Analisámos 12 hackathons com mais de 4 milhões de dólares em prémios. Nenhum protege os projetos submetidos.
12 eventos auditados. 6 falhas de infraestrutura identificadas. 8 casos reais de plágio, apropriação de propriedade intelectual e avaliação parcial documentados — todos provenientes de fontes públicas e verificados de forma independente.
Num hackathon no ano passado, uma equipa apresentou a sua proposta na primeira ronda. Duas semanas depois, outra equipa — com acesso ao mesmo painel de jurados — submeteu um conceito suspeitamente semelhante. Não havia registo de auditoria. Não havia registos de acesso. Não havia forma de provar quem viu o quê e quando.
A equipa que criou a ideia original não tinha qualquer recurso. A equipa que possivelmente a copiou não enfrentou qualquer escrutínio. E o organizador não dispunha de ferramentas para apurar os factos, mesmo que quisesse.
Pensámos que era um caso isolado. Depois analisámos 12 hackathons em 4 continentes — e descobrimos que é a regra.
Metodologia: Entre janeiro e fevereiro de 2026, examinámos os processos públicos de submissão, os regulamentos, as estruturas de júri e os relatos nas redes sociais de 12 hackathons. Também estudámos 8 casos documentados de falhas na segurança das submissões entre 2025 e fevereiro de 2026. Analisámos a documentação das plataformas (DevPost, Devfolio, DoraHacks, TAIKAI), as páginas de regulamento de cada evento, repositórios públicos no GitHub, registos judiciais e testemunhos diretos de participantes. Todas as conclusões são verificáveis de forma independente através das fontes citadas ao longo deste artigo.
Pedidos de comentário: ETHGlobal, Avalanche Foundation, BNB Chain (via DoraHacks), Chainlink, Web3Privacy Now e TCS foram contactados antes da publicação. O CEO da ETHGlobal, Kartik Talwar, respondeu declarando que a ETHGlobal opera processos internos extensos para casos de integridade, incluindo revisões de equipa, verificações forenses e gestão de listas de exclusão — embora estes processos não sejam documentados publicamente, contesta a sua ausência. Nenhum outro organizador respondeu. SuperteamIN e CRED reagiram publicamente aos respetivos incidentes (documentados nos Casos 2 e 3).
Isto não é um caso isolado. É a norma.
Cada grande plataforma de hackathons — DevPost, Devfolio, DoraHacks, TAIKAI — foca-se na logística do evento. Nenhuma protege os trabalhos submetidos.
Porque é que isto importa para além dos prémios
Os hackathons não são meras competições: são a principal porta de entrada para o Web3. O percurso está bem documentado: um programador participa num hackathon, constrói o seu primeiro projeto, é identificado por uma equipa de protocolo, recebe uma bolsa e lança o que se torna infraestrutura real. Uniswap, Filecoin, ENS e dezenas de protocolos importantes nasceram como projetos de hackathon.
Quando a segurança das submissões falha, não afeta apenas uma equipa — envenena toda a cadeia. Um programador plagiado no seu primeiro hackathon não volta. Um construtor que vê prémios atribuídos a projetos copiados deixa de construir. O ecossistema perde a sua próxima vaga de contribuidores — não para um concorrente, mas para a desilusão.
Não se trata de proteger o dinheiro dos prémios. Trata-se de proteger o mecanismo que forma a próxima geração de construtores do Web3. Se os hackathons perderem credibilidade, toda a cadeia de talento do ecossistema parte-se.
A dimensão do problema
Só em 2025, a ETHGlobal — a maior organizadora de hackathons Ethereum — realizou eventos em 5 continentes, distribuindo mais de 2 milhões de dólares em prémios a mais de 10 000 programadores. As dotações de eventos individuais já ultrapassam 1 milhão de dólares (ETHDenver, Avalanche Build Games, Hedera).
Os hackathons empresariais são ainda maiores: a TCS organizou um hackathon de IA com 281 000 participantes de 58 países, onde as submissões foram avaliadas para integração comercial.
