ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ

Мы исследовали 12 хакатонов с призовыми фондами свыше $4 млн. Ни один не защищает заявки участников.

12 мероприятий проверено. 6 инфраструктурных пробелов выявлено. 8 реальных случаев плагиата, присвоения интеллектуальной собственности и предвзятого судейства задокументировано — все на основе открытых источников и независимой верификации.

Безопасность хакатонов

Защита ИС

Блокчейн-доказательства

Опубликовано: 23 февраля 2026

Обновлено: 23 февраля 2026

$4 млн+

Общий объём проверенных призовых фондов

Хакатонов исследовано

Реальных случаев задокументировано

Платформ, защищающих ИС

На одном хакатоне в прошлом году команда представила свою идею в первом раунде. Через две недели другая команда — имевшая доступ к тому же пулу жюри — подала подозрительно похожую концепцию. Не было ни журнала аудита, ни логов доступа, ни способа доказать, кто что видел и когда.

У команды-автора идеи не было никаких средств защиты. Команда, которая, возможно, скопировала проект, не подверглась никакой проверке. А у организатора не было инструментов для разбирательства, даже если бы он захотел.

Мы думали, это единичный случай. Затем мы изучили 12 хакатонов на 4 континентах — и выяснили, что это норма.

Методология: В период с января по февраль 2026 года мы изучили публичные процессы подачи заявок, правила мероприятий, структуры судейства и отзывы в социальных сетях для 12 хакатонов. Мы также исследовали 8 задокументированных случаев нарушений безопасности заявок с 2025 по февраль 2026 года. Мы проанализировали документацию платформ (DevPost, Devfolio, DoraHacks, TAIKAI), страницы правил конкретных мероприятий, публичные репозитории на GitHub, судебные материалы и свидетельства участников из первых рук. Все выводы можно независимо верифицировать через источники, указанные по всему тексту статьи.

Запросы комментариев: Все упоминаемые организации были уведомлены до публикации. CEO ETHGlobal Картик Талвар ответил развёрнутым комментарием, отметив, что команды информируются о том, какие судьи оценивали их заявки, что все заявки содержат временные метки (серверные, не блокчейн), что споры решаются по электронной почте и через каналы поддержки, и что за более чем 15 000 проектов с 2017 года не было публичных жалоб на отсутствие подотчётности. Его полная позиция отражена в разделе аудита ETHGlobal ниже. Avalanche Foundation, BNB Chain (через DoraHacks), Chainlink, Web3Privacy Now и TCS не ответили. SuperteamIN и CRED публично отреагировали на соответствующие инциденты (задокументировано в случаях 2 и 3).

Это не единичный случай. Это стандартная практика.

Каждая крупная хакатон-платформа — DevPost, Devfolio, DoraHacks, TAIKAI — фокусируется на логистике мероприятий. Ни одна из них не защищает подаваемые работы.

Почему это важно не только ради призов

Хакатоны — это не просто соревнования. Это главная точка входа в Web3. Путь хорошо известен: разработчик приходит на хакатон, создаёт первый проект, его замечает команда протокола, он получает грант и запускает то, что становится реальной инфраструктурой. Uniswap, Filecoin, ENS и десятки других ведущих протоколов начинались как хакатон-заявки.

Когда безопасность заявок нарушена, это затрагивает не одну команду — это отравляет весь поток. Разработчик, у которого украли идею на первом хакатоне, больше не возвращается. Строитель, увидевший, как призы получают скопированные проекты, прекращает строить. Экосистема теряет следующую волну участников — не в пользу конкурента, а из-за разочарования.

Дело не в защите призовых денег. Речь о защите механизма, который создаёт следующее поколение Web3-строителей. Если хакатоны потеряют доверие, весь кадровый конвейер экосистемы сломается.

Масштаб проблемы

Только в 2025 году ETHGlobal — крупнейший организатор Ethereum-хакатонов — провёл мероприятия на 5 континентах, распределив более $2 миллионов призовых среди 10 000+ разработчиков. Призовые фонды отдельных мероприятий теперь превышают $1 миллион (ETHDenver, Avalanche Build Games, Hedera).

