作者:WquGuru
写作背景
在正式展开这个故事之前,我需要说明自己在这个事件中的位置。
我是一个旁观者和分析者。在Nofx项目爆火期间,我曾开发过nof0项目——二者灵感均来自nof1。在开发过程中,我与Nofx的核心成员Tinkle和Zack都有过沟通交流,主要围绕技术实现和开源协作展开。
需要明确的是:我与Nofx团队之间仅有技术交流,没有任何商业合作关系;与ChainOpera AI(COAI)团队则无直接接触。在撰写这篇文章时,我尽力保持客观中立的立场,所有分析和判断都基于公开可查的资料,包括GitHub记录、社交媒体发言、安全报告等。
事件时间跨度:
2025年10月底:Nofx项目启动,短短2个月在GitHub获得近9000星
2025年11月:安全漏洞暴露,SlowMist发布安全警告(黑客门)
2025年12月:开源协议争端爆发(开源门),同时团队内部分裂浮出水面(内斗门)
整个事件持续约2个月,却集中暴露了Web3开源运动中的多重矛盾。
写作这篇文章的目的,不是为了站队或指责任何一方,而是希望:
完整记录这一Web3开源运动的典型案例
探讨开源精神与商业利益之间的深层冲突
为行业未来的规范建设提供反思和参考
现在,让我们从头开始梳理这个复杂的故事。
序幕:一个AI交易项目的爆红
2025年10月底,一个名为Nof1的AI自动交易项目在推特引爆。短短数天,它的多个开源版本——包括nof0、nofx等——在GitHub上获得了数千star。其中,Nofx项目从10月底开始开发,到12月已经积累了超过9000个star,成为AI Trading领域最受关注的开源项目之一
然而,仅仅两个月后,这个明星项目陷入三重危机:
黑客门:区块链安全公司SlowMist披露,Nofx存在严重安全漏洞,导致全网1000多个部署实例的用户交易所API密钥、私钥、钱包地址完全暴露。Binance、OKX等主流交易所紧急介入,协助受影响用户更换凭证。
内斗门:项目核心成员Tinkle公开指控另一位联合创始人Zack"仅参与14天、贡献几行代码"却索要50%股权和50万美元。Zack则通过律师发出正式法律文件,指控Tinkle"侵吞资产、利益输送",并提供了显示双方各持50%股权的合伙企业注册文件。
开源门:Nofx公开指控融资1700万美元的ChainOpera AI(COAI)违反AGPL开源协议,在未开源的情况下使用其代码部署商业产品。COAI则反驳称,Nofx在11月3日仍是MIT协议,11月4日才改为AGPL,且其产品使用Python开发,与Nofx的Go实现完全不同。
一个社区热捧的开源项目,为何会在短短两个月内陷入如此复杂的多重危机?这背后暴露了开源社区、创业团队、投资生态的哪些系统性问题?让我们通过五个关键问题,深入剖析这场风波。
问题1:开源协议真的被违反了吗?
MIT与AGPL:两种截然不同的开源哲学
在讨论Nofx与COAI的协议争端之前,我们需要理解两种开源协议的根本差异:
MIT License(麻省理工学院许可证)是最宽松的开源协议之一。它允许:
自由使用、修改、分发代码
用于商业目的无需开源
唯一要求:保留原作者版权声明
AGPL v3.0(GNU Affero通用公共许可证)则是最严格的开源协议之一。它要求:
任何使用该代码的项目必须同样开源
特别地,即使通过网络提供服务(如SaaS),也必须公开源代码
必须在明显位置标注原项目信息
从MIT到AGPL,是从"极度宽松"到"极度严格"的180度转变。这也是本次争议的核心。
协议变更与时间争议
Nofx项目的开源协议从MIT变更为AGPL,但具体变更时间成为争议焦点,这个时间点至关重要,因为它直接决定了ChainOpera(COAI)团队在fork代码时应当遵守的协议。
双方证据对比:
Nofx团队提供了GitHub commit记录,显示协议文件修改时间
COAI团队则指出,根据他们的记录和观察,协议变更的公开时间点存在疑问
ChainOpera的"抄袭"指控
Nofx社区发现融资1700万美元、在Binance Alpha上线的ChainOpera(COAI)项目,其代码与Nofx高度相似。
Nofx方面的指控:
COAI在未标注来源、未公开源码的情况下使用了Nofx的代码
根据当时生效的AGPL协议,COAI应该: 明确标注代码来源 公开修改后的源码 同样采用AGPL协议
COAI方面的回应:
主张自己fork代码时,Nofx仍采用MIT协议
MIT协议允许商业使用且无需公开源码
协议变更时间点的争议影响了整个事件的性质判断
开源协议争端:谁对谁错?