E, no entanto, cada grande plataforma de hackathons foca-se na mesma coisa: inscrição, formação de equipas, formulários de avaliação. Sem registos de acesso. Sem cadeia de custódia para os materiais partilhados. Sem mecanismo formal de resolução de litígios. Sem rasto de auditoria.
Parte I: O défice de infraestrutura — 6 grandes hackathons auditados
Começámos por auditar a segurança das submissões em 6 grandes programas de hackathons — desde os maiores eventos Ethereum até competições empresariais. Para ser claro: isto não são acusações. São observações sobre processos documentados publicamente. Cada organizador aqui listado conduz um evento legítimo e bem-intencionado. O problema não é incompetência — é a ausência de uma infraestrutura que ainda não existe.
Nota: O CEO da ETHGlobal, Kartik Talwar, declarou que a empresa opera processos internos extensos — incluindo revisões de equipa, verificações forenses e gestão de listas de exclusão — com os participantes desqualificados a receberem as provas específicas por detrás de cada decisão. Como estes processos não são documentados publicamente, a auditoria abaixo baseia-se em registos verificáveis independentemente.
- Sem registo verificável independentemente de que jurado consultou que submissão
- Submissões visíveis publicamente na plataforma durante a avaliação
- Sem prazos definidos publicamente para procedimentos de desqualificação
- Sem marcas temporais blockchain nas submissões
- 6 semanas com ideias expostas, sem rasto de auditoria
- Sem registo de acesso às submissões
- «Intenção a longo prazo» avaliada sem verificação
- Sem rasto de auditoria do acesso dos jurados às submissões
- Votação comunitária vulnerável a manipulação por baleias
- Sem processo de resolução de litígios
- Repositórios GitHub públicos — visíveis antes da avaliação
- Categoria de privacidade sem privacidade nas submissões
- Submissões via formulário Airtable
- Sem cadeia de custódia de PI para produtos comerciais
- Sem rasto de auditoria ao nível empresarial
- Risco regulatório com avaliação de submissões por IA
- PR públicos expõem todas as ideias antes da avaliação
- Evento focado em privacidade com zero proteção das submissões
- Sem registo de acesso ou rasto de auditoria
O défice, resumido
| Nível de proteção | DevPost | Devfolio | DoraHacks | TAIKAI | Alguma? |
|---|---|---|---|---|---|
| Upload de submissões | Sim | Sim | Sim | Sim | Sim |
| Registo de acesso | Não | Não | Não | Não | Não |
| Marcas temporais blockchain | Não | Não | Parcial | Parcial | Não |
| Rasto de auditoria dos jurados | Não | Não | Não | Não | Não |
| Resolução de litígios | Não | Não | Não | Não | Não |
| Proteção de PI | Não | Não | Não | Não | Não |
Todas as plataformas gerem a logística. Nenhuma garante a integridade.
Parte II: Já está a acontecer — 6 casos documentados (2025–2026)
As falhas descritas acima não são teóricas. Estudámos 6 hackathons onde a ausência de segurança nas submissões causou dano real: plágio, apropriação de propriedade intelectual, desqualificação injusta, avaliação parcial e censura. Todos os casos pertencem ao período 2025–2026 e estão documentados publicamente com fontes.
Uma equipa desenvolveu o KagamiAI no ETHGlobal Nova Deli em setembro de 2025, onde foi selecionado como um dos 10 finalistas entre 616 projetos. A equipa trabalhou durante todo o fim de semana e recolheu feedback real de utilizadores.
Pouco depois, outro participante copiou o projeto inteiro — o código, a aplicação e até o vídeo de demonstração (que continha a voz de um dos membros da equipa original) — e submeteu-o a outro hackathon (HackQuest).
A equipa original documentou tudo publicamente e pediu a remoção da submissão copiada.
O programador Shubh criou o getblink.fun — uma plataforma sem código para criar Solana Blinks (193 commits, criada em agosto de 2024). Candidatou-se a uma bolsa da SuperteamIN duas vezes e foi rejeitado em ambas, tendo depois encerrado o projeto devido aos custos.