Корпоративные хакатоны ещё масштабнее — TCS провела AI-хакатон с 281 000 участниками из 58 стран, где заявки оценивались для коммерческого внедрения.

И тем не менее каждая крупная хакатон-платформа сосредоточена на одном и том же: регистрация, формирование команд, формы для судейства. Никаких логов доступа. Никакой цепочки ответственности за общие материалы. Никакого формального механизма разрешения споров. Никакого аудиторского следа.

Часть I: Инфраструктурный пробел — 6 крупных хакатонов проверено

Мы начали с аудита безопасности заявок на 6 крупных хакатонах — от крупнейших Ethereum-мероприятий до корпоративных соревнований. Уточним: это не обвинения. Это наблюдения о публично задокументированных процессах. Каждый из перечисленных организаторов проводит легитимное и добросовестное мероприятие. Проблема не в некомпетентности — а в отсутствии инфраструктуры, которой попросту пока не существует.

1. ETHGlobal

Доминирующая сила

ETHGlobal — крупнейший организатор Ethereum-хакатонов, проводит мероприятия на 5 континентах с тысячами подаваемых проектов на каждом. Только хакатон в Буэнос-Айресе привлёк 475 проектов, конкурирующих за $500 000 призовых. В 2026 году запланировано 5 очных мероприятий: Канны, Нью-Йорк, Лиссабон, Токио, Мумбаи. Примечание: ETHGlobal заявляет, что назначения судей видны командам (хотя не отображаются публично), что все заявки содержат серверные временные метки, и что споры решаются по электронной почте, при этом дисквалифицированным участникам предоставляются конкретные доказательства, лежащие в основе решения. Каждый участник проходит ручную проверку перед допуском. Это внутренние процессы — пункты ниже отражают то, что участники могут независимо верифицировать.

Нет независимо верифицируемых записей о назначениях судей на заявки
Все заявки публично видны до и во время судейства
Нет опубликованной процедуры разрешения споров с определёнными сроками
Нет блокчейн-временных меток на заявках

2. Avalanche Build Games

$1 000 000

Avalanche Build Games — шестинедельное онлайн-соревнование. Участники представляют идеи на первой неделе, строят проект в течение 5 недель. Менторы видят 50+ питчей на первой неделе без какой-либо цепочки ответственности.

6-недельное окно с открытыми идеями, без аудиторского следа
Нет логирования доступа к заявкам
«Долгосрочные намерения» оцениваются без верификации

3. BNB Chain Good Vibes Only

$100 000

Хакатон BNB Chain проводится на DoraHacks. Заявки требуют ончейн-подтверждение (развёрнутый контракт) — хорошо. Однако голосование сообщества (40% веса) манипулируемо крупными держателями токенов.

Нет аудиторского следа доступа судей к заявкам
Голосование уязвимо к манипуляции «китами»
Нет процедуры разрешения споров

4. Chainlink Convergence

$120 000+

Chainlink Convergence включает специальный трек Privacy/Confidential Computing. Ирония: учит разработчиков создавать приложения для приватности, но сами заявки не имеют никакой защиты конфиденциальности. Требуются публичные GitHub-репозитории.

Публичные GitHub-репозитории — видны до начала судейства
Трек приватности без защиты приватности заявок
Подача заявок через форму Airtable

5. TCS AI Hackathon

281 000 участников

Крупнейший в мире AI-хакатон. Корпоративные клиенты оценивают решения для коммерческого внедрения в компании с годовой выручкой свыше $30 миллиардов. Отсутствие цепочки ответственности — потенциальный повод для судебного иска.

Нет цепочки ответственности за ИС для коммерческих продуктов
Нет аудиторского следа на уровне корпоративных стандартов
Регуляторные риски при AI-оценке заявок

6. Web3Privacy Now

€30 000

Web3Privacy Now — хакатон, посвящённый приватности, — принимал заявки через публичные Pull Request на GitHub. Каждая идея видна всем до начала оценки.

