Nous avons analysé 12 hackathons dotés de plus de 4 millions de dollars de prix. Aucun ne protège les projets soumis.
12 événements audités. 6 failles d'infrastructure identifiées. 8 cas réels de plagiat, d'appropriation de propriété intellectuelle et de jugement partial documentés — tous issus de sources publiques et vérifiés de manière indépendante.
Lors d'un hackathon l'an dernier, une équipe a présenté son concept au premier tour. Deux semaines plus tard, une autre équipe — ayant accès au même jury — a soumis un concept étrangement similaire. Aucune piste d'audit. Aucun journal d'accès. Aucun moyen de prouver qui a vu quoi et quand.
L'équipe à l'origine de l'idée n'avait aucun recours. L'équipe qui l'a potentiellement copiée n'a fait l'objet d'aucun examen. Et l'organisateur ne disposait d'aucun outil pour mener une vérification, même s'il l'avait voulu.
Nous pensions qu'il s'agissait d'un cas isolé. Puis nous avons analysé 12 hackathons sur 4 continents — et découvert que c'est la norme.
Méthodologie : Entre janvier et février 2026, nous avons examiné les processus de soumission publics, les règlements, les structures de jury et les signalements sur les réseaux sociaux de 12 hackathons. Nous avons également étudié 8 cas documentés de défaillances de sécurité des soumissions entre 2025 et février 2026. Nous avons analysé la documentation des plateformes (DevPost, Devfolio, DoraHacks, TAIKAI), les pages de règlement spécifiques à chaque événement, les dépôts publics GitHub, les archives judiciaires et les témoignages directs de participants. Toutes les conclusions sont vérifiables de manière indépendante via les sources citées tout au long de cet article.
Demandes de commentaires : Toutes les organisations mentionnées ont été contactées avant la publication. Le PDG d'ETHGlobal, Kartik Talwar, a répondu avec des commentaires détaillés, notant que les équipes sont informées des juges ayant évalué leurs soumissions, que toutes les soumissions portent des horodatages (côté serveur, pas blockchain), que les litiges sont traités par e-mail et canaux de support, et que parmi plus de 15 000 projets soumis depuis 2017, il n'y a eu aucune plainte publique concernant la responsabilité. Sa position complète est reflétée dans la section d'audit ETHGlobal ci-dessous. Avalanche Foundation, BNB Chain (via DoraHacks), Chainlink, Web3Privacy Now et TCS n'ont pas répondu. SuperteamIN et CRED ont répondu publiquement à leurs incidents respectifs (documentés dans les Cas 2 et 3).
Ce n'est pas un cas isolé. C'est la norme.
Chaque grande plateforme de hackathons — DevPost, Devfolio, DoraHacks, TAIKAI — se concentre sur la logistique événementielle. Aucune ne protège les travaux soumis.
Pourquoi cela dépasse la question des prix
Les hackathons ne sont pas de simples compétitions : ils constituent la principale porte d'entrée dans le Web3. Le parcours est bien documenté : un développeur participe à un hackathon, construit un premier projet, se fait repérer par une équipe protocolaire, reçoit une subvention et lance ce qui devient une véritable infrastructure. Uniswap, Filecoin, ENS et des dizaines de protocoles majeurs sont nés comme projets de hackathon.
Quand la sécurité des soumissions faillit, ce n'est pas une seule équipe qui en souffre — c'est tout le vivier qui est empoisonné. Un développeur plagié lors de son premier hackathon ne revient pas. Un constructeur qui voit des prix attribués à des projets copiés cesse de construire. L'écosystème perd sa prochaine vague de contributeurs — non au profit d'un concurrent, mais au profit de la désillusion.
Il ne s'agit pas de protéger l'argent des prix. Il s'agit de protéger le mécanisme qui forme la prochaine génération de bâtisseurs du Web3. Si les hackathons perdent leur crédibilité, c'est toute la filière de talents de l'écosystème qui se brise.
L'ampleur du problème
Rien qu'en 2025, ETHGlobal — le plus grand organisateur de hackathons Ethereum — a tenu des événements sur 5 continents, distribuant plus de 2 millions de dollars en prix à plus de 10 000 développeurs. Les dotations de certains événements dépassent désormais le million de dollars (ETHDenver, Avalanche Build Games, Hedera).
