賞金総額400万ドル超の12のハッカソンを分析した。提出作品を保護しているものは一つもなかった。
12イベントを監査。6つのインフラ上の欠陥を特定。盗用、知的財産の侵害、不公正な審査の実例8件を文書化 — すべて公開情報に基づき、独立して検証済み。
昨年あるハッカソンで、チームが第1ラウンドで自らのアイデアを発表した。2週間後、同じ審査員プールにアクセスできた別のチームが、酷似したコンセプトを提出した。監査証跡はなかった。アクセスログもなかった。誰がいつ何を見たかを証明する手段は一切なかった。
オリジナルのアイデアを生んだチームには救済手段がなかった。コピーした可能性のあるチームは何の審査も受けなかった。そして主催者には、たとえ望んだとしても調査するツールがなかった。
私たちはこれが例外的なケースだと考えていた。その後、4大陸にわたる12のハッカソンを分析した結果、これが標準であることが判明した。
調査手法:2026年1月から2月にかけて、12のハッカソンイベントの公開提出プロセス、イベント規則、審査体制、SNS上の報告を調査した。また、2025年から2026年2月までの提出物セキュリティに関する8件の事例も調査した。プラットフォームのドキュメント(DevPost、Devfolio、DoraHacks、TAIKAI)、各イベント固有のルールページ、公開GitHubリポジトリ、裁判記録、参加者の直接的な証言を分析した。すべての調査結果は、本記事全体を通じて引用されている情報源により独立して検証可能である。
コメント要請:ETHGlobal、Avalanche Foundation、BNB Chain(DoraHacks経由)、Chainlink、Web3Privacy Now、TCSに公開前に連絡した。ETHGlobalのCEO Kartik Talwarは公開後に回答し、ETHGlobalは内部プロセスを持っていると述べた(下記の監査カードに注記)。その他の組織からの回答はなかった。SuperteamINとCREDはそれぞれのインシデントに対して公に対応した(ケース2およびケース3に記載)。
これは例外ではない。これが標準なのだ。
主要なハッカソンプラットフォーム — DevPost、Devfolio、DoraHacks、TAIKAI — はすべてイベント運営に注力している。提出作品を保護しているプラットフォームは一つもない。
賞金以上に重要な理由
ハッカソンは単なるコンペティションではない。Web3への主要な入り口である。その道筋は十分に実証されている:開発者がハッカソンに参加し、最初のプロジェクトを構築し、プロトコルチームに見出され、助成金を受け、やがて本格的なインフラとなるものを立ち上げる。Uniswap、Filecoin、ENS、そして数十の主要プロトコルがハッカソンの提出作品として誕生した。
提出物のセキュリティが破綻すると、影響を受けるのは1チームだけではない — パイプライン全体が汚染される。初めてのハッカソンで盗用された開発者は戻ってこない。コピー作品に賞が与えられるのを目にしたビルダーは構築をやめる。エコシステムは次世代の貢献者を失う — 競合にではなく、幻滅によって。
これは賞金を守ることではない。次世代のWeb3ビルダーを育てる仕組みそのものを守ることなのだ。ハッカソンが信頼を失えば、エコシステム全体の人材パイプラインが崩壊する。
問題の規模
2025年だけで、ETHGlobal — 最大のEthereumハッカソン主催者 — は5大陸でイベントを開催し、1万人以上の開発者に総額200万ドル以上の賞金を分配した。単一イベントの賞金プールは既に100万ドルを超えている(ETHDenver、Avalanche Build Games、Hedera)。
企業ハッカソンはさらに大規模だ。TCSは58カ国から281,000人が参加したAIハッカソンを開催し、提出作品は商用統合のために評価された。
それにもかかわらず、すべての主要ハッカソンプラットフォームが注力しているのは同じこと:登録、チーム編成、審査フォーム。アクセスログなし。共有資料の管理チェーンなし。正式な紛争解決メカニズムなし。監査証跡なし。
第1部:インフラの欠陥 — 6つの主要ハッカソンを監査
まず6つの主要ハッカソンプログラムの提出物セキュリティを監査した — 最大規模のEthereumイベントから企業コンペティションまで。明確にしておくが、これらは告発ではない。公開されたプロセスに関する観察である。以下に挙げる各主催者は正当かつ善意のイベントを運営している。問題は能力不足ではなく、まだ存在しないインフラの不在にある。
