Kami Menyiasat 12 Hackathon Dengan Hadiah Melebihi $4 Juta. Tiada Satu Pun Melindungi Penyertaan.
12 acara diaudit. 6 jurang infrastruktur dipetakan. 8 kes sebenar plagiarisme, rampasan harta intelek dan penilaian tidak adil didokumentasikan — semuanya daripada sumber terbuka dan disahkan secara bebas.
Di satu hackathon tahun lepas, sebuah pasukan membentangkan idea mereka di pusingan pertama. Dua minggu kemudian, pasukan lain — yang mempunyai akses kepada kumpulan juri yang sama — menghantar konsep yang mencurigakan serupa. Tiada jejak audit. Tiada log akses. Tiada cara untuk membuktikan siapa melihat apa dan bila.
Pasukan yang mencipta idea asal tidak mempunyai sebarang remedi. Pasukan yang mungkin menyalinnya tidak menghadapi sebarang penelitian. Dan penganjur tidak mempunyai alat untuk menyiasat walaupun mereka mahu berbuat demikian.
Kami menyangka ini kes terpencil. Kemudian kami menyiasat 12 hackathon merentas 4 benua — dan mendapati ia adalah kebiasaan.
Metodologi: Antara Januari dan Februari 2026, kami menyemak proses penyertaan awam, peraturan acara, struktur penilaian dan laporan media sosial bagi 12 acara hackathon. Kami juga menyiasat 8 kes kegagalan keselamatan penyertaan yang didokumentasikan dari 2025 hingga Februari 2026. Kami memeriksa dokumentasi platform (DevPost, Devfolio, DoraHacks, TAIKAI), halaman peraturan khusus acara, repositori GitHub awam, rekod mahkamah dan akaun peserta secara langsung. Semua penemuan boleh disahkan secara bebas melalui sumber yang dipautkan dalam artikel ini.
Permintaan komen: ETHGlobal, Avalanche Foundation, BNB Chain (melalui DoraHacks), Chainlink, Web3Privacy Now dan TCS dihubungi sebelum penerbitan. CEO ETHGlobal Kartik Talwar memberi respons selepas penerbitan, menyatakan ETHGlobal mempunyai proses dalaman (lihat nota di bawah dalam kad audit). Organisasi lain tidak memberi respons. SuperteamIN dan CRED memberi respons secara terbuka terhadap insiden masing-masing (didokumentasikan dalam Kes 2 dan 3).
Ini bukan kes terpencil. Ini adalah kebiasaan.
Setiap platform hackathon utama — DevPost, Devfolio, DoraHacks, TAIKAI — memfokuskan pada logistik acara. Tiada satu pun melindungi karya yang dihantar.
Mengapa Ini Penting Melebihi Hadiah
Hackathon bukan sekadar pertandingan — ia adalah pintu masuk utama ke Web3. Laluannya didokumentasikan dengan baik: pembangun menghadiri hackathon, membina projek pertama, mendapat perhatian pasukan protokol, menerima geran dan melancarkan apa yang menjadi infrastruktur sebenar. Uniswap, Filecoin, ENS dan berpuluh-puluh protokol utama bermula sebagai penyertaan hackathon.
Apabila keselamatan penyertaan gagal, ia bukan sahaja menjejaskan satu pasukan — ia meracuni keseluruhan saluran. Pembangun yang diplagiat pada hackathon pertamanya tidak akan kembali. Pembangun yang melihat hadiah diberikan kepada projek salinan berhenti membina. Ekosistem kehilangan gelombang penyumbang seterusnya — bukan kepada pesaing, tetapi kepada kekecewaan.
Ini bukan tentang melindungi wang hadiah. Ini tentang melindungi mekanisme yang melahirkan generasi seterusnya pembina Web3. Jika hackathon kehilangan kredibiliti, keseluruhan saluran bakat ekosistem terputus.
Skala Masalah
Pada tahun 2025 sahaja, ETHGlobal — penganjur hackathon Ethereum terbesar — mengadakan acara merentas 5 benua, mengagihkan lebih $2 juta hadiah kepada 10,000+ pembangun. Kumpulan hadiah acara tunggal kini melebihi $1 juta (ETHDenver, Avalanche Build Games, Hedera).
Hackathon korporat lebih besar lagi — TCS mengadakan hackathon AI dengan 281,000 peserta dari 58 negara, di mana penyertaan dinilai untuk integrasi komersial.
Namun begitu, setiap platform hackathon utama memfokuskan pada perkara yang sama: pendaftaran, pembentukan pasukan, borang penilaian. Tiada log akses. Tiada rantaian jagaan untuk bahan dikongsi. Tiada garis masa yang diterbitkan secara terbuka untuk prosedur penyingkiran formal. Tiada jejak audit.
