ZachXBT가 Axiom 내부 스캔들을 폭로하다, 내부 직원이 어떻게 권한을 남용했는가?

저자: Chloe, ChainCatcher

최근 시장의 주목을 받으며 Polymarket에서 수천만 달러의 베팅이 쌓인 사건 "ZachXBT가 어느 Crypto 회사의 내부 거래를 폭로할까?"가 드디어 막을 내렸다. 2월 26일, 블록체인 탐정 ZachXBT는 조사 보고서를 공식 발표하며 DeFi 거래 플랫폼 Axiom Exchange를 정조준했다.

보고서 내용은 해당 플랫폼의 고위 직원이 내부 관리 권한을 남용하여 사용자 개인 지갑 데이터에 불법적으로 접근하고, 이러한 민감한 정보를 내부 거래의 도구로 전환했다는 혐의를 제기하고 있다. 본문에서는 ZachXBT가 폭로한 증거 체인을 깊이 분석하며, "체인 상 투명성"이 "체인 하 검은 상자 관리"에 의해 어떻게 탈취되었는지를 살펴본다.

ZachXBT가 Axiom Exchange 내부 거래 스캔들을 폭로하다

Axiom Exchange는 창립자 Mist와 Cal이 협력하여 만들었으며, 2025년 초 Y Combinator Winter Batch(W25)에 선정되었다. 이 플랫폼은 단 1년 만에 누적 수익 3.9억 달러를 기록하는 놀라운 성과를 거두었다. 그러나 화려한 재무 데이터 뒤에는 Broox Bauer라는 고위 사업 개발 직원이 Axiom의 백엔드 도구를 개인 사냥터로 변모시키고 있는 상황이 있다.

ZachXBT의 조사에 따르면, Broox Bauer는 혼자서 행동하는 것이 아니며, 조직화된 "정보 변환" 프로세스를 구축했다. 이 프로세스의 핵심은 Axiom의 내부 통제 대시보드로, Broox는 프로모션 코드, 지갑 주소 또는 UID를 통해 어떤 사용자든지 개인 정보를 자유롭게 조회할 수 있다. Broox는 녹음에서 "그 사람에 대한 모든 것을 찾아낼 수 있다"고 말하며, 그의 행동은 매우 강한 반탐지 의식을 가지고 있다:

1. 처음에는 10~20개의 지갑만 조회하여 시스템의 비정상 경고를 유발하지 않도록 한다.

2. 잠재적 목표는 무작위로 선택되지 않는다. 예를 들어, Marcell이라는 KOL은 개인 지갑으로 대량의 밈 코인을 구매한 후 팬들에게 유동성 철수를 권장하여 주요 추적 대상이 되었다. 이러한 거래자의 개인 지갑은 공개되지 않으며, 주소 재사용률이 낮아 이 정보는 매우 높은 차익 거래 가치를 지닌다.

3. 조직과 규칙을 구축한다. 예를 들어, 또 다른 Axiom 직원 Ryan(Ryucio)은 사용자 정보를 찾는 데 도움을 주고, Gowno를 모더레이터로 고용하며, 이러한 개인 지갑을 Google Sheets에 통합하여 추적한다.

이러한 위반 행위는 10개월 이상 지속되었으며(2025년 4월 시작), 증거 체인에는 피해자 "Jerry"와 "Monix" 등의 백엔드 관리 스크린샷이 포함되어 있다. 이러한 자료는 비즈니스 개발 직원이 기능을 초월한 접근 권한을 가지고 있는 이유에 대한 의문을 불러일으킨다. 존재해야 할 모니터링 경고 및 권한 분리가 분명히 작동하지 않았다.

Axiom 공식 대응, 여전히 구조적 무능을 감추지 못하다

ZachXBT 보고서 발표 후, Axiom 공식은 표준 PR 위기 관리 방식을 따랐다: "충격과 실망"이라는 성명을 발표하고 권한을 철회하며 조사를 시작했다. 그러나 이는 여전히 구조적 무능을 감추지 못하며, 이러한 사건은 플랫폼의 권한 관리 실패를 드러내고 있으며, 단순히 개별 직원의 행동이 아니다.

1. 누락된 감사 로그

전통 금융 또는 성숙한 Web2 기술 회사에서는 사용자 민감 데이터에 대한 접근 작업은 반드시 로그를 남겨야 한다. 만약 한 사업 개발 직원이 자신의 비즈니스와 관련 없는 수백 개의 지갑 주소를 조회할 수 있다면, 시스템은 즉시 경고를 발동해야 한다. Axiom의 10개월간의 감독 공백은 내부 시스템에 "비정상 행동 탐지 메커니즘"이 아예 존재하지 않거나, 심지어 "작업 기록"이 남아 있는지조차 의문을 제기한다.