Публичные PR раскрывают все идеи до оценки
Мероприятие по приватности с нулевой защитой заявок
Нет логирования доступа или аудиторского следа

Итого по пробелам

Примечание: Эта таблица сравнивает хакатон-платформы — сервисы, которые используют множество организаторов для проведения мероприятий (DevPost, Devfolio, DoraHacks, TAIKAI). Организаторы мероприятий, такие как ETHGlobal, используют собственную систему подачи заявок и оцениваются отдельно в карточках аудита выше.

Уровень защиты	DevPost	Devfolio	DoraHacks	TAIKAI	Хоть кто?
Загрузка заявок	Да	Да	Да	Да	Да
Логирование доступа	Нет	Нет	Нет	Нет	Нет
Блокчейн-временные метки	Нет	Нет	Частично	Частично	Нет
Аудиторский след судей	Нет	Нет	Нет	Нет	Нет
Разрешение споров	Нет	Нет	Нет	Нет	Нет
Защита ИС	Нет	Нет	Нет	Нет	Нет

Каждая платформа обеспечивает логистику. Ни одна не обеспечивает целостность.

Часть II: Это уже происходит — 6 задокументированных случаев (2025–2026)

Описанные выше пробелы — не теория. Мы исследовали 6 хакатонов, где отсутствие защиты заявок привело к реальному ущербу — плагиат, присвоение ИС, несправедливая дисквалификация, предвзятое судейство и цензура. Все случаи относятся к 2025–2026 годам и публично задокументированы с указанием источников.

Полное копирование проекта, включая демо-видео

ETHGlobal → HackQuest • октябрь 2025

Команда создала KagamiAI на ETHGlobal New Delhi в октябре 2025, где проект был отобран в топ-10 финалистов из 616 проектов. Команда работала всё выходные и собрала реальные отзывы пользователей.

Вскоре после этого другой участник скопировал весь проект — код, приложение и даже демо-видео (в котором звучал голос одного из членов оригинальной команды) — и подал его на другой хакатон (HackQuest).

Оригинальная команда задокументировала всё публично и призвала HackQuest удалить мошенническую заявку.

Построчное копирование кода из open-source проекта

SuperteamIN • октябрь 2025

Разработчик Shubh создал getblink.fun — no-code платформу для создания Solana Blinks (193 коммита, создана в августе 2024). Он дважды подавал заявку на грант SuperteamIN и оба раза получал отказ, после чего закрыл проект из-за расходов.

Другой разработчик, ранее написавший Shubh в личные сообщения с просьбой помочь и получивший ссылку на репозиторий «для изучения», построчно скопировал весь код, переименовал проект в «Blinker» и выиграл грант SuperteamEarn.

При предъявлении построчного сравнения кода копировщик заблокировал автора и удалил всё — аккаунт, сайт и репозиторий. SuperteamIN признала сообщение и начала расследование инцидента.

Условия хакатона, присваивающие все права на ИС

CRED Rabbit Hole • март 2025

CRED, индийская финтех-компания основателя Kunal Shah, анонсировала AI-хакатон Rabbit Hole с призовым фондом ₹50 лакхов (~$60 000). Первоначальные условия гласили, что все права интеллектуальной собственности на заявки «считаются работой по найму» и что CRED будет владеть всем, что создано во время мероприятия.

Реакция была мгновенной и массовой. Пост разработчика Aditya Oberai, назвавшего это «мастер-классом по тому, как НЕ НАДО организовывать хакатон», получил более 1100 лайков. IP-юрист предупредил участников, что условия равносильны тому, чтобы «хитро попросить вас отдать свою идею, построить для них продукт и не получить ничего взамен».

Появились дополнительные жалобы: CRED требовал «Вход через CRED» для регистрации (не связанный с хакатоном) и проверял кредитные рейтинги заявителей без явного уведомления.

Kunal Shah отреагировал в течение 24 часов: «Справедливые замечания по ИС. С самого начала не должно было быть. Убираем». Условия были пересмотрены: «Участники сохраняют все права на свои заявки».

