4 Milyon Doları Aşan Ödül Havuzuyla 12 Hackathon’u İnceledik. Hiçbiri Başvuruları Korumuyor.
12 etkinlik denetlendi. 6 altyapı açığı haritalandı. 8 gerçek intihal, fikri mülkiyet gaspı ve haksız yargılama vakası belgelendi — tamamı açık kaynaklardan ve bağımsız olarak doğrulandı.
Geçen yıl bir hackathon’da bir ekip ilk turda fikrini sundu. İki hafta sonra, aynı jüri havuzuna erişimi olan başka bir ekip — şüpheli derecede benzer bir konsept sundu. Herhangi bir denetim izi yoktu. Erişim kaydı yoktu. Kimin neyi ne zaman gördüğünü kanıtlamanın yolu yoktu.
Orijinal fikri geliştiren ekibin hiçbir hukuki başvuru yolu yoktu. Kopyalamış olabilecek ekip hiçbir incelemeyle karşılaşmadı. Organizatörün ise istese bile soruşturma yapacak aracı yoktu.
Bunun istisnai bir durum olduğunu düşündük. Sonra 4 kıtadaki 12 hackathon’u inceledik — ve bunun varsayılan durum olduğunu keşfettik.
Metodoloji: Ocak–Şubat 2026 arasında 12 hackathon etkinliğinin halka açık başvuru süreçlerini, etkinlik kurallarını, yargılama yapılarını ve sosyal medya raporlarını inceledik. Ayrıca 2025–Şubat 2026 döneminden 8 belgelenmiş başvuru güvenliği ihlali vakasını araştırdık. Platform dokümantasyonlarını (DevPost, Devfolio, DoraHacks, TAIKAI), etkinliğe özel kural sayfalarını, halka açık GitHub depolarını, mahkeme kayıtlarını ve katılımcıların ilk elden anlatımlarını inceledik. Tüm bulgular bu makalede bağlantı verilen kaynaklarla bağımsız olarak doğrulanabilir.
Yorum talepleri: Yayından önce ETHGlobal, Avalanche Foundation, BNB Chain (DoraHacks üzerinden), Chainlink, Web3Privacy Now ve TCS ile iletişime geçildi. ETHGlobal CEO’su Kartik Talwar yayından sonra yanıt vererek ETHGlobal’ın iç süreçlere sahip olduğunu belirtti (aşağıdaki denetim kartında not olarak yer almaktadır). Diğer kuruluşlar yanıt vermedi. SuperteamIN ve CRED kendi vakalarına kamuoyu önünde yanıt verdi (Vaka 2 ve 3’te belgelenmiştir).
Bu istisnai bir durum değil. Bu varsayılan durum.
Her büyük hackathon platformu — DevPost, Devfolio, DoraHacks, TAIKAI — etkinlik lojistiğine odaklanıyor. Hiçbiri sunulan çalışmaları korumuyor.
Bunun Ödüllerin Ötesinde Neden Önemli Olduğu
Hackathon’lar yalnızca yarışma değil — Web3’e ana giriş noktasıdır. Süreç iyi belgelenmiştir: bir geliştirici hackathon’a katılır, ilk projesini yapar, bir protokol ekibinin dikkatini çeker, hibe alır ve gerçek altyapıya dönüşen bir şey başlatır. Uniswap, Filecoin, ENS ve düzinelerce büyük protokol hackathon başvuruları olarak başladı.
Başvuru güvenliği başarısız olduğunda, yalnızca bir ekibi etkilemez — tüm hattı zehirler. İlk hackathon’unda intihale uğrayan bir geliştirici geri dönmez. Ödüllerin kopyalanmış projelere gittiğini gören bir geliştirici inşa etmeyi bırakır. Ekosistem bir sonraki katkıcı dalgasını kaybeder — bir rakibe değil, hayal kırıklığına.
Bu ödül parasını korumakla ilgili değil. Bu, Web3 geliştiricilerinin bir sonraki neslini yetiştiren mekanizmayı korumakla ilgili. Hackathon’lar güvenilirliğini kaybederse, tüm ekosistemin yetenek hattı kırılır.