注記:ETHGlobalのCEO Kartik Talwarは公開後に回答し、ETHGlobalはすべてのケースを調査する内部プロセスと審査保護措置を持っていると述べた。以下の観察は公開されたドキュメントに基づいており、各判断の背後にある具体的な証拠はイベントページには掲載されていない。
- どの審査員がどの提出作品を閲覧したかの独立して検証可能な記録なし
- 審査期間中、提出作品がプラットフォーム上で公開表示
- 失格手続きの公開されたタイムラインなし
- 提出作品のブロックチェーンタイムスタンプなし
- 6週間にわたりアイデアが露出、監査証跡なし
- 提出物へのアクセスログなし
- 「長期的意図」が検証なしで評価される
- 審査員の提出物アクセスに関する監査証跡なし
- コミュニティ投票がクジラによる操作に脆弱
- 紛争解決プロセスなし
- 公開GitHubリポジトリ — 審査前から閲覧可能
- プライバシートラックなのに提出物のプライバシーなし
- Airtableフォームによる提出
- 商用製品の知的財産管理チェーンなし
- 企業水準の監査証跡なし
- AIによる提出物評価に伴う規制リスク
- 公開PRにより審査前にすべてのアイデアが露出
- プライバシー重視イベントなのに提出物のプライバシーがゼロ
- アクセスログも監査証跡もなし
欠陥の全体像
| 保護レベル | DevPost | Devfolio | DoraHacks | TAIKAI | いずれか? |
|---|---|---|---|---|---|
| 提出物アップロード | あり | あり | あり | あり | あり |
| アクセスログ | なし | なし | なし | なし | なし |
| ブロックチェーンタイムスタンプ | なし | なし | 一部 | 一部 | なし |
| 審査員の監査証跡 | なし | なし | なし | なし | なし |
| 紛争解決 | なし | なし | なし | なし | なし |
| 知的財産保護 | なし | なし | なし | なし | なし |
すべてのプラットフォームが運営を管理している。公正性を担保しているプラットフォームは一つもない。
第2部:すでに起きている — 6件の実証済み事例(2025〜2026年)
上記の欠陥は理論上の話ではない。提出物セキュリティの不在が実害をもたらした6つのハッカソンを調査した — 盗用、知的財産の侵害、不当な失格処分、偏った審査、そして批判の抑圧。すべてのケースは2025〜2026年のものであり、出典付きで公開記録されている。
あるチームが2025年9月のETHGlobalニューデリーでKagamiAIを開発し、616プロジェクト中トップ10ファイナリストに選出された。チームは週末を通して作業し、実際のユーザーフィードバックを収集した。
その直後、別の参加者がプロジェクト全体をコピーした — コード、アプリケーション、さらにはデモ動画(オリジナルチームメンバーの声が含まれていた)まで — そしてそれを別のハッカソン(HackQuest)に提出した。
オリジナルチームはすべてを公開で文書化し、盗用者の排除を求めた。オリジナルチームはコピーされた提出物の排除を求めた。
開発者Shubhはgetblink.fun — Solana Blinksを作成するためのノーコードプラットフォーム(193コミット、2024年8月作成)を構築した。SuperteamINの助成金に2度申請して2度とも却下され、コスト面からプロジェクトを閉鎖した。
以前ShubhにDMで助けを求め、リポジトリのリンクを「学習用に」もらっていた別の開発者が、コードベース全体を一行ずつコピーし、「Blinker」と名前を変え、SuperteamEarnの助成金を獲得した。
コードの一対一比較を突きつけられると、盗用者はオリジナルの作者をブロックし、すべてを削除した — アカウント、ウェブサイト、リポジトリ。SuperteamINは盗用の報告を認め、調査を開始した。
インドのフィンテック企業CRED(Kunal Shah創業)は、賞金5000万ルピー(約60,000ドル)のRabbit Hole AIハッカソンを発表した。当初の規約では、提出物の全知的財産権は「職務著作とみなす」とされ、CREDがイベント中に制作されたすべてを所有するとされていた。