2. 피해 범위는 여전히 불확실하다

Axiom의 성명에는 영향을 받은 사용자 규모에 대한 언급이 없다. 이는 더 깊은 우려를 불러일으킨다: 만약 Broox Bauer가 조회할 수 있다면, 다른 직원들은 어떨까? 보고서에 언급된 모더레이터 Gowno와 또 다른 사업 개발 직원 Ryan은 그의 범죄의 공범으로, 이러한 권한 남용이 상대적으로 용이할 수 있음을 암시한다. 조직의 거버넌스 구조가 "신뢰"가 아닌 "제도"에 기반할 때, 내부 부패의 한계 비용은 극히 낮다.

권한은 형식적? Web3 신생의 데이터 거버넌스 블랙홀

이 스캔들의 핵심을 더 깊이 살펴보자. ZachXBT 보고서에 나열된 백엔드 접근 가능한 데이터 차원은 충격적이다: 사용자 전체 지갑 목록, 사용자가 추적 중인 지갑, 전체 거래 역사, 사용자가 설정한 지갑 메모 이름, 그리고 관련 계정. 이 목록은 거래 데이터뿐만 아니라 사용자의 전체 체인 상 행동 패턴을 복원할 수 있는 전모를 포함하고 있다.

전통 금융 기관에서는 이러한 데이터 접근이 "최소 필요 정보 원칙"에 의해 엄격히 제한된다. 어떤 직원이 명확한 비즈니스 필요 없이 고객의 민감 자료에 접근할 수 없으며, 모든 접근 행동은 감사 가능한 작업 로그로 남겨져야 하고, 정기적으로 준수 부서에 의해 점검된다. 이 메커니즘의 설계 논리는 간단하다: 직원의 개인 도덕 수준에 의존하지 않고, 기술과 제도의 이중 제약을 통해 문제 발생 전에 피해 공간을 축소한다.

Axiom의 백엔드는 분명히 이 기준에 미치지 못한다. 더 깊이 생각해 볼 점은 이러한 문제가 Web3 신생에서 단순한 사례가 아니라는 것이다. 빠르게 확장하는 팀은 종종 엔지니어링 자원을 제품 반복에 집중시키고, 준수 및 데이터 거버넌스 구조의 구축은 후순위로 밀려나거나 심지어 "상장 후에 이야기하자"는 주제로 간주된다. 그러나 플랫폼 규모가 Axiom과 같은 수준에 도달하면, 백엔드 도구가 접근할 수 있는 데이터의 민감성은 초기 단계보다 훨씬 높아지지만, 방어 메커니즘의 구축은 여전히 초기 창업 수준에 머물러 있는 경우가 많다.

이번 사례는 Web3 특유의 아이러니한 역설을 드러낸다: 체인 상의 투명성이 체인 하의 투명성과 같지 않다는 것이다. 블록체인은 거래에 "익명형 투명성"을 부여하여 모든 사람이 주소의 흐름을 볼 수 있지만, 그 뒤에 있는 실체를 파악하기는 어렵다. 그러나 진정한 위험은 사용자가 등록을 완료하고, 지갑을 연결하고, 메모를 설정하는 순간 발생한다: 그들은 "이 주소의 주인은 나"라는 가장 중요한 대응 관계를 플랫폼의 중앙화된 데이터베이스에 넘겨준다.

그 이후로 익명성은 점차 환상으로 변한다. 이 신원이 더 많은 정보와 연결되고, 더 많은 태그가 붙고, 심지어 남용당하게 되면, 체인 상의 투명성은 더 이상 사용자를 보호하지 못하고, 오히려 가해자의 손에 가장 정밀한 도구가 된다.

프로토콜 차원의 탈중앙화는 결코 회사의 탈중앙화와 동일하지 않다

Axiom의 스캔들은 단지 몇몇 직원의 개인적인 비도덕성을 드러내는 것이 아니다. 그것은 오히려 "탈중앙화"라는 서사 아래에서 Web3 산업이 오랫동안 회피해온 중대한 모순을 비추는 거울과 같다: 프로토콜 차원의 탈중앙화는 결코 회사 운영 차원의 탈중앙화와 동일하지 않다.

한 플랫폼의 비즈니스 핵심이 여전히 중앙화된 백엔드 시스템, 인공지능 고객 서비스, 직원의 판단에 의존할 때, "DeFi" 또는 "Web3"라는 태그는 전면의 장식에 불과하다. 사용자는 스마트 계약의 불변성을 믿지만, 개인 정보를 입력하고 지갑을 연결하는 순간, 그들은 가장 중요한 정보를 완전히 중앙화된 조직에 넘겨주게 된다.

신뢰는 결코 공짜가 아니다. 제도가 성숙하지 않은 곳에서 신뢰 비용을 부담하는 것은 항상 정보가 가장 비대칭적인 쪽이다.