Один город, два организатора, два результата

Ethereum Argentina (Devconnect Buenos Aires) • ноябрь 2025 → февраль 2026

Во время Devconnect Buenos Aires в ноябре 2025 два отдельных хакатона проходили в одном городе. Хакатон ETHGlobal (475 проектов, $500 000 призовых) выплатил всем победителям вовремя, без публичных споров. Между тем, хакатон Ethereum Argentina «Tierra de Buidlers» на TAIKAI (~355 участников, ~$30 000 призовых) показал иной результат.

На хакатоне Ethereum Argentina команда создала два отдельных проекта в разных репозиториях с независимой историей коммитов. Один участник начал работать в одиночку, затем присоединился второй. Оба проекта были одобрены, прошли судейство, и один выиграл приз.

В феврале 2026 — более чем через два месяца — команда была дисквалифицирована за «фарминг» и «общую кодовую базу» — без предоставления какого-либо технического сравнения кода в качестве доказательства.

Когда команда запросила доказательства — diff, анализ коммитов, что угодно, демонстрирующее общую кодовую базу — ничего предоставлено не было. Затем команде заблокировали возможность коммуникации.

Контраст показателен: на том же Devconnect один организатор (ETHGlobal) провёл прозрачный процесс в масштабе и выплатил победителям без инцидентов; другой (Ethereum Argentina) дисквалифицировал победившую команду спустя месяцы без предоставления технических доказательств.

Хакатон на $1 млн+ с географической предвзятостью и подавлением критики

Bolt • июнь–август 2025

Хакатон Bolt — позиционирующийся как «крупнейший хакатон в мире» со 130 000+ зарегистрированных участников и более $1 миллиона призовых — столкнулся с детальной критикой на Hacker News:

17 из 20 главных призов достались проектам из США, Канады и ЕС — притом что эти регионы представляли лишь ~25% участников. Как минимум один победитель подал проект без работающего демо — только скриншоты localhost и то, что критики описали как «сгенерированное AI видео». Другой победитель, по сообщениям, не подал развёрнутый URL, хотя хостинг URL был обязательным условием по правилам.

Когда участники высказали обеспокоенность, Bolt удалял их посты из Reddit и Discord и блокировал критиков.

Множество участников независимо друг от друга подтвердили жалобы, отмечая, что их полностью функциональные развёрнутые проекты проиграли заявкам с неработающими демо.

Все призы — вузу-организатору, внешние команды проигнорированы

Geethanjali College of Engineering • март 2025

На 48-часовом хакатоне, организованном Geethanjali College of Engineering and Technology в марте 2025, внешние участники заплатили ₹450 с человека и создали полностью рабочие проекты.

Все 6 призов — по 2 в каждой из 3 категорий (AI/ML, IoT, Open Innovation) — достались исключительно командам из вуза-организатора. Участники сообщали, что несколько победивших проектов были «GPT-копипастой» без понимания базового кода, а проект-победитель в категории IoT вообще не работал.

Когда внешние команды высказали претензии в групповом чате мероприятия, организаторы удалили права на публикацию сообщений и проигнорировали все дальнейшие обращения.

Часть III: Паттерн повторяется — ещё 2 случая (2025)

Вышеописанные случаи не ограничиваются элитными мероприятиями. Те же структурные провалы повторяются на любом уровне — от университетских хакатонов до межплатформенных схем фарминга.

Предвзятое судейство + отсутствие базовых условий

HackWithUttarPradesh, Chandigarh University • ноябрь 2025

На хакатоне HackWithUttarPradesh, проведённом Chandigarh University в ноябре 2025, внешний участник сообщал:

• Еда не предоставлялась, несмотря на обещания
• Участники спали в коридорах
• Предвзятое судейство в пользу внутренних команд
• Внешние команды полностью проигнорированы при оценке
• Общее впечатление описано как «промо-акция колледжа, а не хакатон»

Паттерн идентичен случаю 6 (Geethanjali College) — вуз-организатор забирает все призы, внешние участники — массовка.

