta violação durou mais de nove meses, com registos de acesso de vítimas como “Jerry” e “Monix” incluídos na cadeia de provas.

Colapso do Controlo de Autorizações na Axiom: Além do Caso Broox Bauer

Após a publicação do relatório de ZachXBT, a Axiom respondeu com uma mensagem padrão: “choque e decepção”, com a suspensão de privilégios e início de investigação. Contudo, estas ações superficiais não escondem o quão doente está a plataforma por dentro.

Primeiro problema: os registos de auditoria eram quase inúteis. Em instituições financeiras tradicionais e empresas de tecnologia maduras, o acesso a dados sensíveis dos utilizadores é automaticamente registado. Se um funcionário de desenvolvimento de negócios consultar centenas de carteiras sem motivo justificado, o sistema deve alertar imediatamente. A falha de oito meses da Axiom na monitorização indica que o sistema de deteção de comportamentos anormais nunca funcionou, ou que os registos de acesso nem sequer eram mantidos.

Segundo problema: o alcance do dano é incerto. Após o relatório, a Axiom não revelou quantos utilizadores foram afetados. Este silêncio revela um medo mais profundo: se Broox conseguiu acesso, outros funcionários também poderão ter feito o mesmo. Segundo o relatório, pessoas como Gowno e Ryan também participaram, sugerindo que o uso indevido de privilégios pode ser mais comum do que se pensa. Uma organização baseada na “confiança” e sem regras claras torna-se vulnerável a corrupção, com custos marginais quase nulos.

Lacunas na Gestão de Dados: A Ilusão de Descentralização do Web3

O relatório de ZachXBT lista um alcance aterrador de acesso a dados de fundo: listas completas de carteiras, endereços monitorados, histórico de transações, notas de utilizador e contas relacionadas. Estes dados são suficientes para reconstruir o perfil de comportamento de um utilizador na cadeia.

Na finança tradicional, este tipo de acesso é estritamente limitado pelo princípio do mínimo privilégio. Nenhum funcionário pode aceder a dados de clientes sem motivo válido; todos os acessos são registados e revistos pelo departamento de conformidade. A filosofia de design é simples: baseia-se na ética individual dos funcionários, não em tecnologia ou regras frágeis.

A Axiom não cumpria estes padrões. Um problema ainda mais grave é que, no ecossistema Web3, isto é comum. Equipes em rápido crescimento focam-se em atualizações de produto, deixando a infraestrutura de conformidade para depois. Mas, para uma plataforma do tamanho da Axiom, os dados acessíveis às ferramentas de fundo são muito mais sensíveis do que numa startup inicial. Ainda assim, os mecanismos de proteção permanecem básicos.

Um paradoxo do Web3 é que a transparência na cadeia não equivale à transparência fora dela. A blockchain oferece “anonimato transparente”; todos podem ver os fluxos de endereços, mas não entender quem está por trás. O verdadeiro risco começa quando os utilizadores se registam na Axiom, vinculam carteiras e escrevem notas: o mapa de “este endereço é meu” é entregue ao banco de dados central. A partir daí, o anonimato começa a desvanecer-se lentamente. Cada nova ligação, etiqueta ou uso indevido transforma a transparência na cadeia numa arma poderosa para atacantes, não numa proteção.

Conflito entre Liberdade do Protocolo e Risco Empresarial

O escândalo da Axiom não é apenas uma questão de ações de alguns funcionários. Revela uma contradição antiga na indústria Web3: a descentralização a nível de protocolo não é equivalente à descentralização operacional.

Se um modelo de negócio depende de sistemas backend centralizados, suporte humano e decisões de funcionários, então “DeFi” ou “Web3” são apenas uma fachada. Os utilizadores confiam na imutabilidade dos contratos inteligentes, mas esquecem-se de que entregam dados sensíveis a uma entidade central. A confiança nunca é gratuita; em organizações imaturas, o custo da confiança é sempre suportado pelo menos informado.

A investigação de ZachXBT revela não só o fracasso da Axiom, mas também o paradoxo do próprio Web3: a descentralização tecnológica não substitui a disciplina humana e organizacional.