ZachXBT 刚刚揭露了 Axiom 加密货币公司疑似存在有组织的内幕交易团伙。据他调查,该公司高管利用内部数据工具抢先交易用户超过 10 个月,涉嫌从中牟利超过 40 万美元。他们利用特权后台访问权限,在市场整体做出反应之前追踪并复制高价值钱包。
这表明,这家年收入约3.9亿美元的平台存在更深层次的治理缺陷。据报道,非技术人员可以不受限制地访问实时用户标识符,暴露出内部控制的严重漏洞。
要点总结
- 演员:拥有对实时用户数据库无限制管理权限的高级业务拓展人员。
- 方法:将内部 UID 与链上数据交叉引用,以识别和抢先使用 KOL 钱包。
- 失败案例:一家获得 YC 支持的独角兽企业,年收入达 3.9 亿美元,却没有任何基于角色的访问控制。
Axiom Crypto内部内幕交易计划是如何运作的
该计划简单有效。调查人员称,员工利用原本用于支持和合规的内部管理控制面板提取用户隐私数据。通过将用户ID与链上钱包关联起来,他们能够识别出那些看似匿名地址背后的知名交易员和机构。
接下来的操作就很简单了。监控市场动态,然后抢先交易。在大户推高价格之前买入,在巨鲸离场之前卖出。这相当于抢在自己的用户之前完成交易。
据报道,该活动至少持续了10个月。令人担忧的是,业务拓展人员与技术安全团队拥有相同的系统访问权限。这种内部控制的漏洞造成了信息不对称,从而使该计划得以实施。
3.9 亿美元的营收与零访问控制:Axiom 团队将如何应对?
Axiom 创造了 3.9 亿美元的收入并迅速扩张,但调查显示,其内部控制远远落后于其增长速度。
据报道,该平台缺乏基本的基于角色的访问控制。业务开发人员可以广泛查看用户标识符和交易数据,从而营造了一种“上帝模式”的环境。如果采用适当的最小权限原则和审计日志,很可能早就发现此类活动。然而,据称这种情况持续了近一年才被发现。
这个案例凸显了初创公司一个常见的缺陷:优先考虑增长和规模,而忽视公司治理。这种做法在小规模时或许可行,但当规模达到数十亿美元时,就会成为一种负担。
Axiom公司已确认进行了全面的内部审计。但声誉损失巨大,监管机构可能会将涉嫌的40万美元内部获利视为潜在的欺诈行为。