Bahagian I: Jurang Infrastruktur — 6 Hackathon Utama Diaudit
Kami bermula dengan mengaudit keselamatan penyertaan 6 program hackathon utama — dari acara Ethereum terbesar hingga pertandingan korporat. Untuk jelasnya: ini bukan tuduhan. Ini adalah pemerhatian tentang proses yang didokumentasikan secara awam. Setiap penganjur yang disenaraikan di bawah mengadakan acara yang sah dan berniat baik. Masalahnya bukan ketidakcekapan — ia adalah ketiadaan infrastruktur yang belum wujud.
Nota: CEO ETHGlobal Kartik Talwar memberi respons selepas penerbitan, menyatakan ETHGlobal mempunyai proses dalaman dan perlindungan penilaian untuk menyiasat semua kes. Pemerhatian di bawah berdasarkan dokumentasi yang diterbitkan secara terbuka, dan bukti khusus di sebalik setiap keputusan tidak disiarkan di halaman acara.
- Tiada rekod yang boleh disahkan secara bebas tentang juri mana yang melihat penyertaan mana
- Penyertaan kelihatan secara terbuka di platform semasa tempoh penilaian
- Tiada proses penyelesaian pertikaian
- Tiada cap masa blockchain pada penyertaan
- Tetingkap 6 minggu dengan idea terdedah, tanpa jejak audit
- Tiada log akses penyertaan
- «Niat Jangka Panjang» dinilai tanpa pengesahan
- Tiada jejak audit untuk akses juri kepada penyertaan
- Undian komuniti terdedah kepada manipulasi whale
- Tiada proses penyelesaian pertikaian
- Repositori GitHub awam — boleh dilihat sebelum penilaian
- Trek privasi tanpa privasi penyertaan
- Penyertaan melalui borang Airtable
- Tiada rantaian jagaan harta intelek untuk produk komersial
- Tiada jejak audit pada standard perusahaan
- Risiko pengawalseliaan dengan penilaian AI
- PR awam mendedahkan semua idea sebelum penilaian
- Acara berfokus privasi tanpa privasi penyertaan
- Tiada log akses atau jejak audit
Jurang, Diringkaskan
| Lapisan Perlindungan | DevPost | Devfolio | DoraHacks | TAIKAI | Mana-mana? |
|---|---|---|---|---|---|
| Muat naik penyertaan | Ya | Ya | Ya | Ya | Ya |
| Log akses | Tidak | Tidak | Tidak | Tidak | Tidak |
| Cap masa blockchain | Tidak | Tidak | Separa | Separa | Tidak |
| Jejak audit juri | Tidak | Tidak | Tidak | Tidak | Tidak |
| Penyelesaian pertikaian | Tidak | Tidak | Tidak | Tidak | Tidak |
| Perlindungan harta intelek | Tidak | Tidak | Tidak | Tidak | Tidak |
Setiap platform menguruskan logistik. Tiada satu pun menguruskan integriti.
Bahagian II: Ia Sudah Berlaku — 6 Kes Didokumentasikan (2025–2026)
Jurang di atas bukan teori. Kami menyiasat 6 acara hackathon di mana ketiadaan keselamatan penyertaan menyebabkan kemudaratan sebenar — plagiarisme, rampasan harta intelek, penyingkiran tidak adil, penilaian berat sebelah dan penapisan. Semua kes dari 2025–2026 dan didokumentasikan secara awam dengan sumber.
Sebuah pasukan membina KagamiAI di ETHGlobal New Delhi pada September 2025, di mana ia dipilih sebagai satu daripada 10 finalis daripada 616 projek. Pasukan itu bekerja sepanjang hujung minggu dan mengumpul maklum balas pengguna sebenar.
Tidak lama kemudian, peserta lain menyalin keseluruhan projek — kod, aplikasi, dan juga video demo (yang mengandungi suara salah seorang ahli pasukan asal) — dan menghantarnya ke hackathon berbeza (HackQuest).
Pasukan asal mendokumentasikan semuanya secara terbuka dan menyeru agar plagiat itu diharamkan. Pasukan asal menyeru agar penyertaan yang disalin dikeluarkan.
Pembangun Shubh membina getblink.fun — platform no-code untuk mencipta Solana Blinks (193 commit, dicipta Ogos 2024). Beliau memohon geran SuperteamIN dua kali dan ditolak dua kali, kemudian menutup projek kerana kos.
