Wir haben 12 Hackathons mit Preisgeldern von über 4 Millionen Dollar untersucht. Keiner schützt die eingereichten Projekte.
12 Veranstaltungen geprüft. 6 Infrastruktur-Lücken identifiziert. 8 reale Fälle von Plagiat, Aneignung geistigen Eigentums und unfairer Bewertung dokumentiert — alle aus öffentlichen Quellen und unabhängig verifiziert.
Bei einem Hackathon im vergangenen Jahr präsentierte ein Team seinen Pitch in der ersten Runde. Zwei Wochen später reichte ein anderes Team — mit Zugang zum selben Jury-Pool — ein verdächtig ähnliches Konzept ein. Es gab keinen Prüfpfad. Keine Zugriffsprotokolle. Keine Möglichkeit nachzuweisen, wer was wann gesehen hat.
Das Team, das die ursprüngliche Idee entwickelt hatte, hatte keinerlei Rechtsmittel. Das Team, das sie möglicherweise kopiert hatte, wurde nicht überprüft. Und der Veranstalter hatte keine Werkzeuge für eine Untersuchung, selbst wenn er es gewollt hätte.
Wir dachten, dies sei ein Einzelfall. Dann untersuchten wir 12 Hackathons auf 4 Kontinenten — und stellten fest: Das ist der Normalzustand.
Methodik: Zwischen Januar und Februar 2026 haben wir die öffentlichen Einreichungsprozesse, Veranstaltungsregeln, Bewertungsstrukturen und Social-Media-Berichte von 12 Hackathon-Veranstaltungen geprüft. Zusätzlich haben wir 8 dokumentierte Fälle von Sicherheitsversagen bei Einreichungen aus dem Zeitraum 2025 bis Februar 2026 untersucht. Wir analysierten Plattform-Dokumentationen (DevPost, Devfolio, DoraHacks, TAIKAI), veranstaltungsspezifische Regelseiten, öffentliche GitHub-Repositories, Gerichtsakten und Berichte von Teilnehmern aus erster Hand. Alle Ergebnisse sind über die im gesamten Artikel verlinkten Quellen unabhängig überprüfbar.
Anfragen für Stellungnahmen: ETHGlobal, Avalanche Foundation, BNB Chain (über DoraHacks), Chainlink, Web3Privacy Now und TCS wurden vor der Veröffentlichung kontaktiert. ETHGlobal-CEO Kartik Talwar antwortete und erklärte, dass ETHGlobal umfangreiche interne Prozesse für die Bearbeitung von Integritätsfällen betreibt, einschließlich Team-Reviews, forensischer Prüfungen und Sperrlisten-Management — obwohl diese Prozesse nicht öffentlich dokumentiert sind, bestreitet er deren Fehlen. Kein anderer Organisator antwortete. SuperteamIN und CRED reagierten öffentlich auf ihre jeweiligen Vorfälle (dokumentiert in Fall 2 und 3).
Das ist kein Einzelfall. Das ist der Normalzustand.
Jede große Hackathon-Plattform — DevPost, Devfolio, DoraHacks, TAIKAI — konzentriert sich auf die Veranstaltungslogistik. Keine davon schützt die eingereichten Arbeiten.
Warum es um mehr als Preisgelder geht
Hackathons sind nicht bloß Wettbewerbe — sie sind der primäre Einstiegspunkt in Web3. Die Pipeline ist gut dokumentiert: Ein Entwickler nimmt an einem Hackathon teil, baut ein erstes Projekt, wird von einem Protokoll-Team entdeckt, erhält einen Grant und lanciert das, was zu realer Infrastruktur wird. Uniswap, Filecoin, ENS und Dutzende weiterer großer Protokolle begannen als Hackathon-Einreichungen.
Wenn die Sicherheit der Einreichungen versagt, betrifft das nicht nur ein Team — es vergiftet die gesamte Pipeline. Ein Entwickler, der bei seinem ersten Hackathon plagiiert wird, kommt nicht zurück. Ein Builder, der sieht, dass Preise an kopierte Projekte gehen, hört auf zu bauen. Das Ökosystem verliert seine nächste Welle von Mitwirkenden — nicht an einen Konkurrenten, sondern an Desillusionierung.