反発は即座かつ大規模だった。開発者Aditya Oberaiの「ハッカソンの開催方法としてやってはいけないことの見本」という投稿は1,100以上の「いいね」を獲得した。知的財産弁護士が参加者に警告し、この規約は「巧みにアイデアを提供させ、彼らのために作らせ、見返りは何も与えない」に等しいと述べた。
さらなる苦情も浮上した。CREDは登録に「Login with CRED」(ハッカソンとは無関係)を要求し、明確な開示なしに応募者の信用情報を照会していた。
Kunal Shahは24時間以内に対応した:「知的財産に関する批判はもっともだ。最初からあるべきではなかった。撤回する。」規約は「参加者はそれぞれの提出物に対する全権利を保持する」に変更された。
2025年11月のDevconnect Buenos Airesハッカソンで、あるチームが異なるリポジトリで独立したコミット履歴を持つ2つの別々のプロジェクトを開発した。ETHGlobalがプラットフォームインフラ(提出システム、審査ツール)を提供し、Ethereum Argentinaが現地組織を担当した。1人のメンバーが単独で開始し、後にもう1人が2〜5人のチーム要件を満たすために参加した。両プロジェクトとも承認され、審査を通過し、1つが受賞した。
2026年2月 — 2ヶ月以上後 — チームは「ファーミング」と「コードベース共有」を理由に失格処分を受けた — コードの技術的比較は証拠として一切提示されなかった。失格はETHGlobalプラットフォームを通じて伝達された。
チームが証拠 — diff、コミット分析、コードベースが共有されていたことを示す何かしらの資料 — を求めたが、何も提供されなかった。チームはその後、連絡手段を遮断された。失格規定はFAQページにのみ存在し、公式イベント規則には記載されていなかった。このケースはETHGlobalインフラとローカル主催者の間の責任境界が不明確であることを示している。
Boltハッカソン — 13万人以上の開発者が登録し、100万ドル超の賞金を掲げ「世界最大のハッカソン」を標榜 — はHacker Newsで詳細な批判にさらされた:
主要20賞のうち17賞が米国、カナダ、EUのプロジェクトに授与された — これらの地域が参加者全体に占める割合は約25%に過ぎないにもかかわらず。少なくとも1つの受賞作品は動作するデモがなく — localhostのスクリーンショットと、批評者が「AI生成動画」と呼ぶものだけだった。別の受賞者は規則でホスティングURLが明示的に要求されているにもかかわらず、デプロイ済みURLを提出していなかったとされる。
参加者が懸念を表明すると、BoltはRedditとDiscordで投稿を削除し、批判者をブロックした。
複数の参加者が独立して苦情を裏付け、完全に機能しデプロイされた自分たちのプロジェクトが、動作しないデモの提出物に敗れたと指摘した。
2025年3月にGeethanjali College of Engineering and Technologyが主催した48時間のハッカソンで、外部参加者は1人450ルピーを支払い、完全に機能するプロジェクトを構築した。
全6賞 — 3カテゴリー(AI/ML、IoT、オープンイノベーション)各2賞 — がすべて主催大学のチームに独占的に授与された。参加者によると、受賞作品の複数が「GPTのコピペ」で基盤コードの理解がなく、IoTカテゴリーの受賞作品に至っては全く動作しなかった。
外部チームがイベントのグループチャットで苦情を申し立てると、主催者は投稿権限を削除し、以後のすべての連絡を無視した。
第3部:繰り返されるパターン — さらに2件の事例(2025年)
上記の事例はトップレベルのイベントに限った話ではない。同じ構造的欠陥があらゆるレベルで繰り返されている — 大学ハッカソンからクロスプラットフォーム・ファーミングまで。
2025年11月にChandigarh Universityが主催したHackWithUttarPradeshで、外部参加者の一人が以下を報告した:
• 約束されていた食事が提供されなかった
• 参加者が廊下で就寝
• 内部チームに有利な偏った審査
• 評価中に外部チームが完全に無視された
• 全体的な体験が「ハッカソンではなく大学の宣伝活動」と評された
