Ми дослідили 12 хакатонів із призовими фондами понад $4 млн. Жоден не захищає подані проєкти.

By Team • Security Audits • February 14, 2026 at 04:23 PM • 1 min read • 492 views
Ми дослідили 12 хакатонів із призовими фондами понад $4 млн. Жоден не захищає подані проєкти.
РОЗСЛІДУВАННЯ БЕЗПЕКИ

Ми дослідили 12 хакатонів із призовими фондами понад $4 млн. Жоден не захищає подані проєкти.

12 подій перевірено. 6 інфраструктурних прогалин виявлено. 8 реальних випадків плагіату, привласнення інтелектуальної власності та несправедливого суддівства задокументовано — усе на основі відкритих джерел і незалежної верифікації.

Безпека хакатонів
Захист ІВ
Блокчейн-докази
Опубліковано: 23 лютого 2026
Оновлено: 23 лютого 2026
$4 млн+
Загальний обсяг перевірених призових фондів
12
Досліджених хакатонів
8
Задокументованих реальних випадків
0
Платформ, що захищають ІВ

На одному хакатоні минулого року команда представила свою ідею в першому раунді. Через два тижні інша команда — з доступом до того самого пулу суддів — подала підозріло схожу концепцію. Не було жодного аудиторського сліду. Жодних журналів доступу. Жодного способу довести, хто що бачив і коли.

Команда, яка створила оригінальну ідею, не мала жодних засобів захисту. Команда, яка, можливо, скопіювала її, не зазнала жодної перевірки. А організатор не мав інструментів для розслідування, навіть якби захотів.

Ми думали, що це поодинокий випадок. Потім ми дослідили 12 хакатонів на 4 континентах — і виявили, що це норма.

Методологія: У період із січня по лютий 2026 року ми проаналізували публічні процеси подання заявок, правила подій, структури суддівства та повідомлення в соціальних мережах для 12 хакатонів. Ми також дослідили 8 задокументованих випадків порушень безпеки подань за 2025 — лютий 2026 року. Ми вивчали документацію платформ (DevPost, Devfolio, DoraHacks, TAIKAI), сторінки правил конкретних подій, публічні репозиторії GitHub, судові документи та свідчення учасників з перших рук. Усі висновки можна незалежно верифікувати за джерелами, наведеними в цій статті.

Запити на коментар: До ETHGlobal, Avalanche Foundation, BNB Chain (через DoraHacks), Chainlink, Web3Privacy Now та TCS було надіслано запити до публікації. CEO ETHGlobal Kartik Talwar відповів після публікації, зазначивши, що ETHGlobal має внутрішні процеси (див. примітку нижче в картці аудиту). Інші організації не відповіли. SuperteamIN та CRED публічно відреагували на відповідні інциденти (задокументовано у Випадках 2 і 3).

Це не виняток. Це норма.

Кожна велика хакатон-платформа — DevPost, Devfolio, DoraHacks, TAIKAI — зосереджена на логістиці подій. Жодна з них не захищає роботи, що подаються.

Чому це важливо за межами призових

Хакатони — це не просто змагання, це головний вхідний канал у Web3. Шлях добре задокументований: розробник відвідує хакатон, створює перший проєкт, потрапляє в поле зору протоколу, отримує грант і запускає те, що стає реальною інфраструктурою. Uniswap, Filecoin, ENS та десятки великих протоколів почалися як подання на хакатони.

Коли безпека подань зазнає збою, це впливає не лише на одну команду — це отруює весь конвеєр. Розробник, чий проєкт сплагіатили на першому хакатоні, більше не повертається. Творець, який бачить, що призи отримують скопійовані проєкти, перестає будувати. Екосистема втрачає наступну хвилю учасників — не через конкурента, а через розчарування.

Йдеться не про захист призових грошей. Йдеться про захист механізму, який виховує наступне покоління Web3-розробників. Якщо хакатони втратять довіру, весь конвеєр талантів екосистеми зламається.