这场争端暴露了Web3开源生态中的深层次问题:
协议变更的有效性问题:
追溯效力争议:开源协议变更是否对已fork的代码有约束力?
时间点认定:协议变更的确切时间难以完全确定,双方各执一词
证据可信度:GitHub记录可能被修改,需要更权威的第三方验证
协议变更传递:MIT变更为AGPL,多大程度向社区传递了这个消息
商业利益的冲突:
COAI获得大额融资并上线Binance,商业价值巨大
Nofx作为开源项目,商业化路径不明确
核心矛盾:开源共享精神与商业利益保护之间的平衡难题
社区观点分化:
支持Nofx者认为,COAI利用开源代码获利却不回馈社区
支持COAI者认为,MIT协议本就允许商业使用,且协议变更时间存疑
中立观察者指出,时间争议是关键,需要更可靠的证据来判断
法律与技术的灰色地带:
开源协议在链上项目中的法律效力尚不明确
GitHub记录的可篡改性削弱了其作为证据的可信度
Web3行业缺乏成熟的开源纠纷解决机制
小结:一场有争议的指控
从目前公开的证据看,Nofx对COAI的开源协议侵权指控存在多处疑点:
时间节点存疑:GitHub证据显示11月4日才改AGPL
技术实现不同:接口命名相同不代表代码相同
日志解释合理:MIT阶段插入的统计功能会持续记录
自身涉嫌违规:未告知用户植入统计,可能违反隐私法案
沟通程序草率:同分钟发邮件和公开指控
值得注意的是,协议变更时间的争议对整个事件性质判断具有决定性影响。如果Nofx的主张成立,COAI确实存在违反AGPL协议的问题;但如果COAI的主张成立,他们的行为则完全符合MIT协议的规定。这个时间点的认定,仍需更权威的第三方验证
问题2:14天能值50%股权吗?
如果说开源门是Nofx与外部的争议,那么内斗门则是这个项目内部矛盾的公开化——一场关于"贡献"与"价值"的创始团队争夺战。
时间线:从加入到对抗
2025年10月28日:Nofx开始开发;
2025年10月29日:Zack加入项目(此时项目刚开源一天);
2025年11月初:Zack提出要50%股权,理由是能介绍Amber Group参与商业化;
2025年11月初:Tinkle拒绝给50%股权,认为自己是团队CEO兼CTO,Zack贡献不足;
2025年11月19日:Zack的律师(君合律师事务所香港办公室)发出正式的"无损权益和解要约"(Without Prejudice Save as to Costs),要求支付50万美元回购Zack持有的50%股权;
2025年12月:矛盾公开化,双方在社交媒体互相指控;
从时间上看,Zack从加入到发律师函,前后不到一个月,这确实很短。
对峙:两份截然不同的证据
Tinkle的叙事:
Zack仅参与14天
贡献了几行代码("可查")
在项目已经开源、有数千TG群成员后才加入
以介绍Amber投资为筹码索要巨额股权
被拒后扣押项目推特账号
通过律师函索要50万美元,涉嫌敲诈勒索
Zack曾是Amber实习生,但未转正已离开
最终未能引入Amber投资
Zack的反击:
提供APEIRON LABS PTE. LTD.的公司注册文件
文件显示:Tinkle和Zack各持50%股权
这是新加坡公司注册系统的公开信息,任何人可验证
律师函是标准的"无损权益和解要约",符合商业法律程序
主体是Demand Letter,详细记录了Tinkle"侵吞资产、利益输送"的行为
50万美元不是敲诈,而是按低估值回购Zack的合法权益
反问:如果公司有价值,按100万美元估值回购50%股权不是很合理吗?如果没价值,那Tinkle为何要说这是"勒索"?