Pembangun lain, yang sebelum ini menghantar DM kepada Shubh meminta bantuan dan menerima pautan ke repositori «untuk belajar», menyalin keseluruhan pangkalan kod baris demi baris, menamakan semula ia «Blinker», dan memenangi geran SuperteamEarn.
Apabila berhadapan dengan perbandingan kod bersebelahan, penyalin itu menyekat penulis asal dan memadamkan semuanya — akaun, laman web dan repositorinya. SuperteamIN mengakui laporan plagiarisme dan memulakan siasatan.
CRED, syarikat fintech India yang diasaskan oleh Kunal Shah, mengumumkan Hackathon AI Rabbit Hole dengan hadiah ₹50 lakh (~$60,000). Terma asal menyatakan bahawa semua hak harta intelek dalam penyertaan «dianggap sebagai kerja upahan» dan CRED akan memiliki segala yang dibina semasa acara tersebut.
Reaksi adalah serta-merta dan besar-besaran. Hantaran pembangun Aditya Oberai yang menyebutnya «kelas induk tentang bagaimana TIDAK menganjurkan hackathon» menerima lebih 1,100 suka. Seorang peguam harta intelek memberi amaran kepada peserta bahawa terma itu pada dasarnya «meminta secara licik untuk memberikan idea anda, membinanya untuk mereka, dan tidak mendapat apa-apa sebagai balasan.»
Aduan tambahan timbul: CRED memerlukan «Log Masuk dengan CRED» untuk pendaftaran (tidak berkaitan hackathon) dan menjalankan semakan kredit ke atas pemohon tanpa pendedahan jelas.
Kunal Shah memberi respons dalam masa 24 jam: «Teguran wajar tentang harta intelek. Tidak sepatutnya ada dari awal. Kami membuangnya.» Terma disemak semula: «Peserta memiliki semua hak dalam penyertaan masing-masing.»
Di hackathon Devconnect Buenos Aires pada November 2025, sebuah pasukan membina dua projek berasingan dalam repositori berbeza dengan sejarah commit bebas. ETHGlobal menyediakan infrastruktur platform (sistem penyerahan, alat penilaian), manakala Ethereum Argentina mengendalikan organisasi tempatan. Seorang ahli bermula secara solo, kemudian seorang lagi menyertai untuk memenuhi keperluan 2–5 orang pasukan. Kedua-dua projek diluluskan, melalui penilaian, dan satu memenangi hadiah.
Pada Februari 2026 — lebih dua bulan kemudian — pasukan itu disingkirkan atas tuduhan «farming» dan «pangkalan kod dikongsi» — tanpa sebarang perbandingan teknikal kod dikemukakan sebagai bukti. Penyingkiran dimaklumkan melalui platform ETHGlobal.
Apabila pasukan meminta bukti — diff, analisis commit, apa-apa sahaja yang menunjukkan pangkalan kod mereka dikongsi — tiada yang dikemukakan. Pasukan itu kemudiannya disekat daripada komunikasi. Peraturan penyingkiran hanya wujud di halaman Soalan Lazim, bukan dalam peraturan rasmi acara. Kes ini menunjukkan sempadan tanggungjawab yang tidak jelas antara infrastruktur ETHGlobal dan penganjur tempatan.
Hackathon Bolt — dipromosikan sebagai «hackathon terbesar di dunia» dengan 130,000+ pembangun berdaftar dan hadiah melebihi $1 juta — menghadapi kritikan terperinci di Hacker News:
17 daripada 20 hadiah utama diberikan kepada projek dari AS, Kanada dan EU — walaupun kawasan ini hanya mewakili ~25% peserta. Sekurang-kurangnya seorang pemenang menghantar projek tanpa demo berfungsi — hanya tangkapan skrin localhost dan apa yang pengkritik gambarkan sebagai «video dijana AI». Pemenang lain dilaporkan tidak menghantar URL yang dihoskan, walaupun URL yang dihoskan diwajibkan secara jelas oleh peraturan.
Apabila peserta menyuarakan kebimbangan, Bolt menyederhanakan mereka daripada Reddit dan Discord dan menyekat pengkritik.
Beberapa peserta secara bebas mengesahkan aduan tersebut, menyatakan projek mereka yang berfungsi sepenuhnya dan digunakan kalah kepada penyertaan dengan demo tidak berfungsi.
Di hackathon 48 jam yang dianjurkan oleh Geethanjali College of Engineering and Technology pada Mac 2025, peserta luar membayar ₹450 seorang untuk hadir dan membina projek berfungsi sepenuhnya.