Масштаб проблеми

Лише у 2025 році ETHGlobal — найбільший організатор хакатонів Ethereum — провів заходи на 5 континентах, роздавши понад $2 млн призових 10 000+ розробникам. Призові фонди окремих подій тепер перевищують $1 млн (ETHDenver, Avalanche Build Games, Hedera).

Корпоративні хакатони ще масштабніші — TCS провів AI-хакатон із 281 000 учасників із 58 країн, де подання оцінювалися для комерційної інтеграції.

І водночас кожна велика хакатон-платформа зосереджена на одному: реєстрація, формування команд, форми для суддів. Жодних журналів доступу. Жодного ланцюжка зберігання для спільних матеріалів. Жодного формального процесу розв’язання спорів. Жодного аудиторського сліду.

Частина I: Інфраструктурна прогалина — 6 великих хакатонів перевірено

Ми почали з аудиту безпеки подань 6 великих хакатонних програм — від найбільших подій Ethereum до корпоративних змагань. Уточнимо: це не звинувачення. Це спостереження щодо публічно задокументованих процесів. Кожен організатор у цьому списку проводить легітимну, добросовісну подію. Проблема не в некомпетентності — а у відсутності інфраструктури, яка ще не створена.

1. ETHGlobal
Домінуюча сила
ETHGlobal — найбільший організатор хакатонів Ethereum, який проводить заходи на 5 континентах із тисячами поданих проєктів на кожному. Тільки їхній захід у Буенос-Айресі залучив 475 проєктів, що змагалися за $500 000 призових. У 2026 році проведуть 5 очних заходів: Канни, Нью-Йорк, Лісабон, Токіо, Мумбаї.

Примітка: CEO ETHGlobal Kartik Talwar відповів після публікації, зазначивши, що ETHGlobal має внутрішні процеси та захисні механізми оцінювання для розслідування всіх випадків. Наведені нижче спостереження ґрунтуються на публічно доступній документації, а конкретні докази кожного рішення не опубліковані на сторінках заходів.

  • Немає незалежно перевіряних записів про те, який суддя переглядав яке подання
  • Подання публічно видимі на платформі протягом періоду оцінювання
  • Немає публічно визначених строків для процедур дискваліфікації
  • Немає блокчейн-міток часу на поданнях
2. Avalanche Build Games
$1 000 000
Avalanche Build Games — 6-тижневе онлайн-змагання. Учасники презентують на 1-му тижні, розробляють протягом 5 тижнів. Ментори бачать 50+ презентацій у перший тиждень із нульовим ланцюжком зберігання.
  • 6-тижневе вікно з відкритими ідеями, без аудиторського сліду
  • Немає журналів доступу до подань
  • «Довгостроковий намір» оцінюється без верифікації
3. BNB Chain Good Vibes Only
$100 000
Хакатон BNB Chain проходить на DoraHacks. Подання вимагають ончейн-доказу (розгорнутий контракт) — добре. Але голосування спільноти (40% ваги) піддається маніпуляціям з боку китів.
  • Немає аудиторського сліду доступу суддів до подань
  • Голосування спільноти вразливе до маніпуляцій китів
  • Немає процесу розв’язання спорів
4. Chainlink Convergence
$120 000+
Chainlink Convergence має окремий трек конфіденційності/захищених обчислень. Іронія: навчають розробників створювати додатки з конфіденційністю, але самі подання не мають жодного захисту приватності. Необхідні публічні репозиторії GitHub.
  • Публічні репозиторії GitHub — видимі до суддівства
  • Трек конфіденційності без конфіденційності подань
  • Подання через форму Airtable
5. TCS AI Hackathon
281 000 учасників
Найбільший у світі AI-хакатон. Корпоративні клієнти оцінюють рішення для комерційної інтеграції в компанії з річним доходом понад $30 млрд. Відсутність ланцюжка зберігання ІВ — потенційний позов.
  • Немає ланцюжка зберігання ІВ для комерційних продуктів
  • Немає аудиторського сліду корпоративного рівня
  • Регуляторний ризик при AI-оцінці подань
6. Web3Privacy Now
€30 000
Web3Privacy Now — хакатон, присвячений конфіденційності — приймав подання через публічні Pull Request’и на GitHub. Усі ідеї видимі кожному до суддівства.
  • Публічні PR відкривають усі ідеї до оцінювання
  • Подія про конфіденційність без конфіденційності подань
  • Немає журналів доступу чи аудиторського сліду