Les hackathons d'entreprise sont encore plus importants : TCS a organisé un hackathon IA avec 281 000 participants de 58 pays, où les soumissions étaient évaluées en vue d'une intégration commerciale.
Et pourtant, chaque grande plateforme de hackathons se concentre sur la même chose : inscription, formation d'équipes, formulaires d'évaluation. Aucun journal d'accès. Aucune chaîne de traçabilité pour les documents partagés. Aucun mécanisme formel de résolution des litiges. Aucune piste d'audit.
Partie I : Le déficit d'infrastructure — 6 hackathons majeurs audités
Nous avons commencé par auditer la sécurité des soumissions de 6 grands programmes de hackathons — des plus grands événements Ethereum aux compétitions d'entreprise. Précisons : il ne s'agit pas d'accusations. Ce sont des observations sur des processus documentés publiquement. Chaque organisateur cité ci-dessous conduit un événement légitime et de bonne foi. Le problème n'est pas l'incompétence — c'est l'absence d'une infrastructure qui n'existe pas encore.
- Aucun registre vérifiable de manière indépendante des attributions juges-soumissions
- Toutes les soumissions visibles publiquement avant et pendant l'évaluation
- Aucun processus publié de résolution des litiges avec des délais définis
- Aucun horodatage blockchain sur les soumissions
- 6 semaines d'exposition des idées, sans piste d'audit
- Aucun journal d'accès aux soumissions
- « Intention à long terme » évaluée sans vérification
- Aucune piste d'audit pour l'accès des juges aux soumissions
- Vote communautaire vulnérable à la manipulation par les baleines
- Aucune procédure de résolution des litiges
- Dépôts GitHub publics — visibles avant l'évaluation
- Catégorie confidentialité sans confidentialité des soumissions
- Soumissions via formulaire Airtable
- Aucune chaîne de traçabilité de la PI pour les produits commerciaux
- Aucune piste d'audit aux normes professionnelles
- Risque réglementaire avec l'évaluation des soumissions par IA
- Les PR publiques exposent toutes les idées avant l'évaluation
- Événement axé sur la confidentialité avec zéro protection des soumissions
- Aucun journal d'accès ni piste d'audit
Le déficit en résumé
Note : Ce tableau compare les plateformes de hackathons — des services utilisés par de multiples organisateurs pour héberger des événements (DevPost, Devfolio, DoraHacks, TAIKAI). Les organisateurs d'événements comme ETHGlobal utilisent leur propre système propriétaire de soumission et sont évalués séparément dans les fiches d'audit ci-dessus.
| Niveau de protection | DevPost | Devfolio | DoraHacks | TAIKAI | L'une d'elles ? |
|---|---|---|---|---|---|
| Téléchargement des soumissions | Oui | Oui | Oui | Oui | Oui |
| Journal d'accès | Non | Non | Non | Non | Non |
| Horodatage blockchain | Non | Non | Partiel | Partiel | Non |
| Piste d'audit des juges | Non | Non | Non | Non | Non |
| Résolution des litiges | Non | Non | Non | Non | Non |
| Protection de la PI | Non | Non | Non | Non | Non |
Toutes les plateformes gèrent la logistique. Aucune ne garantit l'intégrité.
Partie II : C'est déjà en cours — 6 cas documentés (2025–2026)
Les failles décrites ci-dessus ne sont pas théoriques. Nous avons étudié 6 hackathons où l'absence de sécurité des soumissions a causé un préjudice réel : plagiat, appropriation de propriété intellectuelle, disqualification injuste, jugement partial et censure. Tous les cas datent de 2025–2026 et sont documentés publiquement avec leurs sources.
Une équipe a développé KagamiAI lors d'ETHGlobal New Delhi en septembre 2025, où le projet a été sélectionné parmi les 10 finalistes sur 616 projets. L'équipe a travaillé tout le week-end et recueilli de vrais retours d'utilisateurs.
Peu après, un autre participant a copié l'intégralité du projet — le code, l'application et même la vidéo de démonstration (qui contenait la voix d'un membre de l'équipe originale) — et l'a soumis à un autre hackathon (HackQuest).