Sorunun Boyutu
Yalnızca 2025’te ETHGlobal — en büyük Ethereum hackathon organizatörü — 5 kıtada etkinlikler düzenledi ve 10.000’den fazla geliştiriciye toplam 2 milyon doların üzerinde ödül dağıttı. Tek etkinlik ödül havuzları artık 1 milyon doları aşıyor (ETHDenver, Avalanche Build Games, Hedera).
Kurumsal hackathon’lar daha da büyük — TCS, 58 ülkeden 281.000 katılımcıyla bir AI hackathon’u düzenledi; burada başvurular ticari entegrasyon için değerlendirildi.
Ve yine de her büyük hackathon platformu aynı şeye odaklanıyor: kayıt, takım oluşturma, yargılama formları. Erişim kaydı yok. Paylaşılan materyaller için gözetim zinciri yok. Resmi uyuşmazlık çözüm mekanizması yok. Denetim izi yok.
Bölüm I: Altyapı Açığı — 6 Büyük Hackathon Denetlendi
6 büyük hackathon programının başvuru güvenliğini denetleyerek başladık — en büyük Ethereum etkinliklerinden kurumsal yarışmalara. Açık olalım: bunlar suçlama değil. Bunlar kamuya açık süreçler hakkında gözlemler. Aşağıda listelenen her organizatör meşru, iyi niyetli bir etkinlik düzenliyor. Sorun beceriksizlik değil — henüz var olmayan altyapının yokluğu.
Not: ETHGlobal CEO’su Kartik Talwar yayından sonra yanıt vererek ETHGlobal’ın tüm vakaları soruşturmak için iç süreçlere ve değerlendirme güvencelerine sahip olduğunu belirtti. Aşağıdaki gözlemler kamuya açık belgelere dayanmakta olup, her kararın arkasındaki spesifik kanıtlar etkinlik sayfalarında yayınlanmamıştır.
- Hangi jürinin hangi başvuruyu incelediğine dair bağımsız olarak doğrulanabilir kayıt yok
- Değerlendirme süresi boyunca başvurular platformda herkese açık görünür
- Diskalifiye prosedürleri için kamuya açık zaman çizelgesi yok
- Başvurularda blokzincir zaman damgası yok
- Fikirlerin açık olduğu 6 haftalık pencere, denetim izi yok
- Başvurulara erişim kaydı yok
- «Uzun vadeli niyet» doğrulama olmadan değerlendiriliyor
- Jüri erişimi için denetim izi yok
- Topluluk oylaması balina manipülasyonuna açık
- Uyuşmazlık çözüm süreci yok
- Halka açık GitHub depoları — yargılamadan önce görünür
- Gizlilik kategorisi ama başvurularda gizlilik yok
- Başvurular Airtable formu üzerinden
- Ticari ürünler için fikri mülkiyet gözetim zinciri yok
- Kurumsal standartlarda denetim izi yok
- AI değerlendirmeli başvurularda düzenleyici risk
- Halka açık PR’ler tüm fikirleri değerlendirmeden önce açığa çıkarıyor
- Gizlilik odaklı etkinlikte başvuru gizliliği sıfır
- Erişim kaydı veya denetim izi yok
Açık Özetlenirse
| Koruma Katmanı | DevPost | Devfolio | DoraHacks | TAIKAI | Herhangi biri? |
|---|---|---|---|---|---|
| Başvuru yükleme | Evet | Evet | Evet | Evet | Evet |
| Erişim kaydı | Hayır | Hayır | Hayır | Hayır | Hayır |
| Blokzincir zaman damgaları | Hayır | Hayır | Kısmen | Kısmen | Hayır |
| Jüri denetim izi | Hayır | Hayır | Hayır | Hayır | Hayır |
| Uyuşmazlık çözümü | Hayır | Hayır | Hayır | Hayır | Hayır |
| Fikri mülkiyet koruması | Hayır | Hayır | Hayır | Hayır | Hayır |
Her platform lojistikle ilgileniyor. Hiçbiri bütünlükle ilgilenmiyor.