Outro programador, que anteriormente contactou Shubh por mensagem privada pedindo ajuda e recebeu um link para o repositório «para aprender», copiou toda a base de código linha a linha, renomeou-a para «Blinker» e ganhou uma bolsa da SuperteamEarn.
Confrontado com a comparação lado a lado do código, o copista bloqueou o autor original e apagou tudo — a conta, o site e o repositório. A SuperteamIN tomou conhecimento da denúncia e iniciou uma investigação.
A CRED, empresa fintech indiana fundada por Kunal Shah, anunciou o Hackathon de IA Rabbit Hole com um prémio de ₹50 lakh (~60 000 $). Os termos originais estipulavam que todos os direitos de propriedade intelectual das submissões «seriam considerados trabalho por conta de outrem» e que a CRED seria proprietária de tudo o que fosse criado durante o evento.
A reação foi imediata e massiva. A publicação do programador Aditya Oberai, classificando-a como «um curso magistral sobre como NÃO organizar um hackathon», recebeu mais de 1 100 gostos. Um advogado de PI alertou os participantes de que os termos equivaliam a «pedir-lhe habilmente que dê a sua ideia, a construa para eles e não receba nada em troca».
Surgiram queixas adicionais: a CRED exigia «Login with CRED» para a inscrição (sem relação com o hackathon) e realizava consultas de crédito sobre os candidatos sem divulgação clara.
Kunal Shah respondeu em menos de 24 horas: «As críticas sobre a PI são justas. Não devia ter estado lá desde o início. Retirado.» Os termos foram alterados para estipular: «Os participantes retêm todos os direitos sobre as respetivas submissões.»
Em novembro de 2025, o hackathon Devconnect Buenos Aires foi organizado pela Ethereum Argentina na plataforma ETHGlobal. Uma equipa desenvolveu dois projetos separados em repositórios distintos com históricos de commits independentes. Um membro começou sozinho, depois outro juntou-se para cumprir o requisito de equipa de 2 a 5 pessoas. Ambos os projetos foram aprovados, passaram pela avaliação, e um ganhou um prémio.
Em fevereiro de 2026 — mais de dois meses depois — a equipa foi desqualificada por «farming» e «base de código partilhada» — sem que fosse fornecida qualquer comparação técnica do código como prova pública.
Notável é o contraste: a ETHGlobal forneceu a infraestrutura da plataforma (alojamento de projetos, sistema de submissão), enquanto a Ethereum Argentina tratou da organização local (local, júri, avaliação). Quando a equipa pediu provas — um diff, uma análise de commits, qualquer coisa que demonstrasse a partilha das bases de código — nada foi apresentado publicamente. As regras de desqualificação existiam apenas numa página de FAQ, não nas regras oficiais do evento.
O hackathon Bolt — apresentado como «o maior hackathon do mundo» com mais de 130 000 programadores inscritos e mais de 1 milhão de dólares em prémios — enfrentou críticas detalhadas no Hacker News:
17 dos 20 prémios principais foram para projetos dos EUA, Canadá e UE — apesar de essas regiões representarem apenas cerca de 25% dos participantes. Pelo menos um vencedor submeteu um projeto sem demonstração funcional — apenas capturas de ecrã do localhost e o que os críticos descreveram como um «vídeo gerado por IA». Outro vencedor alegadamente não submeteu URL implementado, apesar de as regras exigirem explicitamente URLs alojados.
Quando os participantes levantaram preocupações, a Bolt moderou as publicações no Reddit e Discord e bloqueou os críticos.
Vários participantes corroboraram independentemente as queixas, assinalando que os seus projetos totalmente funcionais e implementados perderam para submissões com demonstrações inoperantes.
Num hackathon de 48 horas organizado pelo Geethanjali College of Engineering and Technology em março de 2025, os participantes externos pagaram ₹450 por pessoa para participar e construíram projetos totalmente funcionais.