L'équipe originale a tout documenté publiquement et demandé l'exclusion du plagiaire.
Le développeur Shubh a créé getblink.fun — une plateforme no-code pour créer des Solana Blinks (193 commits, créée en août 2024). Il a demandé deux fois une subvention à SuperteamIN et a été refusé les deux fois, puis a fermé le projet en raison des coûts.
Un autre développeur, qui avait précédemment contacté Shubh en message privé pour demander de l'aide et avait reçu un lien vers le dépôt « pour apprendre », a copié l'intégralité de la base de code ligne par ligne, l'a renommée « Blinker » et a obtenu une subvention SuperteamEarn.
Confronté à la comparaison côte à côte du code, le copieur a bloqué l'auteur original et supprimé tout — son compte, son site web et son dépôt. SuperteamIN a reconnu le signalement et a ouvert une enquête sur l'incident.
CRED, la société fintech indienne fondée par Kunal Shah, a annoncé le Hackathon IA Rabbit Hole doté de ₹50 lakh (~60 000 $). Les conditions initiales stipulaient que tous les droits de propriété intellectuelle des soumissions « seraient réputés être des travaux réalisés pour le compte de » et que CRED serait propriétaire de tout ce qui serait créé pendant l'événement.
La réaction fut immédiate et massive. La publication du développeur Aditya Oberai, qualifiant cela de « cours magistral sur comment NE PAS organiser un hackathon », a reçu plus de 1 100 likes. Un avocat en PI a averti les participants que les conditions revenaient à « vous demander habilement de donner votre idée, de la construire pour eux, et de ne rien recevoir en retour ».
D'autres plaintes ont émergé : CRED exigeait « Login with CRED » pour l'inscription (sans rapport avec le hackathon) et aurait effectué des vérifications de solvabilité sur les candidats sans divulgation claire.
Kunal Shah a répondu en moins de 24 heures : « Les critiques sur la PI sont justifiées. Ça n'aurait jamais dû être là. On le retire. » Les conditions ont été modifiées pour stipuler : « Les participants conservent l'intégralité des droits sur leurs soumissions respectives. »
Lors du Devconnect Buenos Aires en novembre 2025, deux hackathons distincts se sont déroulés dans la même ville. L'événement ETHGlobal (475 projets, 500 000 $ de prix) a payé tous les gagnants à temps sans litiges publics. Pendant ce temps, le hackathon « Tierra de Buidlers » d'Ethereum Argentina sur TAIKAI (~355 participants, ~30 000 $ de prix) a eu un résultat différent.
Au hackathon Ethereum Argentina, une équipe a développé deux projets distincts dans des dépôts différents avec des historiques de commits indépendants. Un membre a commencé seul, puis un second l'a rejoint. Les deux projets ont été approuvés, évalués, et l'un a remporté un prix.
En février 2026 — plus de deux mois après — l'équipe a été disqualifiée pour « farming » et « base de code partagée » — sans aucune comparaison technique du code fournie comme preuve.
Lorsque l'équipe a demandé des preuves — un diff, une analyse des commits, quoi que ce soit démontrant le partage de code — rien n'a été fourni. L'équipe a ensuite été bloquée de toute communication.
Le contraste est instructif : au même Devconnect, un organisateur (ETHGlobal) a mené un processus transparent à grande échelle et payé les gagnants sans incident ; l'autre (Ethereum Argentina) a disqualifié une équipe gagnante des mois plus tard sans fournir de preuves techniques.
Le hackathon Bolt — présenté comme « le plus grand hackathon du monde » avec plus de 130 000 développeurs inscrits et plus d'1 million de dollars de prix — a fait l'objet de critiques détaillées sur Hacker News :
17 des 20 prix principaux sont allés à des projets des États-Unis, du Canada et de l'UE — alors que ces régions ne représentaient qu'environ 25 % des participants. Au moins un gagnant a soumis un projet sans démo fonctionnelle — seulement des captures d'écran localhost et ce que les critiques ont décrit comme une « vidéo générée par IA ». Un autre gagnant n'aurait pas soumis d'URL déployée, bien que les règles exigent explicitement des URL hébergées.