Bölüm II: Bu Zaten Oluyor — 6 Belgelenmiş Vaka (2025–2026)
Yukarıdaki açıklar teorik değil. Başvuru güvenliğinin yokluğunun gerçek zarara yol açtığı 6 hackathon etkinliğini araştırdık — intihal, fikri mülkiyet gaspı, haksız diskalifiye, önyargılı yargılama ve sansür. Tüm vakalar 2025–2026’dan olup kaynaklarla birlikte kamuya açık şekilde belgelenmiştir.
Bir ekip Eylül 2025’te ETHGlobal New Delhi’de KagamiAI’yı geliştirdi ve proje 616 proje arasından ilk 10 finaliste seçildi. Ekip tüm hafta sonu çalışarak gerçek kullanıcı geri bildirimi topladı.
Kısa bir süre sonra başka bir katılımcı projenin tamamını kopyaladı — kodu, uygulamayı ve hatta demo videosunu (orijinal ekip üyelerinden birinin sesini içeren) — ve farklı bir hackathon’a (HackQuest) sundu.
Orijinal ekip her şeyi kamuoyu önünde belgeledi ve intihalcinin yasaklanması çağrısında bulundu. Orijinal ekip kopyalanmış başvurunun kaldırılması çağrısında bulundu.
Geliştirici Shubh, getblink.fun’u geliştirdi — Solana Blinks oluşturmak için no-code bir platform (193 commit, Ağustos 2024’te oluşturuldu). SuperteamIN hibesine iki kez başvurdu ve iki kez reddedildi, ardından maliyetler nedeniyle projeyi kapattı.
Daha önce Shubh’a DM atarak yardım isteyen ve depoya «öğrenmek için» bir bağlantı alan başka bir geliştirici, tüm kod tabanını satır satır kopyaladı, «Blinker» olarak yeniden adlandırdı ve SuperteamEarn hibesi kazandı.
Yan yana kod karşılaştırmalarıyla yüzleştirildiğinde, kopyacı orijinal yazarı engelledi ve her şeyi sildi — hesabını, web sitesini ve deposunu. SuperteamIN intihal raporunu kabul etti ve soruşturma başlattı.
Kunal Shah tarafından kurulan Hintli fintek şirketi CRED, ₹50 lakh (~60.000 dolar) ödüllü Rabbit Hole AI Hackathon’unu duyurdu. Orijinal koşullar, başvurulardaki tüm fikri mülkiyet haklarının «kiralık iş olarak kabul edileceğini» ve CRED’in etkinlik sırasında geliştirilen her şeye sahip olacağını belirtiyordu.
Tepki anında ve büyük oldu. Geliştirici Aditya Oberai’nin bunu «hackathon nasıl düzenlenmez’in ders niteliğinde örneği» diye nitelendirdiği paylaşımı 1.100’den fazla beğeni aldı. Bir fikri mülkiyet avukatı katılımcıları uyardı: koşullar özünde «kurnazca fikrini vermeni, onlar için geliştirmeni ve karşılığında hiçbir şey almamayı istiyor.»
Ek şikayetler ortaya çıktı: CRED kayıt için «CRED ile Giriş» talep etti (hackathon’la ilgisiz) ve başvuranların kredi puanlarını açık bildirim olmaksızın kontrol etti.
Kunal Shah 24 saat içinde yanıt verdi: «Fikri mülkiyet konusunda haklı eleştiriler. Baştan olmamalıydı. Kaldırıyoruz.» Koşullar revize edildi: «Katılımcılar başvurularındaki tüm haklara sahip olacaktır.»
Kasım 2025’teki Devconnect Buenos Aires hackathon’unda bir ekip, farklı depolarda bağımsız commit geçmişleriyle iki ayrı proje geliştirdi. ETHGlobal platform altyapısını (başvuru sistemi, değerlendirme araçları) sağlarken, Ethereum Argentina yerel organizasyonu üstlendi. Bir üye tek başına başladı, ardından 2–5 kişi takım gereksinimini karşılamak için ikincisi katıldı. Her iki proje de onaylandı, yargılamadan geçti ve biri ödül kazandı.