Es geht nicht darum, Preisgelder zu schützen. Es geht darum, den Mechanismus zu schützen, der die nächste Generation von Web3-Buildern hervorbringt. Wenn Hackathons ihre Glaubwürdigkeit verlieren, bricht die gesamte Talent-Pipeline des Ökosystems zusammen.
Das Ausmaß des Problems
Allein im Jahr 2025 veranstaltete ETHGlobal — der größte Ethereum-Hackathon-Veranstalter — Events auf 5 Kontinenten und vergab über 2 Millionen Dollar Gesamtpreisgeld an mehr als 10.000 Entwickler. Einzelveranstaltungen übersteigen inzwischen 1 Million Dollar Preisgeld (ETHDenver, Avalanche Build Games, Hedera).
Unternehmens-Hackathons sind noch größer — TCS veranstaltete einen AI-Hackathon mit 281.000 Teilnehmern aus 58 Ländern, bei dem Einreichungen für die kommerzielle Integration bewertet wurden.
Und dennoch konzentriert sich jede große Hackathon-Plattform auf dasselbe: Registrierung, Teambildung, Bewertungsformulare. Keine Zugriffsprotokolle. Keine Nachweiskette für geteilte Materialien. Kein formelles Streitbeilegungsverfahren. Kein Prüfpfad.
Teil I: Die Infrastruktur-Lücke — 6 große Hackathons geprüft
Wir begannen mit der Prüfung der Einreichungssicherheit von 6 großen Hackathon-Programmen — von den größten Ethereum-Events bis zu Unternehmenswettbewerben. Zur Klarstellung: Dies sind keine Anschuldigungen. Es handelt sich um Beobachtungen öffentlich dokumentierter Prozesse. Jeder unten aufgeführte Veranstalter führt eine legitime, gut gemeinte Veranstaltung durch. Die Lücke ist nicht Inkompetenz — sie ist das Fehlen einer Infrastruktur, die es noch nicht gibt.
Anmerkung: ETHGlobal-CEO Kartik Talwar erklärte, dass das Unternehmen umfangreiche interne Prozesse betreibt — einschließlich Team-Reviews, forensischer Prüfungen und Sperrlisten-Management — wobei disqualifizierten Teilnehmern die konkreten Beweise hinter jeder Entscheidung vorgelegt werden. Da diese Prozesse nicht öffentlich dokumentiert sind, basiert die nachstehende Prüfung auf unabhängig überprüfbaren Aufzeichnungen.
- Keine unabhängig überprüfbare Aufzeichnung, welcher Juror welche Einreichung eingesehen hat
- Einreichungen öffentlich auf der Plattform sichtbar während der Bewertung
- Keine öffentlich definierten Fristen für Disqualifikationsverfahren
- Keine Blockchain-Zeitstempel für Einreichungen
- 6 Wochen exponierte Ideen ohne Prüfpfad
- Keine Zugriffsprotokolle für Einreichungen
- “Langfristige Absicht” wird ohne Verifizierung bewertet
- Kein Prüfpfad für Juror-Zugriffe auf Einreichungen
- Community-Abstimmung anfällig für Wal-Manipulation
- Kein Streitbeilegungsverfahren
- Öffentliche GitHub-Repos — vor der Bewertung für alle sichtbar
- Privacy-Track ohne Einreichungs-Privacy
- Einreichung über Airtable-Formular
- Keine IP-Nachweiskette für kommerzielle Produkte
- Kein Prüfpfad auf Unternehmensstandard-Niveau
- Regulatorisches Risiko bei KI-bewerteten Einreichungen
- Öffentliche PRs legen alle Ideen vor der Bewertung offen
- Datenschutz-fokussiertes Event ohne Einreichungs-Datenschutz
- Keine Zugriffsprotokolle oder Prüfpfade
Die Lücke zusammengefasst
| Schutzebene | DevPost | Devfolio | DoraHacks | TAIKAI | Irgendeiner? |
|---|---|---|---|---|---|
| Upload von Einreichungen | Ja | Ja | Ja | Ja | Ja |
| Zugriffsprotokolle | Nein | Nein | Nein | Nein | Nein |
| Blockchain-Zeitstempel | Nein | Nein | Teilweise | Teilweise | Nein |
| Jury-Prüfpfad | Nein | Nein | Nein | Nein | Nein |
| Streitbeilegung | Nein | Nein | Nein | Nein | Nein |
| IP-Schutz | Nein | Nein | Nein | Nein | Nein |
Jede Plattform kümmert sich um die Logistik. Keine kümmert sich um die Integrität.
