我们研究了12场总奖金超400万美元的黑客松,没有一场保护参赛作品。
审计了12场赛事。识别了6项基础设施缺陷。记录了8起真实的抄袭、知识产权侵占和不公正评审案例——均来自公开信息,经独立核实。
去年的一场黑客松上,某团队在第一轮展示了自己的创意。两周后,另一个团队——来自同一评审组——提交了一个高度相似的方案。没有审计日志,没有访问记录,无法证明谁看过什么、何时看过。
原创团队无处申诉。涉嫌抄袭的团队未受任何审查。而赛事组织方即便有意调查,也缺乏相应工具。
我们曾以为这只是个案。随后我们研究了横跨四大洲的12场黑客松——发现这才是常态。
研究方法:2026年1月至2月间,我们审查了12场黑客松赛事的公开提交流程、赛事规则、评审架构及社交媒体报道。我们还研究了2025年至2026年2月间8起有据可查的作品安全事故案例。我们查阅了平台文档(DevPost、Devfolio、DoraHacks、TAIKAI)、各赛事规则页面、公开的GitHub仓库、法庭记录及参赛者的第一手叙述。所有调查结果均可通过本文引用的来源独立核实。
征求意见:所有被提及的组织均在发表前收到联系。ETHGlobal CEO Kartik Talwar做出了详细回应,指出团队会被告知哪些评委评审了他们的作品,所有提交都带有时间戳(服务器端,非区块链),争议通过电子邮件和支持渠道处理,且自2017年以来超过15,000个项目提交中没有关于问责的公开投诉。他的完整立场反映在下方ETHGlobal审计部分。Avalanche Foundation、BNB Chain(通过DoraHacks)、Chainlink、Web3Privacy Now和TCS未做回应。SuperteamIN和CRED针对各自的事件进行了公开回应(详见案例2和案例3)。
这不是个例,而是常态。
所有主流黑客松平台——DevPost、Devfolio、DoraHacks、TAIKAI——都专注于赛事运营。没有一个保护参赛者提交的作品。
奖金之外:为什么这件事至关重要
黑客松不仅仅是比赛——它们是进入Web3领域的主要入口。这条路径已被充分验证:开发者参加黑客松、构建首个项目、被协议团队发现、获得资助、最终发展成为真正的基础设施。Uniswap、Filecoin、ENS以及数十个主要协议都起源于黑客松参赛作品。
当作品安全失守时,受影响的不只是单个团队——整条人才输送管道都会被侵蚀。一个在首次黑客松中被抄袭的开发者不会再回来。一个眼看奖项授予抄袭作品的建设者会停止创造。生态系统失去的不是被竞争对手夺走的人才,而是被幻灭感击退的下一代贡献者。
这不是关于保护奖金。而是关于保护培育下一代Web3建设者的机制。如果黑客松失去公信力,整个生态系统的人才管道就会断裂。
问题的规模
仅2025年一年,ETHGlobal——最大的以太坊黑客松组织方——在五大洲举办赛事,向超过10,000名开发者发放了总计超过200万美元的奖金。单场赛事奖金池已超过100万美元(ETHDenver、Avalanche Build Games、Hedera)。
企业黑客松的规模更为庞大——TCS举办了一场拥有281,000名参赛者、覆盖58个国家的AI黑客松,参赛作品将被评估用于商业集成。
然而,每个主要黑客松平台关注的都是同一件事:注册、组队、评审表单。没有访问日志。没有共享材料的保管链。没有正式的争议解决机制。没有审计追踪。
第一部分:基础设施缺口——6场主要黑客松审计
我们首先审计了6个主要黑客松项目的作品安全状况——从最大的以太坊赛事到企业级竞赛。需要明确的是:这些并非指控,而是对公开记录流程的观察。以下列出的每个组织方都在举办合法且出发点良好的赛事。问题不在于能力不足——而在于尚不存在的基础设施的缺失。
- 无法独立验证的评委-作品分配记录
- 所有提交作品在评审前后均公开可见
- 无已发布的带有明确时限的争议解决流程
- 提交作品无区块链时间戳
- 6周时间窗口内创意暴露,无审计追踪
- 作品提交无访问日志
- "长期意图"评估缺乏验证手段
- 评委访问作品无审计追踪
- 社区投票易受巨鲸操纵
