ZachXBT's Axiom Exchange File Perdagangan Internal: Kegelapan Tersentralisasi dari Sistem Terdesentralisasi

Web3 dunia yang penuh semangat, Axiom Exchange, memulai dengan cemerlang dengan pendapatan tahunan lebih dari 390 juta dolar. Namun di balik keberhasilannya, tersembunyi skandal perdagangan internal sistematis dan kebocoran data yang diungkap oleh peneliti ZachXBT. Laporan yang dirilis pada Februari 2025 membuktikan bahwa staf pengembangan bisnis platform ini mengakses database pusat secara tidak sah dan menyalahgunakan informasi pengguna untuk keuntungan komersial. Peristiwa ini lebih dari sekadar tindakan tidak etis beberapa karyawan; ini menyoroti penyakit struktural dalam industri Web3.

Jaringan Perdagangan Internal Sistematis dari Peneliti ZachXBT

Axiom Exchange termasuk dalam daftar pilihan musim dingin Y Combinator 2025 dan pendirinya, Mist dan Cal, berhasil membangun platform DeFi yang berkembang pesat. Namun, penelitian mendalam ZachXBT menunjukkan bahwa fondasi keberhasilan ini sangat rapuh.

Menurut penelitian, staf pengembangan bisnis Broox Bauer mengubah panel kontrol backend Axiom menjadi area perburuan pribadi. Temuan paling penting: Broox dapat dengan bebas mengakses informasi rahasia pengguna melalui kode promosi, alamat dompet, atau UID. Dalam catatan platform, dia menyatakan, “Saya bisa menemukan segalanya tentang orang ini.” Dokumen ZachXBT mengungkapkan bahwa tindakan ini dilakukan secara terencana: awalnya, sistem dibatasi dengan 10-20 query dompet mingguan agar tidak memicu peringatan. Pemilihan target tidak acak; KOL bernama Marcell menjadi sasaran utama karena pembelian shitcoin yang besar dan saran menarik likuiditas kepada pengikutnya. Informasi dompet khusus ini sangat berharga karena penggunaan alamat yang jarang dan berulang, memungkinkan arbitrase yang menguntungkan.

Yang membuat situasi semakin mengerikan adalah tingkat organisasi dari operasi ini. Anggota lain seperti Ryan dan moderator Gowno juga terlibat. Alamat dompet yang mencurigakan dikumpulkan di Google Sheets, dan daftar pengawasan terpusat dibuat. Pelanggaran ini berlangsung lebih dari sepuluh bulan dan catatan akses latar belakang korban seperti “Jerry” dan “Monix” telah dimasukkan ke dalam rantai bukti.

Keruntuhan Kontrol Otorisasi di Axiom: Melihat Lebih Jauh dari Kasus Broox Bauer

Setelah laporan ZachXBT dirilis, Axiom merespons dengan langkah standar: pernyataan “kaget dan kecewa”, pencabutan otorisasi, dan penyelidikan. Namun, langkah dangkal ini tidak mampu menyembunyikan kerusakan mendalam yang terjadi di platform ini.

Masalah pertama: log audit hampir tidak berfungsi. Di lembaga keuangan tradisional dan perusahaan teknologi matang, akses data sensitif pengguna secara otomatis dicatat. Jika staf pengembangan bisnis dapat memeriksa ratusan alamat dompet tanpa alasan yang sah, sistem harus memberikan peringatan langsung. Kegagalan pengawasan selama sepuluh bulan menunjukkan bahwa mekanisme deteksi perilaku abnormal tidak pernah aktif atau pencatatan akses tidak dilakukan sama sekali.

Masalah kedua: cakupan kerusakan tidak jelas. Setelah laporan ZachXBT, Axiom tidak mengungkapkan berapa banyak pengguna yang terdampak. Keheningan ini menimbulkan ketakutan yang lebih dalam: jika Broox bisa mengakses data ini, apakah staf lain juga melakukannya? Berdasarkan laporan, orang lain seperti Gowno dan Ryan juga terlibat, menunjukkan bahwa penyalahgunaan otoritas ini bisa jauh lebih meluas. Jika sebuah organisasi dibangun di atas kepercayaan dan tidak memiliki aturan yang ketat, biaya marjinal dari korupsi menjadi hampir nol.

Kekosongan dalam Pengelolaan Data: Ilusi Desentralisasi Web3

Cakupan akses data latar belakang yang tercantum dalam laporan ZachXBT sangat mengerikan: daftar dompet lengkap, alamat yang dipantau, riwayat transaksi, catatan pengguna, dan akun terkait. Data ini cukup untuk merekonstruksi seluruh profil perilaku pengguna di blockchain.

Dalam dunia keuangan tradisional, akses semacam ini dibatasi secara ketat berdasarkan prinsip “minimum necessary”. Tidak ada staf yang dapat mengakses data pelanggan tanpa alasan yang sah; semua akses dicatat dan diaudit secara rutin oleh departemen kepatuhan. Filosofi desainnya sederhana: bergantung pada etika individu staf, teknologi, dan aturan.

Axiom tidak memenuhi standar ini. Masalah yang lebih dalam adalah bahwa di banyak perusahaan muda Web3, hal ini dianggap biasa. Tim yang berkembang pesat lebih fokus pada pembaruan produk dan mengabaikan infrastruktur kepatuhan. Namun, untuk platform sebesar Axiom, data yang dapat diakses oleh alat latar belakang jauh lebih sensitif daripada tahap awal startup. Sayangnya, mekanisme perlindungan tetap pada tingkat awal.

Salah satu paradoks utama Web3 adalah: transparansi di blockchain tidak berarti transparansi di luar blockchain. Blockchain menyediakan “anonimitas yang transparan”; semua orang dapat melihat aliran alamat, tetapi tidak memahami identitas di baliknya. Risiko nyata muncul saat pengguna mendaftar di Axiom, menghubungkan dompet mereka, dan menulis catatan: “alamat ini milikku” yang kemudian disimpan di database pusat. Setelah itu, anonimitas perlahan berubah menjadi ilusi. Setiap koneksi baru, setiap label dan penyalahgunaan, menjadikan transparansi di blockchain bukan lagi perlindungan, melainkan senjata paling ampuh bagi penyerang.

Kontradiksi Antara Kebebasan Protokol dan Risiko Perusahaan

Skandal Axiom bukan hanya masalah perilaku beberapa karyawan. Ini mengungkap kontradiksi besar yang selama ini dihindari industri Web3: desentralisasi tingkat protokol tidak sama dengan desentralisasi operasional perusahaan.

Jika model bisnis platform bergantung pada backend terpusat, tim dukungan manusia, dan pengambilan keputusan staf, maka “DeFi” atau “Web3” hanyalah hiasan di depan. Pengguna mempercayai ketidakberubahnya kontrak pintar, tetapi mereka melupakan bahwa data identitas sensitif diserahkan ke organisasi pusat. Kepercayaan tidak pernah gratis; dalam dunia organisasi yang belum matang, biaya kepercayaan selalu ditanggung oleh pihak yang memiliki kekuatan informasi paling sedikit.

Penelitian ZachXBT ini tidak hanya menunjukkan kegagalan Axiom, tetapi juga mengungkap paradoks Web3 sendiri: desentralisasi teknologi tidak bisa menggantikan disiplin manusia dan organisasi.