Teil II: Es passiert bereits — 6 dokumentierte Fälle (2025–2026)
Die oben beschriebenen Lücken sind nicht theoretisch. Wir haben 6 Hackathon-Veranstaltungen untersucht, bei denen das Fehlen von Einreichungssicherheit zu realem Schaden führte — Plagiat, Aneignung geistigen Eigentums, ungerechtfertigte Disqualifikation, voreingenommene Bewertung und Zensur. Alle Fälle stammen aus dem Zeitraum 2025–2026 und sind mit Quellen öffentlich dokumentiert.
Ein Team entwickelte KagamiAI beim ETHGlobal New Delhi im September 2025, wo es als eines von 10 Finalisten-Projekten aus 616 Einreichungen ausgewählt wurde. Das Team arbeitete das gesamte Wochenende und sammelte echtes Nutzer-Feedback.
Kurz darauf kopierte ein anderer Teilnehmer das gesamte Projekt — den Code, die Anwendung und sogar das Demo-Video (das die Stimme eines Original-Teammitglieds enthielt) — und reichte es bei einem anderen Hackathon (HackQuest) ein.
Das Original-Team dokumentierte alles öffentlich und forderte die Entfernung der kopierten Einreichung.
Der Entwickler Shubh erstellte getblink.fun — eine No-Code-Plattform zur Erstellung von Solana Blinks (193 Commits, erstellt August 2024). Er bewarb sich zweimal für einen SuperteamIN-Grant und wurde beide Male abgelehnt, dann schloss er das Projekt aus Kostengründen.
Ein anderer Entwickler, der Shubh zuvor per DM um Hilfe gebeten und einen Link zum Repository “zum Lernen” erhalten hatte, kopierte die gesamte Codebasis Zeile für Zeile, benannte sie in “Blinker” um und gewann einen SuperteamEarn-Grant.
Als er mit Seite-an-Seite-Codevergleichen konfrontiert wurde, blockierte der Kopierer den Originalautor und löschte alles — Account, Website und Repository. SuperteamIN nahm den Bericht zur Kenntnis und leitete eine Untersuchung ein.
CRED, das indische Fintech-Unternehmen von Kunal Shah, kündigte den Rabbit Hole AI Hackathon mit einem Preisgeld von ₹50 Lakh (~60.000 Dollar) an. Die ursprünglichen Bedingungen besagten, dass alle geistigen Eigentumsrechte an Einreichungen “als Auftragsarbeit gelten” und CRED alles während der Veranstaltung Entwickelte besitzen würde.
Die Gegenreaktion war sofort und massiv. Der Beitrag von Entwickler Aditya Oberai, der es “eine Meisterklasse darin, wie man einen Hackathon NICHT organisiert” nannte, erhielt über 1.100 Likes. Ein IP-Anwalt warnte die Teilnehmer, die Bedingungen liefen darauf hinaus, “geschickt darum zu bitten, die eigene Idee herzugeben, sie für CRED zu bauen und dafür nichts zu bekommen.”
Weitere Beschwerden kamen hinzu: CRED verlangte “Login with CRED” für die Registrierung (ohne Bezug zum Hackathon) und führte ohne klare Offenlegung Bonitätsprüfungen bei Bewerbern durch.
Kunal Shah antwortete innerhalb von 24 Stunden: “Berechtigte Kritik zum IP. Hätte von Anfang an nicht drin stehen sollen. Wird entfernt.” Die Bedingungen wurden geändert zu: “Teilnehmer behalten alle Rechte an ihren jeweiligen Einreichungen.”