- 无争议解决流程
- 公开GitHub仓库——评审前即可查看
- 隐私赛道却无作品隐私保护
- 通过Airtable表单提交作品
- 商业产品无知识产权保管链
- 未达到企业级审计标准
- AI评估作品存在合规风险
- 公开PR导致所有创意在评审前暴露
- 以隐私为主题的赛事却无作品隐私保护
- 无访问日志或审计追踪
差距一览
备注:该表比较的是黑客松平台——多个组织方用于举办赛事的服务(DevPost、Devfolio、DoraHacks、TAIKAI)。像ETHGlobal这样的赛事组织方使用自己的专有提交系统,在上方的审计卡片中单独评估。
| 保护层级 | DevPost | Devfolio | DoraHacks | TAIKAI | 任一? |
|---|---|---|---|---|---|
| 作品上传 | 有 | 有 | 有 | 有 | 有 |
| 访问日志 | 无 | 无 | 无 | 无 | 无 |
| 区块链时间戳 | 无 | 无 | 部分 | 部分 | 无 |
| 评委审计追踪 | 无 | 无 | 无 | 无 | 无 |
| 争议解决 | 无 | 无 | 无 | 无 | 无 |
| 知识产权保护 | 无 | 无 | 无 | 无 | 无 |
每个平台都在管理赛事运营。没有一个平台在守护赛事诚信。
第二部分:问题已在发生——6起有据可查的案例(2025-2026)
上述基础设施缺口并非理论推演。我们研究了6场黑客松赛事,作品安全的缺失导致了实际危害——抄袭、知识产权侵占、不公正取消资格、偏颇评审和言论压制。所有案例均来自2025-2026年,有公开来源佐证。
一个团队在2025年9月的ETHGlobal新德里站开发了KagamiAI,该项目从616个项目中入选前10名。团队在整个周末紧张工作,并收集了真实用户反馈。
不久后,另一名参赛者抄袭了整个项目——代码、应用程序,甚至演示视频(其中包含原团队成员的声音)——并提交给了另一场黑客松(HackQuest)。
原团队公开记录了所有证据,呼吁HackQuest删除欺诈性提交。
开发者Shubh创建了getblink.fun——一个无代码的Solana Blinks创建平台(193次提交,创建于2024年8月)。他两次申请SuperteamIN资助均被拒绝,后因成本原因关闭了项目。
另一位开发者此前曾私信Shubh请教,获得了仓库链接"用于学习",随后逐行复制了整个代码库,改名为"Blinker",并赢得了SuperteamEarn资助。
当面对逐行代码对比的证据时,抄袭者封锁了原作者并删除了一切——账号、网站和代码仓库。SuperteamIN确认收到举报并开始调查该事件。
印度金融科技公司CRED(由Kunal Shah创立)宣布举办Rabbit Hole AI黑客松,奖金5000万卢比(约6万美元)。原始条款规定参赛作品的所有知识产权"视为雇佣作品",CRED将拥有赛事期间创作的一切。
反响迅速而强烈。开发者Aditya Oberai称其为"如何不应该组织黑客松的教科书案例",该帖获得超过1,100个点赞。一位知识产权律师警告参赛者:这些条款实质上是"精明地让你提供创意、为他们构建产品、却什么都不给你"。
还有人反映:CRED要求使用"Login with CRED"注册(与黑客松无关),并在未明确告知的情况下对申请者进行信用评分查询。
Kunal Shah在24小时内回应:"关于知识产权的批评是合理的。一开始就不应该有这些条款。已撤除。"条款修改为:"参赛者拥有各自提交作品的全部权利。"
2025年11月Devconnect布宜诺斯艾利斯期间,同一城市举办了两场独立的黑客松。ETHGlobal的赛事(475个项目,50万美元奖金)按时向所有获奖者支付奖金,没有公开争议。与此同时,Ethereum Argentina在TAIKAI上举办的"Tierra de Buidlers"黑客松(约355名参赛者,约3万美元奖金)呈现了不同的结果。
在Ethereum Argentina黑客松上,一个团队在不同仓库中开发了两个独立项目,有各自独立的提交历史。一名成员先独立开始,后另一人加入。两个项目均通过审核,进入评审环节,其中一个获得了奖项。