Прогалина в підсумку

Рівень захисту DevPost Devfolio DoraHacks TAIKAI Хоч хтось?
Завантаження подань Так Так Так Так Так
Журнал доступу Ні Ні Ні Ні Ні
Блокчейн-мітки часу Ні Ні Частково Частково Ні
Аудит суддів Ні Ні Ні Ні Ні
Розв’язання спорів Ні Ні Ні Ні Ні
Захист ІВ Ні Ні Ні Ні Ні

Кожна платформа опікується логістикою. Жодна не опікується цілісністю.

Частина II: Це вже відбувається — 6 задокументованих випадків (2025–2026)

Вищеописані прогалини — не теоретичні. Ми дослідили 6 хакатонних подій, де відсутність безпеки подань призвела до реальної шкоди — плагіату, привласнення ІВ, несправедливої дискваліфікації, упередженого суддівства та цензури. Усі випадки з 2025–2026 років і публічно задокументовані з джерелами.

1
Повне копіювання проєкту разом із демо-відео
ETHGlobal → HackQuest • Вересень 2025

Команда створила KagamiAI на ETHGlobal New Delhi у вересні 2025 року, де проєкт увійшов до 10 фіналістів із 616 проєктів. Команда працювала весь вікенд і зібрала реальні відгуки користувачів.

Невдовзі інший учасник скопіював весь проєкт — код, застосунок і навіть демо-відео (яке містило голос одного з членів оригінальної команди) — і подав його на інший хакатон (HackQuest).

Оригінальна команда задокументувала все публічно і закликала заблокувати плагіатора. Оригінальна команда закликала видалити скопійоване подання.

2
Порядкове копіювання коду з відкритого проєкту
SuperteamIN • Жовтень 2025

Розробник Shubh створив getblink.fun — no-code платформу для створення Solana Blinks (193 коміти, створена у серпні 2024). Він двічі подавав заявку на грант SuperteamIN і отримав відмову обидва рази, після чого закрив проєкт через витрати.

Інший розробник, який раніше писав Shubh у приватних повідомленнях із проханням допомогти й отримав посилання на репозиторій «для навчання», скопіював усю кодову базу порядково, перейменував її у «Blinker» і виграв грант SuperteamEarn.

Коли йому пред’явили порівняння коду, копіювальник заблокував оригінального автора й видалив усе — акаунт, вебсайт і репозиторій. SuperteamIN визнав звернення про плагіат і розпочав розслідування.

3
Умови хакатону, що привласнюють усі права ІВ
CRED Rabbit Hole • Березень 2025

CRED, індійська фінтех-компанія, заснована Kunal Shah, анонсувала AI-хакатон Rabbit Hole із призовим фондом ₹50 лакхів (~$60 000). Початкові умови зазначали, що усі права інтелектуальної власності на подання «вважатимуться роботою за наймом» і що CRED володітиме всім, створеним під час заходу.

Реакція була миттєвою і масовою. Допис розробника Aditya Oberai, який назвав це «майстер-класом із того, як НЕ організовувати хакатон», зібрав понад 1 100 лайків. Юрист з ІВ попередив учасників, що умови фактично «хитро просять віддати ідею, побудувати її для них і не отримати нічого натомість».

З’явилися додаткові скарги: CRED вимагав «Вхід через CRED» для реєстрації (не пов’язано з хакатоном) і проводив кредитні перевірки заявників без чіткого повідомлення.

Kunal Shah відповів протягом 24 годин: «Справедливі зауваження щодо ІВ. Не повинно було бути з самого початку. Прибираємо.» Умови були переглянуті: «Учасники зберігають усі права на свої подання.»