Todos os 6 prémios — 2 em cada uma das 3 categorias (IA/ML, IoT, Inovação Aberta) — foram exclusivamente para equipas da universidade anfitriã. Os participantes relataram que vários projetos vencedores eram «copia-e-cola de GPT» sem compreensão do código subjacente, e que o projeto vencedor na categoria IoT nem sequer funcionava.
Quando as equipas externas apresentaram queixas no chat do evento, os organizadores eliminaram as permissões de publicação e ignoraram toda a comunicação subsequente.
Parte III: O padrão repete-se — mais 2 casos (2025)
Os casos acima não se limitam a eventos de topo. As mesmas falhas estruturais repetem-se a todos os níveis — desde hackathons universitários até esquemas de farming entre plataformas.
No HackWithUttarPradesh, organizado pela Chandigarh University em novembro de 2025, um participante externo relatou:
• Nenhuma refeição fornecida apesar das promessas
• Participantes a dormir nos corredores
• Avaliação enviesada a favor das equipas internas
• Equipas externas completamente ignoradas durante a avaliação
• A experiência geral descrita como «uma promoção universitária, não um hackathon»
O padrão é idêntico ao Caso 6 (Geethanjali College): a instituição anfitriã fica com todos os prémios; os participantes externos são mera figuração.
Em dezembro de 2025, um membro da comunidade documentou que líderes conhecidos da comunidade cripto «iam de hackathon em hackathon, submetendo o mesmo projeto repetidamente sem qualquer pudor» — mencionando ETHIndia, Devfolio e outros eventos.
Nenhuma plataforma verifica se uma submissão já venceu noutro lugar. Não existe verificação cruzada entre plataformas. O mesmo código, a mesma demonstração, a mesma apresentação — prémios diferentes.
O padrão
Não são incidentes isolados. São 8 sintomas da mesma falha estrutural — abrangendo desde hackathons universitários até competições de mais de 1 milhão de dólares:
Nota: A ETHGlobal não aparece nesta tabela como plataforma autónoma porque a sua auditoria é tratada na Secção I. O Caso 4 abaixo refere-se a um evento local da Ethereum Argentina organizado na infraestrutura ETHGlobal.
| Caso | Tipo |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | Plágio de projeto |
| getblink.fun (SuperteamIN) | Roubo de código |
| CRED Rabbit Hole | Apropriação de direitos de PI |
| Ethereum Argentina (Devconnect Buenos Aires) | Desqualificação injusta |
| Hackathon Bolt | Avaliação parcial + censura |
| Geethanjali College | Conflito de interesses |
| HackWithUttarPradesh | Avaliação parcial |
| Farming entre plataformas | Fraude multievento |
Nem todos ignoram o problema
Duas organizações no nosso estudo responderam às falhas de integridade com ações concretas. A SuperteamIN (Caso 2) tomou conhecimento da denúncia de plágio e iniciou uma investigação. A CRED (Caso 3) retirou as cláusulas abusivas de PI em menos de 24 horas após a reação pública. Estas respostas demonstram que quando as organizações levam a integridade a sério, o sistema pode autocorrigir-se — mas apenas quando os problemas se tornam públicos. A questão é: porquê esperar por um incidente público quando já existe infraestrutura preventiva?
A perspetiva jurídica
Os profissionais do direito de propriedade intelectual já sinalizaram a segurança das submissões em hackathons como uma preocupação crescente. No caso CRED Rabbit Hole, um advogado de PI alertou publicamente que os termos do hackathon equivaliam a fazer os participantes trabalhar gratuitamente para o organizador — um risco em que a maioria dos participantes nunca pensa. A decisão do tribunal de Marselha de março de 2025, que aceitou as marcas temporais blockchain como prova válida de direitos de autor, estabelece o enquadramento legal: as ferramentas para a proteção da PI existem e os tribunais reconhecem-nas. O défice está na adoção, não na tecnologia.
Porque é que a situação piora em vez de melhorar
Em fevereiro de 2026, Changpeng Zhao (CZ) alertou que a ausência de privacidade «pode ser o elo que falta para a adoção dos pagamentos cripto» — assinalando que as transações on-chain expõem quem paga a quem e quanto. A mesma lógica aplica-se aos hackathons: quando as submissões, as atribuições de jurados e as pontuações residem em plataformas sem controlo de acesso, o processo é transparente no pior sentido — visível para quem quiser explorar, invisível para quem quiser auditar.