Im November 2025 wurde der Devconnect Buenos Aires Hackathon von Ethereum Argentina unter der ETHGlobal-Plattform organisiert. Ein Team entwickelte zwei separate Projekte in verschiedenen Repositories mit unabhängigen Commit-Historien. Ein Teammitglied begann allein, dann stieß ein zweites hinzu, um die 2–5-Personen-Teamanforderung zu erfüllen. Beide Projekte wurden genehmigt, durchliefen die Bewertung, und eines gewann einen Preis.
Im Februar 2026 — über zwei Monate später — wurde das Team wegen “Farming” und “geteilter Codebasis” disqualifiziert — ohne dass ein technischer Vergleich des Codes als öffentlicher Beweis vorgelegt wurde.
Bemerkenswert ist der Kontrast: ETHGlobal stellte die Plattform-Infrastruktur bereit (Projekt-Hosting, Einreichungssystem), während Ethereum Argentina die lokale Organisation übernahm (Veranstaltungsort, Juroren, Bewertung). Als das Team Beweise anforderte — einen Diff, eine Commit-Analyse, irgendetwas, das eine geteilte Codebasis belegen würde — wurde nichts öffentlich vorgelegt. Die Disqualifikationsregeln existierten nur auf einer FAQ-Seite, nicht in den offiziellen Veranstaltungsregeln.
Der Bolt-Hackathon — beworben als “weltweit größter Hackathon” mit über 130.000 registrierten Buildern und über 1 Million Dollar Preisgeld — sah sich detaillierter Kritik auf Hacker News ausgesetzt:
17 von 20 Hauptpreisen gingen an Projekte aus den USA, Kanada und der EU — obwohl diese Regionen nur etwa 25 % der Teilnehmer ausmachten. Mindestens ein Gewinner reichte ein Projekt ohne funktionierende Demo ein — nur Localhost-Screenshots und ein von Kritikern als “KI-generiertes Video” beschriebener Clip. Ein weiterer Gewinner reichte Berichten zufolge keine Deploy-URL ein, obwohl gehostete URLs explizit vorgeschrieben waren.
Als Teilnehmer Bedenken äußerten, löschte Bolt ihre Beiträge auf Reddit und Discord und blockierte Kritiker.
Mehrere Teilnehmer bestätigten die Beschwerden unabhängig voneinander und berichteten, dass ihre voll funktionsfähigen, deployten Projekte gegen Einreichungen mit nicht funktionierenden Demos verloren.
Bei einem 48-Stunden-Hackathon, organisiert vom Geethanjali College of Engineering and Technology im März 2025, zahlten externe Teilnehmer ₹450 pro Person und entwickelten voll funktionsfähige Projekte.
Alle 6 Preise — 2 in jeder der 3 Kategorien (AI/ML, IoT, Open Innovation) — gingen ausschließlich an Teams der Gastgeber-Hochschule. Teilnehmer berichteten, dass mehrere Gewinnerprojekte “GPT-Kopien” ohne Verständnis des zugrundeliegenden Codes waren, und ein IoT-Kategorie-Gewinnerprojekt überhaupt nicht funktionierte.
Als externe Teams im Event-Gruppenchat Beschwerden einreichten, löschten die Organisatoren die Schreibrechte und ignorierten jede weitere Kommunikation.
Teil III: Das Muster wiederholt sich — 2 weitere Fälle (2025)
Die obigen Fälle beschränken sich nicht auf Elite-Veranstaltungen. Dieselben strukturellen Mängel wiederholen sich auf jeder Ebene — von Hochschul-Hackathons bis zu plattformübergreifenden Farming-Schemata.
Beim HackWithUttarPradesh, veranstaltet von der Chandigarh University im November 2025, berichtete ein externer Teilnehmer:
• Keine Verpflegung trotz Zusagen
• Teilnehmer schliefen auf Fluren
• Voreingenommene Bewertung zugunsten interner Teams
• Externe Teams während der Evaluation komplett ignoriert
• Gesamterlebnis beschrieben als “eine Hochschul-Werbeveranstaltung, kein Hackathon”
Das Muster ist identisch mit Fall 6 (Geethanjali College) — die Gastinstitution nimmt alle Preise mit, externe Teilnehmer werden als Statisten behandelt.