4
Відкладена дискваліфікація без публічних доказів
Ethereum Argentina (Devconnect Buenos Aires) • Листопад 2025 → Лютий 2026

На хакатоні Devconnect Buenos Aires в листопаді 2025 року команда створила два окремі проєкти в різних репозиторіях з незалежними історіями комітів. ETHGlobal надав інфраструктуру платформи (систему подання, інструменти оцінювання), тоді як Ethereum Argentina займалася локальною організацією. Один член команди починав самостійно, потім приєднався другий для виконання вимоги щодо 2–5 осіб у команді. Обидва проєкти були схвалені, пройшли суддівство, і один виграв приз.

У лютому 2026 — через понад два місяці — команду дискваліфікували за «фармінг» і «спільну кодову базу» — без надання жодного технічного порівняння коду як доказу. Дискваліфікація була повідомлена через платформу ETHGlobal.

Коли команда запросила докази — diff, аналіз комітів, будь-що, що показало б спільність кодових баз — їх не надали. Згодом команді заблокували комунікацію. Правила дискваліфікації існували лише на сторінці FAQ, а не в офіційних правилах заходу. Цей випадок ілюструє нечіткі межі відповідальності між інфраструктурою ETHGlobal та локальним організатором.

5
Хакатон на $1M+ із географічним упередженням і придушенням критики
Bolt • Червень–Серпень 2025

Хакатон Bolt — позиціонований як «найбільший у світі хакатон» зі 130 000+ зареєстрованих розробників і понад $1 млн призових — зіткнувся з детальною критикою на Hacker News:

17 із 20 основних призів отримали проєкти зі США, Канади та ЄС — попри те, що ці регіони становили лише ~25% учасників. Щонайменше один переможець подав проєкт без робочого демо — лише скріншоти localhost і те, що критики описали як «відео, згенероване AI». Інший переможець, за повідомленнями, не подав розгорнуту URL, хоча hosted URL були обов’язковими за правилами.

Коли учасники висловили занепокоєння, Bolt модерував їх із Reddit і Discord та блокував критиків.

Кілька учасників незалежно підтвердили скарги, зазначивши, що їхні повністю функціональні розгорнуті проєкти програли поданням із непрацюючими демо.

6
Усі призи — коледжу-організатору, зовнішні команди проігноровано
Geethanjali College of Engineering • Березень 2025

На 48-годинному хакатоні, організованому Geethanjali College of Engineering and Technology у березні 2025 року, зовнішні учасники сплатили ₹450 з особи за участь і створили повністю функціональні проєкти.

Усі 6 призів — по 2 у кожній із 3 категорій (AI/ML, IoT, Open Innovation) — отримали виключно команди з коледжу-організатора. Учасники повідомили, що кілька проєктів-переможців були «копією з GPT» без розуміння базового коду, а проєкт одного переможця в категорії IoT взагалі не працював.

Коли зовнішні команди подали скарги в груповому чаті заходу, організатори видалили дозволи на публікації й проігнорували подальшу комунікацію.

Частина III: Паттерн повторюється — ще 2 випадки (2025)

Випадки вище не обмежуються елітними подіями. Ті самі структурні збої повторюються на кожному рівні — від університетських хакатонів до міжплатформних схем фармінгу.

7
Упереджене суддівство + відсутність базових зручностей
HackWithUttarPradesh, Chandigarh University • Листопад 2025

На HackWithUttarPradesh, який проходив у Chandigarh University в листопаді 2025 року, один зовнішній учасник повідомив:

• Їжу не надали, попри обіцянки
• Учасники спали в коридорах
• Упереджене суддівство на користь внутрішніх команд
• Зовнішні команди повністю проігноровано під час оцінювання
• Загальне враження описали як «промо коледжу, а не хакатон»

Паттерн ідентичний Випадку 6 (Geethanjali College) — заклад-організатор забирає всі призи, зовнішні учасники — статисти.

8
Один проєкт фармиться на кількох хакатонах
ETHIndia, Devfolio • Грудень 2025

У грудні 2025 року член спільноти задокументував, що відомі лідери криптоспільноти «переходять із хакатону на хакатон, подаючи один і той самий проєкт повторно без жодного сорому» — позначивши ETHIndia, Devfolio та інші заходи.