Na mesma semana, Vitalik Buterin delineou uma visão para a verificação criptográfica como infraestrutura predefinida — incluindo «depósitos de garantia com resolução de litígios on-chain», «pagamentos e reputação com privacidade ZK», e um princípio que defende há anos: «não confies; verifica tudo.» Noutra publicação, apoiou um modelo que substitui a identidade pelo stake — onde os participantes depositam uma caução, atuam anonimamente e enfrentam penalizações se abusarem do sistema.
Quando os fundadores dos dois maiores ecossistemas blockchain afirmam independentemente que a verificação com preservação de privacidade precisa de ser integrada na infraestrutura — e não adicionada a posteriori — a ausência destas proteções nas submissões de hackathons torna-se mais flagrante, não menos. A tecnologia existe. A procura está a ser articulada ao mais alto nível. O défice está na adoção.
A melhor defesa não é o segredo. São as provas.
Registe tudo. Confie nas marcas temporais. A blockchain não mente.
O problema está documentado. As soluções são conhecidas. O que falta é a adoção.
Fontes
- Eventos ETHGlobal: ethglobal.com/events
- Finalistas ETHGlobal Nova Deli 2025 (KagamiAI): x.com/ETHGlobal/status/1972276802270925116
- Tópico sobre o plágio do KagamiAI: x.com/kararsweta/status/1976620328832094629
- Provas do KagamiAI: x.com/SoumikBaksi/status/1976615890042118231
- Repositório original getblink.fun: github.com/shubhiscoding/getblink.fun
- Tópico sobre o roubo de código getblink.fun: x.com/LookWhatIbuild/status/1977478395022950907
- Reação sobre a PI do CRED Rabbit Hole: x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole — Cobertura OfficeChai (incl. resposta de Kunal Shah): officechai.com
- Tópico sobre a desqualificação na Ethereum Argentina (Devconnect Buenos Aires): x.com/CaptainCodeOnX/status/2021551261435429190
- Discussão sobre equidade do hackathon Bolt (Hacker News): news.ycombinator.com/item?id=44702465
- Críticas ao hackathon Bolt: x.com/0xPaulius/status/1949427171769934070
- Tópico sobre viés no hackathon do Geethanjali College: x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh — Avaliação parcial: x.com/AvAwasthi/status/1985223392015056964
- Farming de projetos entre plataformas: x.com/_KxrMa_G/status/2002047507308982565
- Tribunal de Marselha — Blockchain como evidência legal: euipo.europa.eu
- Goodwin Law — Marcas temporais blockchain em França: goodwinlaw.com
- TCS AI Hackathon (281 000 participantes): tcs.com
- Avalanche Build Games (dotação de 1 M$): build.avax.network/build-games
- Web3Privacy Now — Submissões do hackathon de Berlim: github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ sobre a privacidade como elo que falta para a adoção cripto (15 de fevereiro de 2026): x.com/cz_binance/status/2023016538677371079
- Vitalik Buterin — IA + Ethereum: depósitos de garantia, resolução de litígios on-chain, privacidade ZK (9 de fevereiro de 2026): x.com/VitalikButerin/status/2020963864175657102
- Vitalik Buterin — Reputação com privacidade ZK (11 de fevereiro de 2026): x.com/VitalikButerin/status/2021594878162157948
- Vitalik Buterin / Davide Crapis — Substituir identidade por stake (11 de fevereiro de 2026): x.com/VitalikButerin/status/2021586150973206827
O seu projeto foi copiado? Enfrentou uma avaliação injusta? Desqualificado sem provas?
A sua história — mesmo anónima — torna-se parte das evidências.
Todas as comunicações são analisadas pela nossa equipa de investigação. A identidade do autor de um relato anónimo nunca é revelada sem o seu consentimento explícito.