Kesemua 6 hadiah — 2 dalam setiap 3 kategori (AI/ML, IoT, Open Innovation) — diberikan secara eksklusif kepada pasukan dari kolej tuan rumah. Peserta melaporkan bahawa beberapa projek pemenang adalah «tampal GPT» tanpa pemahaman kod asas, dan projek seorang pemenang kategori IoT langsung tidak berfungsi.
Apabila pasukan luar membangkitkan aduan dalam kumpulan sembang acara, penganjur memadamkan kebenaran menyiarkan dan mengabaikan semua komunikasi seterusnya.
Bahagian III: Pola Berulang — 2 Kes Lagi (2025)
Kes-kes di atas tidak terhad kepada acara elit. Kegagalan struktur yang sama berulang pada setiap peringkat — dari hackathon universiti hingga skim farming merentas platform.
Di HackWithUttarPradesh, yang dihoskan oleh Chandigarh University pada November 2025, seorang peserta luar melaporkan:
• Tiada makanan disediakan walaupun dijanjikan
• Peserta tidur di koridor
• Penilaian berat sebelah memihak pasukan dalaman
• Pasukan luar diabaikan sepenuhnya semasa penilaian
• Pengalaman keseluruhan digambarkan sebagai «promosi kolej, bukan hackathon»
Pola ini sama dengan Kes 6 (Geethanjali College) — institusi tuan rumah mengambil semua hadiah, peserta luar hanya latar.
Pada Disember 2025, seorang ahli komuniti mendokumentasikan bahawa pemimpin komuniti kripto yang terkenal «pergi dari hackathon ke hackathon, menghantar projek yang sama berulang kali tanpa sebarang rasa malu» — menandakan ETHIndia, Devfolio dan acara lain.
Tiada platform menyemak sama ada penyertaan sudah menang di tempat lain. Tiada pengesahan merentas platform. Pangkalan kod yang sama, demo yang sama, pembentangan yang sama — kumpulan hadiah yang berbeza.
Pola
Ini bukan insiden terpencil. Ini adalah 8 gejala jurang struktur yang sama — merangkumi setiap kategori hackathon dari acara kolej hingga pertandingan $1J+:
Nota: ETHGlobal disertakan dalam bahagian audit di atas (sebagai audit infrastruktur platform), tetapi tidak dalam jadual pola ini kerana Kes 4 melibatkan acara yang dikendalikan oleh Ethereum Argentina (Devconnect Buenos Aires) sebagai penganjur tempatan.
| Kes | Jenis |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | Plagiarisme projek |
| getblink.fun (SuperteamIN) | Kecurian kod |
| CRED Rabbit Hole | Rampasan hak harta intelek |
| Ethereum Argentina (Devconnect Buenos Aires) | Penyingkiran tidak adil |
| Bolt Hackathon | Penilaian berat sebelah + penapisan |
| Geethanjali College | Konflik kepentingan |
| HackWithUttarPradesh | Penilaian berat sebelah |
| Farming merentas platform | Penipuan pelbagai acara |
Tidak Semua Mengabaikan Masalah
Dua organisasi dalam siasatan kami memberi respons kepada kegagalan integriti dengan tindakan konkrit. SuperteamIN (Kes 2) mengakui laporan plagiarisme dan memulakan siasatan. CRED (Kes 3) membalikkan terma harta intelek yang menindas dalam masa 24 jam selepas reaksi awam. Respons ini menunjukkan apabila organisasi mengambil serius integriti, sistem mampu membetulkan diri — tetapi hanya apabila masalah menjadi awam. Persoalannya: mengapa menunggu insiden awam apabila infrastruktur pencegahan sudah wujud?
Perspektif Undang-undang
Profesional undang-undang harta intelek telah menandakan keselamatan penyertaan hackathon sebagai kebimbangan yang semakin meningkat. Dalam kes CRED Rabbit Hole, seorang peguam harta intelek secara terbuka memberi amaran bahawa terma hackathon bermaksud peserta membina untuk penganjur secara percuma — risiko yang kebanyakan peserta tidak pernah pertimbangkan. Keputusan mahkamah Marseille pada Mac 2025 yang menerima cap masa blockchain sebagai bukti hak cipta yang sah menetapkan rangka kerja undang-undang: alat perlindungan harta intelek wujud dan mahkamah mengiktirafnya. Jurangnya pada penerimaan, bukan teknologi.