パターンはケース6(Geethanjali College)と同一 — 主催機関がすべての賞を独占し、外部参加者は単なる頭数として扱われた。
2025年12月、あるコミュニティメンバーが、著名な暗号コミュニティリーダーが「恥じることなくハッカソンを渡り歩き、同じプロジェクトを繰り返し提出している」ことを文書化した — ETHIndia、Devfolioなどのイベントを名指ししていた。
提出物が他で受賞済みかどうかをチェックするプラットフォームは存在しない。クロスプラットフォームの検証は存在しない。同じコードベース、同じデモ、同じプレゼン — 異なる賞金プール。
浮かび上がるパターン
これらは孤立した事件ではない。同一の構造的欠陥から生じた8つの症状であり、大学イベントから100万ドル超のコンペティションまであらゆるカテゴリーにまたがる:
注記:ETHGlobalは上記の監査セクションに含まれているが(プラットフォームインフラの監査として)、ケース4はEthereum Argentina(Devconnect Buenos Aires)が現地主催者として運営したイベントに関するものであるため、このパターン表には含まれていない。
| ケース | 類型 |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | プロジェクト盗用 |
| getblink.fun (SuperteamIN) | コード盗用 |
| CRED Rabbit Hole | 知的財産権の侵害 |
| Ethereum Argentina(Devconnect Buenos Aires) | 不当な失格処分 |
| Boltハッカソン | 偏った審査 + 批判の封殺 |
| Geethanjali College | 利益相反 |
| HackWithUttarPradesh | 偏った審査 |
| クロスプラットフォーム・ファーミング | 複数イベント詐取 |
問題を無視していない組織もある
本調査対象の中で、2つの組織がインテグリティの問題に具体的な行動で対応した。SuperteamIN(ケース2)は盗用の報告を認め、調査を開始した。CRED(ケース3)は公衆の反発から24時間以内に搾取的な知的財産条項を撤回した。これらの対応は、組織がインテグリティを真剣に受け止めれば自浄作用が働くことを示している — ただし、問題が公になった場合に限る。問いは:予防的インフラが存在するのに、なぜ公のインシデントを待つのか。
法的見解
知的財産法の専門家は、ハッカソンの提出物セキュリティを増大する懸念として既に指摘している。CRED Rabbit Holeのケースでは、知的財産弁護士が、ハッカソンの規約は参加者が主催者のために無償で働くことに等しいと公に警告した — ほとんどの参加者が考えもしないリスクだ。2025年3月のマルセイユ裁判所の判決は、ブロックチェーンタイムスタンプを有効な著作権証拠として認め、法的枠組みを確立した。知的財産保護のツールは存在し、裁判所はそれを認めている。ギャップは採用にあり、技術にはない。
なぜ状況は改善ではなく悪化しているのか
2026年2月、Changpeng Zhao(CZ)は、プライバシーの欠如が「暗号決済普及の欠けたピースかもしれない」と警告した — オンチェーン取引が誰が誰にいくら支払ったかを露出させることを指摘して。同じロジックがハッカソンにも当てはまる:提出物、審査員割当、スコアがアクセス制御のないプラットフォームに置かれている場合、そのプロセスは最悪の意味で透明 — 悪用しようとする者には丸見えで、監査しようとする者には追跡不能。
同じ週、Vitalik Buterinは暗号検証をデフォルトインフラとする構想を提示した — 「オンチェーン紛争解決付きセキュリティデポジット」、「ZKプライバシー対応の決済とレピュテーション」、そして彼が長年主張してきた原則:「信頼するな、すべてを検証せよ。」 別の投稿では、アイデンティティをステークで置き換えるモデルを支持した — 参加者がデポジットを預け、匿名で行動し、悪用すればスラッシングを受ける仕組みだ。
2大ブロックチェーンエコシステムの創設者が独立して、プライバシーを保護する検証はインフラに組み込まれるべき — 後付けではなく — と主張している時、ハッカソンの提出物にこれらの保護がないことは、目立たなくなるのではなく、より目立つ。技術は存在する。需要は最高レベルで表明されている。ギャップは採用にある。