Один и тот же проект «фармится» на множестве хакатонов

ETHIndia, Devfolio • декабрь 2025

В декабре 2025 участник сообщества задокументировал, что известные лидеры крипто-комьюнити «ездят с хакатона на хакатон, подавая один и тот же проект снова и снова, без какого-либо стыда» — тегая ETHIndia, Devfolio и другие мероприятия.

Ни одна платформа не проверяет, побеждала ли заявка где-то ещё. Межплатформенной верификации не существует. Один и тот же код, одно и то же демо, один и тот же питч — разные призовые фонды.

Паттерн

Это не изолированные инциденты. Это 8 симптомов одного и того же структурного пробела — охватывающего все категории хакатонов: от университетских мероприятий до соревнований с призами свыше $1 млн:

Случай	Тип
KagamiAI (ETHGlobal → HackQuest)	Плагиат проекта
getblink.fun (SuperteamIN)	Кража кода
CRED Rabbit Hole	Присвоение прав на ИС
Ethereum Argentina (Devconnect Buenos Aires)	Необоснованная дисквалификация
Bolt Hackathon	Предвзятое судейство + цензура
Geethanjali College	Конфликт интересов
HackWithUttarPradesh	Предвзятое судейство
Межплатформенный фарминг	Мошенничество на нескольких мероприятиях

Не все игнорируют проблему

Две организации в нашем исследовании отреагировали на нарушения целостности конкретными действиями. SuperteamIN (случай 2) признала сообщение о плагиате и начала расследование; впоследствии нарушитель удалил свой аккаунт, сайт и репозиторий. CRED (случай 3) отменила хищнические условия по ИС в течение 24 часов после публичного возмущения. Эти реакции показывают: когда организации серьёзно относятся к честности, система способна к самокоррекции — но только когда проблема становится публичной. Вопрос в другом: зачем ждать публичного инцидента, если превентивная инфраструктура уже существует?

Правовая перспектива

Специалисты в области права ИС уже обозначили безопасность хакатон-заявок как растущую проблему. В случае CRED Rabbit Hole IP-юрист публично предупредил, что условия хакатона равносильны бесплатной работе участников на организатора — риск, о котором большинство участников даже не задумывается. Решение марсельского суда в марте 2025, признавшего блокчейн-временные метки допустимым доказательством авторского права, создаёт правовую базу: инструменты защиты ИС существуют, и суды их признают. Пробел — во внедрении, а не в технологиях.

Почему ситуация ухудшается, а не улучшается

AI-генерация кода стала нормой

При работе с Cursor, Copilot и Claude на хакатонах две команды могут создать похожие решения случайно. Без аудиторских следов невозможно отличить совпадение от копирования.

Призовые фонды растут

Мероприятия с фондами $1 млн+ (Avalanche, Hedera, ETHDenver, Bolt) создают реальные финансовые стимулы для манипуляций. Чем выше ставки, тем сильнее мотивация у недобросовестных участников.

Межплатформенный фарминг нарастает

Один и тот же проект подаётся на ETHIndia, Devfolio, HackQuest и другие площадки — выигрывая призы на каждой. Ни одна платформа не проверяет, побеждала ли заявка в другом месте.

Формируется судебная практика

В марте 2025 марсельский суд признал блокчейн-временные метки допустимым доказательством авторского права (€11 900 компенсации). Блокчейн-доказательства юридически признаны — но ни один хакатон их не использует.

Приватность и верификация становятся базовой криптоинфраструктурой

В феврале 2026 Чанпэн Чжао (CZ) предупредил, что отсутствие приватности «может быть недостающим звеном для массового принятия криптоплатежей» — указав, что ончейн-транзакции раскрывают, кто кому и сколько платит. Та же логика применима к хакатонам: когда заявки, распределение судей и оценки находятся на платформах без контроля доступа, процесс прозрачен в худшем смысле — виден каждому, кто хочет злоупотребить, и невидим для каждого, кто хочет провести аудит.