Şubat 2026’da — iki aydan fazla bir süre sonra — ekip «farming» ve «ortak kod tabanı» gerekçesiyle diskalifiye edildi — kanıt olarak herhangi bir teknik kod karşılaştırması sunulmadan. Diskalifiye ETHGlobal platformu üzerinden iletildi.
Ekip kanıt istediğinde — diff, commit analizi, kod tabanlarının ortak olduğunu gösteren herhangi bir şey — hiçbiri sunulmadı. Ekibin iletişimi ardından engellendi. Diskalifiye kuralları yalnızca bir SSS sayfasında mevcuttu, resmi etkinlik kurallarında değil. Bu vaka, ETHGlobal altyapısı ile yerel organizatör arasındaki sorumluluk sınırlarının belirsizliğini ortaya koymaktadır.
Bolt hackathon’u — 130.000’den fazla kayıtlı geliştirici ve 1 milyon doların üzerinde ödülle «dünyanın en büyük hackathon’u» olarak tanıtılan — Hacker News’te detaylı eleştirilerle karşılaştı:
20 ana ödülden 17’si ABD, Kanada ve AB projelerine gitti — bu bölgelerin katılımcıların yalnızca ~%25’ini oluşturmasına rağmen. En az bir kazanan, çalışan demo olmadan — yalnızca localhost ekran görüntüleri ve eleştirmenlerin «AI tarafından oluşturulmuş video» olarak nitelendirdiği bir sunum gönderdi. Bir diğer kazananın, kurallar tarafından açıkça zorunlu kılınmasına rağmen barındırılan URL göndermediği bildirildi.
Katılımcılar endişelerini dile getirdiğinde, Bolt onları Reddit ve Discord’dan sildi ve eleştirmenleri engelledi.
Birden fazla katılımcı şikayetleri bağımsız olarak doğruladı; tamamen işlevsel, yayınlanmış projelerinin çalışmayan demolarla başvuranlara kaybettiğini belirtti.
Mart 2025’te Geethanjali College of Engineering and Technology tarafından düzenlenen 48 saatlik hackathon’da dış katılımcılar kişi başı ₹450 ödeyerek katıldı ve tam işlevsel projeler geliştirdi.
Tüm 6 ödül — 3 kategorinin (AI/ML, IoT, Open Innovation) her birinde 2’şer — yalnızca ev sahibi üniversitenin ekiplerine gitti. Katılımcılar, kazanan projelerin birçoğunun altta yatan kodu anlamadan «GPT kopyası» olduğunu ve IoT kategorisi kazananlarından birinin projesinin hiç çalışmadığını bildirdi.
Dış ekipler etkinlik grup sohbetinde şikayette bulunduğunda, organizatörler paylaşım izinlerini sildi ve sonraki tüm iletişimi görmezden geldi.
Bölüm III: Kalıp Tekrarlanıyor — 2 Vaka Daha (2025)
Yukarıdaki vakalar seçkin etkinliklerle sınırlı değil. Aynı yapısal başarısızlıklar her seviyede tekrarlanıyor — üniversite hackathon’larından platformlar arası farming şemalarına.
Kasım 2025’te Chandigarh University’de düzenlenen HackWithUttarPradesh’te bir dış katılımcı şunları bildirdi:
• Vaatlere rağmen yemek verilmedi
• Katılımcılar koridorlarda uyudu
• İç ekipleri kayıran önyargılı yargılama
• Dış ekipler değerlendirmede tamamen görmezden gelindi
• Genel deneyim «hackathon değil, üniversite tanıtımı» olarak nitelendirildi
Kalıp Vaka 6 (Geethanjali College) ile aynı — ev sahibi kurum tüm ödülleri alıyor, dış katılımcılar figüran.