最善の防御は秘密ではない。証拠だ。
すべてを記録せよ。タイムスタンプを信頼せよ。ブロックチェーンは嘘をつかない。
問題は文書化されている。解決策は分かっている。欠けているのは採用だ。
出典
- ETHGlobalイベント:ethglobal.com/events
- ETHGlobalニューデリー2025ファイナリスト(KagamiAI):x.com/ETHGlobal/status/1972276802270925116
- KagamiAI盗用スレッド:x.com/kararsweta/status/1976620328832094629
- KagamiAI証拠投稿:x.com/SoumikBaksi/status/1976615890042118231
- getblink.funオリジナルリポジトリ:github.com/shubhiscoding/getblink.fun
- getblink.funコード盗用スレッド:x.com/LookWhatIbuild/status/1977478395022950907
- CRED Rabbit Hole知的財産問題:x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole — OfficeChai報道(Kunal Shah回答含む):officechai.com
- Ethereum Argentina(Devconnect Buenos Aires)失格スレッド:x.com/CaptainCodeOnX/status/2021551261435429190
- Boltハッカソン公正性議論(Hacker News):news.ycombinator.com/item?id=44702465
- Boltハッカソン批判:x.com/0xPaulius/status/1949427171769934070
- Geethanjali Collegeハッカソン偏向スレッド:x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh — 偏った審査:x.com/AvAwasthi/status/1985223392015056964
- クロスプラットフォーム・プロジェクト・ファーミング:x.com/_KxrMa_G/status/2002047507308982565
- マルセイユ裁判所 — ブロックチェーンが法的証拠に:euipo.europa.eu
- Goodwin Law — フランスのブロックチェーンタイムスタンプ:goodwinlaw.com
- TCS AIハッカソン(281,000人参加):tcs.com
- Avalanche Build Games(賞金100万ドル):build.avax.network/build-games
- Web3Privacy Now — ベルリンハッカソン提出物:github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ:プライバシーが暗号普及の欠けたピース(2026年2月15日):x.com/cz_binance/status/2023016538677371079
- Vitalik Buterin — AI + Ethereum:セキュリティデポジット、オンチェーン紛争解決、ZKプライバシー(2026年2月9日):x.com/VitalikButerin/status/2020963864175657102
- Vitalik Buterin — ZKプライバシー保護レピュテーション(2026年2月11日):x.com/VitalikButerin/status/2021594878162157948
- Vitalik Buterin / Davide Crapis — アイデンティティをステークで置換(2026年2月11日):x.com/VitalikButerin/status/2021586150973206827
プロジェクトを盗用されましたか?不公正な審査を受けましたか?証拠なしに失格処分を受けましたか?
あなたの体験は — 匿名であっても — 証拠の一部となります。
すべての報告は調査チームが確認します。匿名報告者の身元は、本人の明示的な同意なく公開されることはありません。