Im Dezember 2025 dokumentierte ein Community-Mitglied, dass bekannte Krypto-Community-Anführer “von Hackathon zu Hackathon ziehen und dasselbe Projekt ohne jede Scham immer wieder einreichen” — mit Tags für ETHIndia, Devfolio und andere Events.
Keine Plattform prüft, ob eine Einreichung bereits anderswo gewonnen hat. Eine plattformübergreifende Verifizierung existiert nicht. Dieselbe Codebasis, dieselbe Demo, derselbe Pitch — verschiedene Preispools.
Das Muster
Das sind keine Einzelfälle. Es sind 8 Symptome derselben strukturellen Lücke — quer durch jede Hackathon-Kategorie, von Hochschul-Events bis zu $1M+-Wettbewerben:
Anmerkung: ETHGlobal erscheint in dieser Tabelle nicht als eigenständige Plattform, da sein Audit in Abschnitt I behandelt wird. Der Fall 4 unten betrifft eine lokale Ethereum-Argentina-Veranstaltung, die auf der ETHGlobal-Infrastruktur organisiert wurde.
| Fall | Typ |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | Projektplagiat |
| getblink.fun (SuperteamIN) | Codediebstahl |
| CRED Rabbit Hole | IP-Rechte-Aneignung |
| Ethereum Argentina (Devconnect Buenos Aires) | Ungerechtfertigte Disqualifikation |
| Bolt Hackathon | Voreingenommene Bewertung + Zensur |
| Geethanjali College | Interessenkonflikt |
| HackWithUttarPradesh | Voreingenommene Bewertung |
| Plattformübergreifendes Farming | Multi-Event-Betrug |
Nicht alle ignorieren das Problem
Zwei Organisationen in unserer Untersuchung reagierten auf Integritätsversagen mit konkreten Maßnahmen. SuperteamIN (Fall 2) nahm die Plagiatsmeldung zur Kenntnis und leitete eine Untersuchung ein. CRED (Fall 3) nahm räuberische IP-Bedingungen innerhalb von 24 Stunden nach öffentlicher Kritik zurück. Diese Reaktionen zeigen: Wenn Organisationen Integrität ernst nehmen, kann sich das System selbst korrigieren — aber nur wenn Probleme öffentlich werden. Die Frage ist: Warum auf einen öffentlichen Vorfall warten, wenn präventive Infrastruktur existiert?
Die rechtliche Perspektive
IP-Juristen haben die Sicherheit von Hackathon-Einreichungen bereits als wachsendes Problem identifiziert. Im Fall CRED Rabbit Hole warnte ein IP-Anwalt öffentlich, dass die Hackathon-Bedingungen faktisch bedeuteten, dass Teilnehmer kostenlos für den Veranstalter arbeiten — ein Risiko, das die meisten Teilnehmer nie in Betracht ziehen. Das Marseiller Gerichtsurteil vom März 2025, das Blockchain-Zeitstempel als gültigen Urheberrechtsnachweis anerkannte, schafft den rechtlichen Rahmen: Die Werkzeuge für den IP-Schutz existieren, und Gerichte erkennen sie an. Die Lücke ist nicht die Technologie — sie ist die Verbreitung.
Warum es schlimmer wird, nicht besser
Im Februar 2026 warnte Changpeng Zhao (CZ), dass das Fehlen von Datenschutz “das fehlende Glied für die Verbreitung von Krypto-Zahlungen sein könnte” — und wies darauf hin, dass On-Chain-Transaktionen offenlegen, wer wem wie viel zahlt. Dieselbe Logik gilt für Hackathons: Wenn Einreichungen, Jury-Zuweisungen und Bewertungen auf Plattformen ohne Zugangskontrollen liegen, ist der Prozess im schlimmsten Sinne transparent — sichtbar für jeden, der ihn ausnutzen will, unsichtbar für jeden, der ihn prüfen will.