Aralık 2025’te bir topluluk üyesi, tanınmış kripto topluluk liderlerinin «hackathon’dan hackathon’a gidip, hiç utanmadan aynı projeyi tekrar tekrar sundukları»nı belgeledi — ETHIndia, Devfolio ve diğer etkinlikleri etiketleyerek.
Hiçbir platform bir başvurunun başka bir yerde kazanıp kazanmadığını kontrol etmiyor. Platformlar arası doğrulama yok. Aynı kod tabanı, aynı demo, aynı sunum — farklı ödül havuzları.
Kalıp
Bunlar izole olaylar değil. Bunlar aynı yapısal açığın 8 belirtisi — üniversite etkinliklerinden $1M+ yarışmalara kadar her hackathon kategorisini kapsayan:
Not: ETHGlobal yukarıdaki denetim bölümünde yer almaktadır (platform altyapısı denetimi olarak), ancak Vaka 4 Ethereum Argentina (Devconnect Buenos Aires) tarafından yerel organizatör olarak yürütülen bir etkinliğe ilişkin olduğundan bu kalıp tablosunda bulunmamaktadır.
| Vaka | Tür |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | Proje intihali |
| getblink.fun (SuperteamIN) | Kod hırsızlığı |
| CRED Rabbit Hole | Fikri mülkiyet hakları gaspı |
| Ethereum Argentina (Devconnect Buenos Aires) | Haksız diskalifiye |
| Bolt Hackathon | Önyargılı yargılama + sansür |
| Geethanjali College | Çıkar çatışması |
| HackWithUttarPradesh | Önyargılı yargılama |
| Platformlar arası farming | Çoklu etkinlik dolandırıcılığı |
Herkes Sorunu Görmezden Gelmiyor
Soruşturmamızdaki iki kuruluş bütünlük ihlallerine somut eylemlerle yanıt verdi. SuperteamIN (Vaka 2) intihal raporunu kabul etti ve soruşturma başlattı. CRED (Vaka 3) yırtıcı fikri mülkiyet koşullarını kamuoyu tepkisinden sonra 24 saat içinde geri aldı. Bu yanıtlar, kuruluşlar bütünlüğü ciddiye aldığında sistemin kendini düzeltebildiğini gösteriyor — ama yalnızca sorunlar kamuoyuna yansıdığında. Soru şu: önleyici altyapı varken neden kamuoyu skandalını bekleyelim?
Hukuki Perspektif
Fikri mülkiyet hukuku uzmanları hackathon başvuru güvenliğini artan bir endişe olarak zaten işaret etti. CRED Rabbit Hole vakasında bir fikri mülkiyet avukatı, hackathon koşullarının katılımcıların organizatör için ücretsiz çalışması anlamına geldiğini kamuoyu önünde uyardı — çoğu katılımcının hiç düşünmediği bir risk. Mart 2025’teki Marsilya mahkemesi kararı blokzincir zaman damgalarını geçerli telif hakkı kanıtı olarak kabul ederek yasal çerçeveyi oluşturdu: fikri mülkiyet koruması araçları mevcut ve mahkemeler bunları tanıyor. Açık, benimsemede, teknolojide değil.
Durum Neden İyileşmiyor, Kötüleşiyor
Şubat 2026’da Changpeng Zhao (CZ), gizliliğin yokluğunun «kripto ödemelerin benimsenmesi için eksik halka olabileceği» uyarısında bulundu — zincir üstü işlemlerin kimin kime ne kadar ödediğini açığa çıkardığını belirterek. Aynı mantık hackathon’lar için geçerli: başvurular, jüri atamaları ve puanlar erişim kontrolü olmayan platformlarda durduğunda, süreç en kötü anlamda şeffaf — istismar etmek isteyenlere görünür, denetlemek isteyenlere görünmez.