2026年2月——超过两个月后——该团队被以"刷奖"和"共享代码库"为由取消资格——但未提供任何代码对比作为技术证据。
当团队要求提供证据——代码差异对比、提交分析,任何能证明代码库共享的材料——均未获得回应。团队随后被切断了沟通渠道。
对比鲜明:在同一届Devconnect上,一个组织方(ETHGlobal)在大规模赛事中运行了透明流程并顺利支付奖金;另一个(Ethereum Argentina)则在数月后取消了获奖团队的资格,且未提供技术证据。
Bolt黑客松——号称"全球最大黑客松",13万+注册开发者,超过100万美元奖金——在Hacker News上遭到详细质疑:
20个主要奖项中有17个授予了来自美国、加拿大和欧盟的项目——尽管这些地区仅占参赛者总数的约25%。至少有一个获奖项目没有可运行的演示——仅有localhost截图和被批评者称为"AI生成视频"的内容。另一个获奖项目据报未提交部署URL,尽管规则明确要求提供托管URL。
当参赛者提出质疑时,Bolt在Reddit和Discord上删除了相关讨论,并封禁了批评者的发言权限。
多名参赛者独立证实了上述投诉,指出他们功能完备、已部署的项目输给了无法运行的演示作品。
在2025年3月Geethanjali工程技术学院组织的48小时黑客松上,外部参赛者每人支付450卢比参赛,并构建了功能完整的项目。
全部6个奖项——3个类别(AI/ML、IoT、开放创新)各2个——全部授予了主办院校的团队。参赛者反映,部分获奖项目是"GPT复制粘贴",获奖者对底层代码毫无理解,其中一个IoT类获奖项目根本无法运行。
当外部团队在赛事群组中提出投诉时,组织方删除了发言权限,此后对所有反馈不予回应。
第三部分:模式重现——另外2起案例(2025)
上述案例并非仅限于顶级赛事。同样的结构性缺陷在各个层面重复出现——从高校黑客松到跨平台刷奖行为。
在2025年11月昌迪加尔大学主办的HackWithUttarPradesh上,一名外部参赛者反映:
• 承诺提供的餐食未兑现
• 参赛者在走廊中睡觉
• 评审偏向内部团队
• 外部团队在评估中被完全忽视
• 整体体验被形容为"一场院校宣传活动,而非黑客松"
该模式与案例6(Geethanjali学院)完全一致——主办机构包揽所有奖项,外部参赛者沦为陪衬。
2025年12月,一位社区成员记录了知名加密社区领袖"毫无羞耻地从一场黑客松转战另一场,反复提交同一个项目"——并@了ETHIndia、Devfolio及其他赛事。
没有平台会检查一个作品是否已在其他赛事中获奖。不存在跨平台验证机制。同一套代码、同一个演示、同一套展示——不同的奖金池。
规律与模式
这些并非孤立事件。它们是同一结构性缺陷的8种表现——涵盖从高校赛事到百万美元级竞赛的所有类型:
| 案例 | 类型 |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | 项目抄袭 |
| getblink.fun (SuperteamIN) | 代码盗用 |
| CRED Rabbit Hole | 知识产权侵占 |
| Ethereum Argentina (Devconnect Buenos Aires) | 不公正取消资格 |
| Bolt黑客松 | 偏颇评审 + 言论审查 |
| Geethanjali学院 | 利益冲突 |
| HackWithUttarPradesh | 偏颇评审 |
| 跨平台刷奖 | 多赛事欺诈 |
并非所有人都在漠视问题
在我们的调研中,有两个组织针对诚信问题采取了切实行动。SuperteamIN(案例2)确认收到抄袭举报并开始调查;随后抄袭者删除了自己的账号、网站和代码仓库。CRED(案例3)在公众反弹后24小时内撤销了掠夺性的知识产权条款。这些回应表明,当组织方认真对待诚信问题时,制度可以自我纠正——但前提是问题已经公开化。问题在于:既然预防性基础设施已经存在,为什么还要等到公共事件发生才行动?