Жодна платформа не перевіряє, чи подання вже перемагало в іншому місці. Міжплатформної верифікації не існує. Та сама кодова база, те саме демо, та сама презентація — різні призові фонди.

Паттерн

Це не ізольовані інциденти. Це 8 симптомів однієї й тієї самої структурної прогалини — від університетських заходів до змагань на $1M+:

Примітка: ETHGlobal включений у розділ аудиту вище (як аудит інфраструктури платформи), але не в цю таблицю патернів, оскільки Випадок 4 стосується заходу, організованого Ethereum Argentina (Devconnect Buenos Aires) як локальним організатором.

Випадок Тип
KagamiAI (ETHGlobal → HackQuest) Плагіат проєкту
getblink.fun (SuperteamIN) Крадіжка коду
CRED Rabbit Hole Привласнення прав ІВ
Ethereum Argentina (Devconnect Buenos Aires) Несправедлива дискваліфікація
Bolt Hackathon Упереджене суддівство + цензура
Geethanjali College Конфлікт інтересів
HackWithUttarPradesh Упереджене суддівство
Міжплатформний фармінг Мультиподійне шахрайство

Не всі ігнорують проблему

Дві організації в нашому розслідуванні відреагували на порушення цілісності конкретними діями. SuperteamIN (Випадок 2) визнав звернення про плагіат і розпочав розслідування. CRED (Випадок 3) переглянув хижацькі умови щодо ІВ протягом 24 годин після публічного обурення. Ці реакції демонструють, що коли організації серйозно ставляться до цілісності, система здатна до самокорекції — але лише коли проблеми стають публічними. Питання в іншому: навіщо чекати публічного інциденту, коли превентивна інфраструктура існує?

Юридична перспектива

Фахівці з права ІВ вже позначили безпеку подань на хакатонах як зростаючу проблему. У справі CRED Rabbit Hole юрист з ІВ публічно попередив, що умови хакатону фактично означали безкоштовну роботу учасників на організатора — ризик, який більшість учасників навіть не розглядають. Рішення суду Марселя у березні 2025 року, яке визнало блокчейн-мітки часу дійсними доказами авторського права, встановлює правову базу: інструменти захисту ІВ існують, і суди їх визнають. Прогалина — у впровадженні, а не в технології.

Чому ситуація погіршується, а не покращується

01
AI-згенерований код — це стандарт
Із Cursor, Copilot і Claude, що пишуть код на хакатонах, дві команди можуть створити схожі подання випадково. Без аудиторського сліду немає способу відрізнити збіг від копіювання.
02
Призові фонди зростають
Заходи на $1M+ (Avalanche, Hedera, ETHDenver, Bolt) створюють реальні фінансові стимули для обману системи. Зі зростанням ставок зростає і мотивація зловмисників.
03
Міжплатформний фармінг зростає
Той самий проєкт подається на ETHIndia, Devfolio, HackQuest та інші — вигравши призи на кожному. Жодна платформа не перевіряє, чи подання вже перемагало в іншому місці.
04
Формується правовий прецедент
У березні 2025 року суд Марселя визнав блокчейн-мітки часу дійсним доказом авторського права (€11 900 збитків). Блокчейн-докази юридично визнані — але жоден хакатон їх не використовує.
05
Конфіденційність і верифікація стають ключовою крипто-інфраструктурою

У лютому 2026 року Changpeng Zhao (CZ) попередив, що відсутність конфіденційності «може бути відсутньою ланкою для масового прийняття криптоплатежів» — зазначивши, що ончейн-транзакції розкривають хто кому і скільки платить. Та сама логіка стосується хакатонів: коли подання, призначення суддів і оцінки знаходяться на платформах без контролю доступу, процес прозорий у найгіршому сенсі — видимий для тих, хто хоче його експлуатувати, невидимий для тих, хто хоче його аудитувати.

Того ж тижня Vitalik Buterin окреслив бачення криптографічної верифікації як інфраструктури за замовчуванням — включаючи «заставні депозити з ончейн-розв’язанням спорів», «ZK-конфіденційність платежів і репутації» та принцип, який він відстоює роками: «не довіряй; верифікуй усе». В окремому дописі він підтримав модель, що замінює ідентичність на стейк — де учасники вносять заставу, діють анонімно і зазнають штрафних санкцій у разі зловживання.