Aynı hafta Vitalik Buterin, kriptografik doğrulamanın varsayılan altyapı olması vizyonunu çizdi — «zincir üstü uyuşmazlık çözümlü güvence depozitoları», «ZK gizlilik korumalı ödemeler ve itibar» ve yıllardır savunduğu ilke: «güvenme; her şeyi doğrula». Ayrı bir paylaşımda kimliği stake ile değiştiren bir modeli destekledi — katılımcıların teminat yatırdığı, anonim hareket ettiği ve suistimal halinde kesintiye uğradığı bir model.
İki en büyük blokzincir ekosisteminin kurucuları bağımsız olarak gizlilik korumalı doğrulamanın altyapıya yerleştirilmesi — sonradan eklenmemesi — gerektiğini söylediğinde, hackathon başvurularında bu korumaların yokluğu daha belirgin hale geliyor, daha az değil. Teknoloji mevcut. Talep en üst düzeyde dile getiriliyor. Açık, benimsemede.
En iyi savunma gizlilik değil. Kanıttır.
Her şeyi kaydet. Zaman damgalarına güven. Blokzincir yalan söylemez.
Sorun belgelendi. Çözümler biliniyor. Eksik olan benimseme.
Kaynaklar
- ETHGlobal Etkinlikleri: ethglobal.com/events
- ETHGlobal New Delhi 2025 Finalistleri (KagamiAI): x.com/ETHGlobal/status/1972276802270925116
- KagamiAI İntihal Dizisi: x.com/kararsweta/status/1976620328832094629
- KagamiAI Kanıt Paylaşımı: x.com/SoumikBaksi/status/1976615890042118231
- getblink.fun Orijinal Deposu: github.com/shubhiscoding/getblink.fun
- getblink.fun Kod Hırsızlığı Dizisi: x.com/LookWhatIbuild/status/1977478395022950907
- CRED Rabbit Hole Fikri Mülkiyet Tepkisi: x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole — OfficeChai Haberi (Kunal Shah yanıtı dahil): officechai.com
- Ethereum Argentina (Devconnect Buenos Aires) Diskalifiye Dizisi: x.com/CaptainCodeOnX/status/2021551261435429190
- Bolt Hackathon Adalet Tartışması (Hacker News): news.ycombinator.com/item?id=44702465
- Bolt Hackathon Eleştirisi: x.com/0xPaulius/status/1949427171769934070
- Geethanjali College Hackathon Önyargı Dizisi: x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh — Önyargılı Yargılama: x.com/AvAwasthi/status/1985223392015056964
- Platformlar Arası Proje Farming: x.com/_KxrMa_G/status/2002047507308982565
- Marsilya Mahkemesi — Yasal Kanıt Olarak Blokzincir: euipo.europa.eu
- Goodwin Law — Fransa Blokzincir Zaman Damgası: goodwinlaw.com
- TCS AI Hackathon (281.000 katılımcı): tcs.com
- Avalanche Build Games ($1M ödül havuzu): build.avax.network/build-games
- Web3Privacy Now — Berlin Hackathon Başvuruları: github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ Kripto Benimsenmesinde Gizliliğin Eksik Halka Olduğu Hakkında (15 Şubat 2026): x.com/cz_binance/status/2023016538677371079
- Vitalik Buterin — AI + Ethereum: Güvence Depozitoları, Zincir Üstü Uyuşmazlık Çözümü, ZK Gizliliği (9 Şubat 2026): x.com/VitalikButerin/status/2020963864175657102
- Vitalik Buterin — ZK Gizlilik Korumalı İtibar (11 Şubat 2026): x.com/VitalikButerin/status/2021594878162157948
- Vitalik Buterin / Davide Crapis — Kimliği Stake ile Değiştirme (11 Şubat 2026): x.com/VitalikButerin/status/2021586150973206827
Projeniz kopyalandı mı? Haksız yargılamayla mı karşılaştınız? Kanıt olmadan mı diskalifiye edildiniz?
Hikayeniz — anonim olsa bile — kanıt tabanının bir parçası olur.
Tüm gönderimler araştırma ekibimiz tarafından incelenir. Anonim göndericilerin kimliği, açık onayları olmadan asla açıklanmaz.