In derselben Woche skizzierte Vitalik Buterin eine Vision für kryptografische Verifizierung als Standard-Infrastruktur — einschließlich “Sicherheitseinlagen mit Onchain-Streitbeilegung,” “ZK-datenschutzerhaltenden Zahlungen und Reputation” und einem Prinzip, das er seit Jahren vertritt: “Nicht vertrauen; alles verifizieren.” In einem separaten Beitrag befürwortete er ein Modell, das Identität durch Stake ersetzt — wobei Teilnehmer eine Kaution hinterlegen, anonym handeln und bei Missbrauch Slashing unterliegen.
Wenn die Gründer der zwei größten Blockchain-Ökosysteme unabhängig voneinander sagen, dass datenschutzerhaltende Verifizierung in die Infrastruktur eingebaut werden muss — nicht nachträglich aufgesetzt — dann wird das Fehlen dieser Schutzmechanismen bei Hackathon-Einreichungen nicht weniger auffällig, sondern mehr. Die Technologie existiert. Die Nachfrage wird auf höchster Ebene artikuliert. Die Lücke ist die Verbreitung.
Die beste Verteidigung ist nicht Geheimhaltung. Es sind Beweise.
Alles aufzeichnen. Zeitstempeln vertrauen. Blockchain lügt nicht.
Das Problem ist dokumentiert. Die Lösungen sind bekannt. Was fehlt, ist die Verbreitung.
Quellen
- ETHGlobal Events: ethglobal.com/events
- ETHGlobal New Delhi 2025 Finalisten (KagamiAI): x.com/ETHGlobal/status/1972276802270925116
- KagamiAI-Plagiats-Thread: x.com/kararsweta/status/1976620328832094629
- KagamiAI-Beweis-Beitrag: x.com/SoumikBaksi/status/1976615890042118231
- getblink.fun Original-Repository: github.com/shubhiscoding/getblink.fun
- getblink.fun Codediebstahl-Thread: x.com/LookWhatIbuild/status/1977478395022950907
- CRED Rabbit Hole IP-Gegenreaktion: x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole — OfficeChai-Berichterstattung (inkl. Kunal Shah Antwort): officechai.com
- Ethereum Argentina (Devconnect Buenos Aires) Disqualifikations-Thread: x.com/CaptainCodeOnX/status/2021551261435429190
- Bolt-Hackathon Fairness-Diskussion (Hacker News): news.ycombinator.com/item?id=44702465
- Bolt-Hackathon-Kritik: x.com/0xPaulius/status/1949427171769934070
- Geethanjali College Hackathon Voreingenommenheits-Thread: x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh — Voreingenommene Bewertung: x.com/AvAwasthi/status/1985223392015056964
- Plattformübergreifendes Projekt-Farming: x.com/_KxrMa_G/status/2002047507308982565
- Gericht Marseille — Blockchain als rechtlicher Beweis: euipo.europa.eu
- Goodwin Law — Frankreich Blockchain-Zeitstempel: goodwinlaw.com
- TCS AI-Hackathon (281.000 Teilnehmer): tcs.com
- Avalanche Build Games ($1M Preisgeld): build.avax.network/build-games
- Web3Privacy Now — Berliner Hackathon-Einreichungen: github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ über Datenschutz als fehlendes Glied für Krypto-Verbreitung (15. Feb. 2026): x.com/cz_binance/status/2023016538677371079
- Vitalik Buterin — AI + Ethereum: Sicherheitseinlagen, Onchain-Streitbeilegung, ZK-Datenschutz (9. Feb. 2026): x.com/VitalikButerin/status/2020963864175657102
- Vitalik Buterin — ZK-datenschutzerhaltende Reputation (11. Feb. 2026): x.com/VitalikButerin/status/2021594878162157948
- Vitalik Buterin / Davide Crapis — Identität durch Stake ersetzen (11. Feb. 2026): x.com/VitalikButerin/status/2021586150973206827
Wurde Ihr Projekt kopiert? Haben Sie unfaire Bewertung erlebt? Wurden Sie ohne Beweise disqualifiziert?
Ihre Geschichte — auch anonym — wird Teil der Beweislage.
Alle Meldungen werden von unserem Research-Team geprüft. Die Identität anonymer Melder wird ohne deren ausdrückliche Zustimmung niemals offengelegt.