На той же неделе Виталик Бутерин изложил видение криптографической верификации как инфраструктуры по умолчанию — включая «обеспечительные депозиты с ончейн-механизмом разрешения споров», «ZK-приватные платежи и репутацию» и принцип, который он отстаивает годами: «Не доверяй — проверяй всё». В отдельной публикации он поддержал модель замены идентичности стейком — где участники вносят залог, действуют анонимно, а за злоупотребления подвергаются слэшингу.

Когда основатели двух крупнейших блокчейн-экосистем независимо друг от друга говорят, что верификация с сохранением приватности должна быть встроена в инфраструктуру — а не прикручена потом — отсутствие этих защит в хакатон-заявках становится не менее, а более заметным. Технология существует. Потребность чётко выражена на высшем уровне. Пробел — во внедрении.

Лучшая защита — не секретность. А доказательства.
Фиксируйте всё. Доверяйте временным меткам. Блокчейн не лжёт.

Проблема задокументирована. Решения известны. Не хватает внедрения.

Источники

Мероприятия ETHGlobal: ethglobal.com/events
Финалисты ETHGlobal New Delhi 2025 (KagamiAI): x.com/ETHGlobal/status/1972276802270925116
Тред о плагиате KagamiAI: x.com/kararsweta/status/1976620328832094629
Доказательства по KagamiAI: x.com/SoumikBaksi/status/1976615890042118231
Оригинальный репозиторий getblink.fun: github.com/shubhiscoding/getblink.fun
Тред о краже кода getblink.fun: x.com/LookWhatIbuild/status/1977478395022950907
Возмущение по поводу ИС CRED Rabbit Hole: x.com/adityaoberai1/status/1902613859023847892
CRED Rabbit Hole — освещение OfficeChai (вкл. ответ Kunal Shah): officechai.com
Тред о дисквалификации Ethereum Argentina (Devconnect Buenos Aires): x.com/CaptainCodeOnX/status/2021551261435429190
Обсуждение справедливости Bolt Hackathon (Hacker News): news.ycombinator.com/item?id=44702465
Критика Bolt Hackathon: x.com/0xPaulius/status/1949427171769934070
Тред о предвзятости хакатона Geethanjali College: x.com/mani_yadla_/status/1904515471430566362
HackWithUttarPradesh — предвзятое судейство: x.com/AvAwasthi/status/1985223392015056964
Межплатформенный фарминг проектов: x.com/_KxrMa_G/status/2002047507308982565
Марсельский суд — блокчейн как юридическое доказательство: euipo.europa.eu
Goodwin Law — блокчейн-временные метки во Франции: goodwinlaw.com
TCS AI Hackathon (281 000 участников): tcs.com
Avalanche Build Games (призовой фонд $1 млн): build.avax.network/build-games
Web3Privacy Now — заявки берлинского хакатона: github.com/web3privacy/hackathon-2025-berlin-submissions
CZ о приватности как недостающем звене для массового принятия крипто (15 февраля 2026): x.com/cz_binance/status/2023016538677371079
Виталик Бутерин — AI + Ethereum: обеспечительные депозиты, ончейн-разрешение споров, ZK-приватность (9 февраля 2026): x.com/VitalikButerin/status/2020963864175657102
Виталик Бутерин — ZK-приватная репутация (11 февраля 2026): x.com/VitalikButerin/status/2021594878162157948
Виталик Бутерин / Davide Crapis — замена идентичности стейком (11 февраля 2026): x.com/VitalikButerin/status/2021586150973206827

Мы создаём первую открытую базу данных нарушений честности на хакатонах.

Ваш проект скопировали? Столкнулись с нечестным судейством? Дисквалифицированы без доказательств?

Ваша история — даже анонимная — становится частью доказательной базы.

✉ security@coindisplayhub.com Отправить анонимно через Telegram

Все обращения рассматриваются нашей исследовательской командой. Личность автора анонимного сообщения никогда не раскрывается без его явного согласия.