ZachXBT 剛剛揭露了 Axiom 加密貨幣公司疑似存在有組織的內幕交易團伙。據他調查,該公司高管利用內部數據工具搶先交易用戶超過 10 個月,涉嫌從中牟利超過 40 萬美元。他們利用特權後臺訪問權限,在市場整體做出反應之前追蹤並複製高價值錢包。
這表明,這家年收入約3.9億美元的平臺存在更深層次的治理缺陷。據報道,非技術人員可以不受限制地訪問實時用戶標識符,暴露出內部控制的嚴重漏洞。
要點總結
- 演員:擁有對實時用戶數據庫無限制管理權限的高級業務拓展人員。
- 方法:將內部 UID 與鏈上數據交叉引用,以識別和搶先使用 KOL 錢包。
- 失敗案例:一家獲得 YC 支持的獨角獸企業,年收入達 3.9 億美元,卻沒有任何基於角色的訪問控制。
Axiom Crypto內部內幕交易計劃是如何運作的
該計劃簡單有效。調查人員稱,員工利用原本用於支持和合規的內部管理控制面板提取用戶隱私數據。通過將用戶ID與鏈上錢包關聯起來,他們能夠識別出那些看似匿名地址背後的知名交易員和機構。
接下來的操作就很簡單了。監控市場動態,然後搶先交易。在大戶推高價格之前買入,在巨鯨離場之前賣出。這相當於搶在自己的用戶之前完成交易。
據報道,該活動至少持續了10個月。令人擔憂的是,業務拓展人員與技術安全團隊擁有相同的系統訪問權限。這種內部控制的漏洞造成了信息不對稱,從而使該計劃得以實施。
3.9 億美元的營收與零訪問控制:Axiom 團隊將如何應對?
Axiom 創造了 3.9 億美元的收入並迅速擴張,但調查顯示,其內部控制遠遠落後於其增長速度。
據報道,該平臺缺乏基本的基於角色的訪問控制。業務開發人員可以廣泛查看用戶標識符和交易數據,從而營造了一種“上帝模式”的環境。如果採用適當的最小權限原則和審計日誌,很可能早就發現此類活動。然而,據稱這種情況持續了近一年才被發現。
這個案例凸顯了初創公司一個常見的缺陷:優先考慮增長和規模,而忽視公司治理。這種做法在小規模時或許可行,但當規模達到數十億美元時,就會成為一種負擔。
Axiom公司已確認進行了全面的內部審計。但聲譽損失巨大,監管機構可能會將涉嫌的40萬美元內部獲利視為潛在的欺詐行為。