Mengapa Keadaan Semakin Buruk, Bukan Semakin Baik
Pada Februari 2026, Changpeng Zhao (CZ) memberi amaran bahawa ketiadaan privasi «mungkin merupakan rantai yang hilang untuk penerimaan pembayaran kripto» — menunjukkan bahawa transaksi onchain mendedahkan siapa membayar siapa dan berapa banyak. Logik yang sama terpakai pada hackathon: apabila penyertaan, tugasan juri dan markah berada di platform tanpa kawalan akses, proses itu telus dalam erti kata yang paling buruk — boleh dilihat oleh sesiapa yang mahu mengeksploitasinya, tidak boleh dilihat oleh sesiapa yang mahu mengauditnya.
Pada minggu yang sama, Vitalik Buterin menggariskan visi pengesahan kriptografi sebagai infrastruktur lalai — termasuk «deposit jaminan dengan penyelesaian pertikaian onchain», «privasi ZK untuk pembayaran dan reputasi» dan prinsip yang telah dianjurkannya selama bertahun-tahun: «jangan percaya; sahkan semuanya». Dalam hantaran berasingan, beliau menyokong model yang menggantikan identiti dengan taruhan — di mana peserta mendepositkan bon, bertindak secara tanpa nama dan menghadapi penalti jika menyalahguna sistem.
Apabila pengasas dua ekosistem blockchain terbesar secara bebas mengatakan bahawa pengesahan yang memelihara privasi perlu dibina ke dalam infrastruktur — bukan ditambah selepas — ketiadaan perlindungan ini dalam penyertaan hackathon menjadi lebih jelas, bukan kurang. Teknologinya wujud. Permintaan disuarakan pada peringkat tertinggi. Jurangnya pada penerimaan.
Pertahanan terbaik bukan kerahsiaan. Ia adalah bukti.
Rekodkan semuanya. Percaya cap masa. Blockchain tidak berbohong.
Masalah telah didokumentasikan. Penyelesaian diketahui. Yang hilang ialah penerimaan.
Sumber
- Acara ETHGlobal: ethglobal.com/events
- Finalis ETHGlobal New Delhi 2025 (KagamiAI): x.com/ETHGlobal/status/1972276802270925116
- Thread Plagiarisme KagamiAI: x.com/kararsweta/status/1976620328832094629
- Hantaran Bukti KagamiAI: x.com/SoumikBaksi/status/1976615890042118231
- Repositori Asal getblink.fun: github.com/shubhiscoding/getblink.fun
- Thread Kecurian Kod getblink.fun: x.com/LookWhatIbuild/status/1977478395022950907
- Reaksi Harta Intelek CRED Rabbit Hole: x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole — Liputan OfficeChai (termasuk respons Kunal Shah): officechai.com
- Thread Penyingkiran Ethereum Argentina (Devconnect Buenos Aires): x.com/CaptainCodeOnX/status/2021551261435429190
- Perbincangan Keadilan Bolt Hackathon (Hacker News): news.ycombinator.com/item?id=44702465
- Kritikan Bolt Hackathon: x.com/0xPaulius/status/1949427171769934070
- Thread Kecenderungan Hackathon Geethanjali College: x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh — Penilaian Berat Sebelah: x.com/AvAwasthi/status/1985223392015056964
- Farming Projek Merentas Platform: x.com/_KxrMa_G/status/2002047507308982565
- Mahkamah Marseille — Blockchain Sebagai Bukti Undang-undang: euipo.europa.eu
- Goodwin Law — Cap Masa Blockchain di Perancis: goodwinlaw.com
- Hackathon AI TCS (281,000 peserta): tcs.com
- Avalanche Build Games (kumpulan hadiah $1J): build.avax.network/build-games
- Web3Privacy Now — Penyertaan Hackathon Berlin: github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ Tentang Privasi Sebagai Rantai Hilang Penerimaan Kripto (15 Februari 2026): x.com/cz_binance/status/2023016538677371079
- Vitalik Buterin — AI + Ethereum: Deposit Jaminan, Penyelesaian Pertikaian Onchain, Privasi ZK (9 Februari 2026): x.com/VitalikButerin/status/2020963864175657102
- Vitalik Buterin — Privasi ZK untuk Reputasi (11 Februari 2026): x.com/VitalikButerin/status/2021594878162157948
- Vitalik Buterin / Davide Crapis — Ganti Identiti dengan Taruhan (11 Februari 2026): x.com/VitalikButerin/status/2021586150973206827
Projek anda disalin? Menghadapi penilaian tidak adil? Disingkirkan tanpa bukti?
Kisah anda — walaupun tanpa nama — menjadi sebahagian daripada bukti.
Semua penyertaan disemak oleh pasukan penyelidikan kami. Identiti penghantar laporan tanpa nama tidak pernah didedahkan tanpa persetujuan jelas mereka.