Lorsque les participants ont exprimé leurs préoccupations, Bolt a modéré les publications sur Reddit et Discord et bloqué les critiques.
Plusieurs participants ont indépendamment corroboré les plaintes, notant que leurs projets entièrement fonctionnels et déployés avaient perdu face à des soumissions avec des démos non fonctionnelles.
Lors d'un hackathon de 48 heures organisé par le Geethanjali College of Engineering and Technology en mars 2025, les participants externes ont payé ₹450 par personne pour participer et ont construit des projets entièrement fonctionnels.
Les 6 prix — 2 dans chacune des 3 catégories (IA/ML, IoT, Innovation Ouverte) — sont allés exclusivement aux équipes de l'université hôte. Les participants ont signalé que plusieurs projets gagnants étaient du « copier-coller GPT » sans compréhension du code sous-jacent, et que le projet gagnant dans la catégorie IoT ne fonctionnait pas du tout.
Lorsque les équipes externes ont formulé des plaintes dans le groupe de discussion de l'événement, les organisateurs ont supprimé les droits de publication et ignoré toute communication ultérieure.
Partie III : Le schéma se répète — 2 cas supplémentaires (2025)
Les cas ci-dessus ne se limitent pas aux événements de premier plan. Les mêmes failles structurelles se reproduisent à tous les niveaux — des hackathons universitaires aux schémas de farming inter-plateformes.
Lors de HackWithUttarPradesh, organisé par Chandigarh University en novembre 2025, les un participant externe a signalé :
• Aucun repas fourni malgré les promesses
• Des participants dormant dans les couloirs
• Un jugement biaisé en faveur des équipes internes
• Les équipes externes complètement ignorées lors de l'évaluation
• L'expérience globale qualifiée de « promotion universitaire, pas un hackathon »
Le schéma est identique au Cas 6 (Geethanjali College) : l'institution hôte rafle tous les prix, les participants externes ne sont que de la figuration.
En décembre 2025, un membre de la communauté a documenté que des leaders connus de la communauté crypto « allaient de hackathon en hackathon, soumettant le même projet encore et encore sans aucune gêne » — mentionnant ETHIndia, Devfolio et d'autres événements.
Aucune plateforme ne vérifie si une soumission a déjà gagné ailleurs. Aucune vérification inter-plateformes n'existe. Le même code, la même démo, le même pitch — des dotations différentes.
Le schéma
Ce ne sont pas des incidents isolés. Ce sont 8 symptômes de la même faille structurelle — couvrant toutes les catégories de hackathons, des événements universitaires aux compétitions à plus d'un million de dollars :
| Cas | Type |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | Plagiat de projet |
| getblink.fun (SuperteamIN) | Vol de code |
| CRED Rabbit Hole | Appropriation des droits de PI |
| Ethereum Argentina (Devconnect Buenos Aires) | Disqualification injuste |
| Hackathon Bolt | Jugement partial + censure |
| Geethanjali College | Conflit d'intérêts |
| HackWithUttarPradesh | Jugement partial |
| Farming inter-plateformes | Fraude multi-événements |
Tous ne ferment pas les yeux
Deux organisations dans notre étude ont réagi aux manquements d'intégrité par des actions concrètes. SuperteamIN (Cas 2) a reconnu le signalement de plagiat et a ouvert une enquête ; par la suite, le copieur a supprimé son compte, son site web et son dépôt.
Le regard juridique
Les professionnels du droit de la propriété intellectuelle ont déjà signalé la sécurité des soumissions de hackathons comme une préoccupation croissante. Dans l'affaire CRED Rabbit Hole, un avocat en PI a publiquement averti que les conditions du hackathon revenaient à faire travailler les participants gratuitement pour l'organisateur — un risque auquel la plupart des participants ne pensent jamais. La décision du tribunal de Marseille de mars 2025, acceptant les horodatages blockchain comme preuve valide de droits d'auteur, établit le cadre juridique : les outils de protection de la PI existent et les tribunaux les reconnaissent. Le déficit est dans l'adoption, pas dans la technologie.