Коли засновники двох найбільших блокчейн-екосистем незалежно кажуть, що верифікація зі збереженням конфіденційності має бути вбудована в інфраструктуру — а не прикручена після — відсутність цих захистів у поданнях на хакатони стає більш помітною, а не менш. Технологія існує. Потреба чітко виражена на найвищому рівні. Прогалина — у впровадженні.

Найкращий захист — не секретність. Це докази.
Фіксуйте все. Довіряйте міткам часу. Блокчейн не бреше.

Проблема задокументована. Рішення відомі. Бракує впровадження.

Джерела

  1. ETHGlobal Events: ethglobal.com/events
  2. Фіналісти ETHGlobal New Delhi 2025 (KagamiAI): x.com/ETHGlobal/status/1972276802270925116
  3. Тред про плагіат KagamiAI: x.com/kararsweta/status/1976620328832094629
  4. Допис із доказами KagamiAI: x.com/SoumikBaksi/status/1976615890042118231
  5. Оригінальний репозиторій getblink.fun: github.com/shubhiscoding/getblink.fun
  6. Тред про крадіжку коду getblink.fun: x.com/LookWhatIbuild/status/1977478395022950907
  7. Обурення щодо ІВ CRED Rabbit Hole: x.com/adityaoberai1/status/1902613859023847892
  8. CRED Rabbit Hole — висвітлення OfficeChai (вкл. відповідь Kunal Shah): officechai.com
  9. Тред про дискваліфікацію Ethereum Argentina (Devconnect Buenos Aires): x.com/CaptainCodeOnX/status/2021551261435429190
  10. Обговорення чесності Bolt Hackathon (Hacker News): news.ycombinator.com/item?id=44702465
  11. Критика Bolt Hackathon: x.com/0xPaulius/status/1949427171769934070
  12. Тред про упередженість хакатону Geethanjali College: x.com/mani_yadla_/status/1904515471430566362
  13. HackWithUttarPradesh — упереджене суддівство: x.com/AvAwasthi/status/1985223392015056964
  14. Міжплатформний фармінг проєктів: x.com/_KxrMa_G/status/2002047507308982565
  15. Суд Марселя — блокчейн як юридичний доказ: euipo.europa.eu
  16. Goodwin Law — блокчейн-мітки часу у Франції: goodwinlaw.com
  17. AI-хакатон TCS (281 000 учасників): tcs.com
  18. Avalanche Build Games (призовий фонд $1M): build.avax.network/build-games
  19. Web3Privacy Now — подання берлінського хакатону: github.com/web3privacy/hackathon-2025-berlin-submissions
  20. CZ про конфіденційність як відсутню ланку для прийняття криптоплатежів (15 лютого 2026): x.com/cz_binance/status/2023016538677371079
  21. Vitalik Buterin — AI + Ethereum: заставні депозити, ончейн-розв’язання спорів, ZK-конфіденційність (9 лютого 2026): x.com/VitalikButerin/status/2020963864175657102
  22. Vitalik Buterin — ZK-конфіденційність репутації (11 лютого 2026): x.com/VitalikButerin/status/2021594878162157948
  23. Vitalik Buterin / Davide Crapis — заміна ідентичності стейком (11 лютого 2026): x.com/VitalikButerin/status/2021586150973206827
Ми створюємо першу публічну базу даних порушень цілісності хакатонів.

Ваш проєкт скопіювали? Зіткнулися з несправедливим суддівством? Дискваліфікували без доказів?

Ваша історія — навіть анонімна — стає частиною доказової бази.

security@coindisplayhub.com Подати анонімно через Telegram

Усі подання розглядаються нашою дослідницькою командою. Особу автора анонімного повідомлення ніколи не розкривають без його явної згоди.

AI Access Note: This is a static HTML version optimized for AI systems and language models. User-Agent detected: Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; ClaudeBot/1.0; +c...