法律视角
知识产权法律专业人士已经将黑客松作品安全标记为一项日益严峻的问题。在CRED Rabbit Hole案例中,一位知识产权律师公开警告:该黑客松的条款实质上等于参赛者免费为组织方工作——这一风险是大多数参赛者从未考虑过的。2025年3月马赛法院的判决承认区块链时间戳为有效的版权证据,确立了法律框架:知识产权保护的工具已经存在且被法院认可。差距在于应用普及,而非技术本身。
为什么问题在恶化而非改善
2026年2月,赵长鹏(CZ)警告称隐私的缺失"可能是加密支付普及的缺失环节"——指出链上交易暴露了谁向谁支付了多少。同样的逻辑适用于黑客松:当提交作品、评委分配和评分都存放在没有访问控制的平台上时,流程的透明性是最糟糕的那种——对想钻漏洞的人一览无余,对想进行审计的人却无据可查。
同一周,Vitalik Buterin阐述了将密码学验证作为默认基础设施的愿景——包括"链上争议解决的安全保证金"、"ZK隐私支付和信誉",以及他多年来一直倡导的原则:"不要信任,验证一切。"在另一篇帖文中,他支持了一种以质押替代身份的模型——参与者缴纳保证金,匿名行事,若滥用系统则面临罚没。
当两个最大区块链生态系统的创始人不约而同地表示:隐私保护验证需要内嵌到基础设施中——而非事后补救——黑客松作品提交中缺乏这些保护就更加显眼,而非更不显眼。技术已经存在。需求正在最高层被明确表达。差距在于应用普及。
最好的防御不是保密,而是证据。
记录一切。信任时间戳。区块链不会说谎。
问题已被记录。解决方案已知。缺失的是应用普及。
信息来源
- ETHGlobal赛事:ethglobal.com/events
- ETHGlobal 2025新德里站十强(KagamiAI):x.com/ETHGlobal/status/1972276802270925116
- KagamiAI抄袭事件讨论串:x.com/kararsweta/status/1976620328832094629
- KagamiAI证据帖:x.com/SoumikBaksi/status/1976615890042118231
- getblink.fun原始仓库:github.com/shubhiscoding/getblink.fun
- getblink.fun代码盗用讨论串:x.com/LookWhatIbuild/status/1977478395022950907
- CRED Rabbit Hole知识产权争议:x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole——OfficeChai报道(含Kunal Shah回应):officechai.com
- Ethereum Argentina(Devconnect布宜诺斯艾利斯)取消资格讨论串:x.com/CaptainCodeOnX/status/2021551261435429190
- Bolt黑客松公平性讨论(Hacker News):news.ycombinator.com/item?id=44702465
- Bolt黑客松批评:x.com/0xPaulius/status/1949427171769934070
- Geethanjali学院黑客松偏见讨论串:x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh——偏颇评审:x.com/AvAwasthi/status/1985223392015056964
- 跨平台刷奖:x.com/_KxrMa_G/status/2002047507308982565
- 马赛法院——区块链作为法律证据:euipo.europa.eu
- Goodwin Law——法国区块链时间戳:goodwinlaw.com
- TCS AI黑客松(281,000名参赛者):tcs.com
- Avalanche Build Games(奖金池100万美元):build.avax.network/build-games
- Web3Privacy Now——柏林黑客松作品:github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ谈隐私是加密支付普及的缺失环节(2026年2月15日):x.com/cz_binance/status/2023016538677371079
- Vitalik Buterin——AI + Ethereum:安全保证金、链上争议解决、ZK隐私(2026年2月9日):x.com/VitalikButerin/status/2020963864175657102
- Vitalik Buterin——ZK隐私信誉(2026年2月11日):x.com/VitalikButerin/status/2021594878162157948
- Vitalik Buterin / Davide Crapis——以质押替代身份(2026年2月11日):x.com/VitalikButerin/status/2021586150973206827
您的项目被抄袭过吗?遭遇过不公正评审?被无凭据取消资格?
您的经历——即使匿名——都将成为证据的一部分。
所有提交内容均由我们的研究团队审核。匿名举报者的身份在未获得本人明确许可前,绝不会被公开。