Pourquoi la situation empire au lieu de s'améliorer
En février 2026, Changpeng Zhao (CZ) a averti que l'absence de confidentialité « pourrait être le chaînon manquant pour l'adoption des paiements crypto » — soulignant que les transactions on-chain révèlent qui paie qui et combien. La même logique s'applique aux hackathons : quand les soumissions, les affectations de juges et les scores siègent sur des plateformes sans contrôle d'accès, le processus est transparent dans le pire sens du terme — visible pour quiconque veut l'exploiter, invisible pour quiconque veut l'auditer.
La même semaine, Vitalik Buterin a esquissé une vision de la vérification cryptographique comme infrastructure par défaut — incluant des « dépôts de garantie avec résolution de litiges on-chain », des « paiements et réputation avec confidentialité ZK », et un principe qu'il défend depuis des années : « ne fais pas confiance ; vérifie tout. » Dans une autre publication, il a soutenu un modèle remplaçant l'identité par le stake — où les participants déposent une caution, agissent anonymement et s'exposent à des pénalités en cas d'abus.
Quand les fondateurs des deux plus grands écosystèmes blockchain affirment indépendamment que la vérification préservant la confidentialité doit être intégrée à l'infrastructure — et non ajoutée après coup — l'absence de ces protections dans les soumissions de hackathons devient plus flagrante, pas moins. La technologie existe. La demande s'exprime au plus haut niveau. Le déficit est dans l'adoption.
La meilleure défense n'est pas le secret. Ce sont les preuves.
Enregistrez tout. Faites confiance aux horodatages. La blockchain ne ment pas.
Le problème est documenté. Les solutions sont connues. Ce qui manque, c'est l'adoption.
Sources
- Événements ETHGlobal : ethglobal.com/events
- Finalistes ETHGlobal New Delhi 2025 (KagamiAI) : x.com/ETHGlobal/status/1972276802270925116
- Fil sur le plagiat de KagamiAI : x.com/kararsweta/status/1976620328832094629
- Preuves KagamiAI : x.com/SoumikBaksi/status/1976615890042118231
- Dépôt original getblink.fun : github.com/shubhiscoding/getblink.fun
- Fil sur le vol de code getblink.fun : x.com/LookWhatIbuild/status/1977478395022950907
- Réaction sur la PI de CRED Rabbit Hole : x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole — Couverture OfficeChai (incl. réponse de Kunal Shah) : officechai.com
- Fil sur la disqualification Ethereum Argentina (Devconnect Buenos Aires) : x.com/CaptainCodeOnX/status/2021551261435429190
- Discussion sur l'équité du hackathon Bolt (Hacker News) : news.ycombinator.com/item?id=44702465
- Critiques du hackathon Bolt : x.com/0xPaulius/status/1949427171769934070
- Fil sur le biais du hackathon Geethanjali College : x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh — Jugement partial : x.com/AvAwasthi/status/1985223392015056964
- Farming de projets inter-plateformes : x.com/_KxrMa_G/status/2002047507308982565
- Tribunal de Marseille — Blockchain comme preuve légale : euipo.europa.eu
- Goodwin Law — Horodatage blockchain en France : goodwinlaw.com
- TCS AI Hackathon (281 000 participants) : tcs.com
- Avalanche Build Games (dotation 1 M$) : build.avax.network/build-games
- Web3Privacy Now — Soumissions du hackathon de Berlin : github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ sur la confidentialité comme chaînon manquant pour l'adoption crypto (15 février 2026) : x.com/cz_binance/status/2023016538677371079
- Vitalik Buterin — IA + Ethereum : dépôts de garantie, résolution de litiges on-chain, confidentialité ZK (9 février 2026) : x.com/VitalikButerin/status/2020963864175657102
- Vitalik Buterin — Réputation avec confidentialité ZK (11 février 2026) : x.com/VitalikButerin/status/2021594878162157948
- Vitalik Buterin / Davide Crapis — Remplacer l'identité par le stake (11 février 2026) : x.com/VitalikButerin/status/2021586150973206827
Votre projet a été copié ? Vous avez subi un jugement partial ? Disqualifié sans preuve ?
Votre témoignage — même anonyme — devient une pièce à conviction.
Toutes les communications sont examinées par notre équipe de recherche. L'identité de l'auteur d'un signalement anonyme n'est jamais révélée sans son consentement explicite.