核心矛盾:贡献如何量化?
这场争议的本质是一个古老的创业难题:技术贡献vs资源引荐,哪个更值钱?
从代码贡献角度,Tinkle的说法可能有一定道理。GitHub的commit记录是公开的,如果Zack确实只有少量代码的提交,这在技术圈是容易验证的事实。一个开发了60天的项目,另一个人参与14天,从时间和代码量来说,贡献差距确实巨大。
但从股权角度,Zack拿出了法律文件。APEIRON LABS PTE. LTD.的注册信息显示,双方签署的是50-50的股权分配协议。这意味着:
双方曾经达成过正式的法律协议
协议认可Zack持有50%权益
这不是口头承诺,而是在政府部门登记的法律事实
那么问题来了:为什么Tinkle会同意这样的股权分配?
Amber这张牌到底值多少?
关键变量是Amber Group——或者更准确说,是Amber的生态加速器amber.ac。
Zack的筹码是:他能介绍Amber参与Nofx的商业化。根据Tinkle的说法,Zack曾是Amber的实习生(虽然未转正已离开)。在加密行业,能引入顶级机构的背书和资金,确实是巨大的价值。
但最终的结果是:
Amber没有正式投资Nofx
Amber官方声明:与Nofx"无正式孵化、投资或商业合作关系"
Amber承认:曾有"友好交流",但未导向正式合作
这就产生了两种可能的解释:
解释A(支持Tinkle):Zack夸大了自己的资源能力,用空头支票换取股权,最终没能兑现承诺,却拒不交出股权,通过律师函要挟。
解释B(支持Zack):双方确实达成了股权协议,Zack尽力尝试引入Amber,但因Tinkle方面的问题(可能包括"侵吞资产、利益输送")导致投资未能落地。Zack作为合法股东,有权要求退出并获得补偿。
哪个解释更接近真相?这需要更多内部材料才能判断。
法律程序还是敲诈勒索?
Tinkle在社交媒体上公开Zack的律师函,并称其为"敲诈勒索"。这个指控很严重,因为敲诈勒索是刑事犯罪。
但Zack的回应揭示了法律程序的专业性:
"无损权益和解要约"(Without Prejudice Save as to Costs)是英美法系中的标准法律程序,用于商业纠纷的和解谈判。其特点是:
受法律保护,不能作为诉讼证据(除非涉及诉讼费用)
目的是鼓励双方和平解决争端
提出和解条件不构成勒索
主体是Demand Letter,列明对方的违约或侵权行为
Zack的律师函要求50万美元,但这个金额是基于:
Zack持有公司50%股权的法律事实
按照公司100万美元的保守估值计算
作为回购价格要求Tinkle买断Zack的股权
从法律角度,这是完全合法的和解谈判策略。如果Tinkle真认为这是"敲诈勒索",正确做法是报警,而不是发推文。
Zack的"最后警告"也很有力度:
"如果你们真认为这是勒索,请立即报警。如果没有胆量报警,就请停止这种荒谬的表演。"
被隐藏的指控:侵吞资产与利益输送
在这场公开对峙中,有一个细节值得注意:Zack提到,律师函的主体是一份详尽的Demand Letter,记录了Tinkle"侵吞合伙资产、实施非法手段共谋"的行为。
这份Letter的完整内容并未公开,但这个指控非常严重。如果属实,可能涉及:
挪用公司资金用于私人用途
与投资机构的个人进行利益交换
违反合伙企业的信义义务
Tinkle对这部分指控没有正面回应,只是说"不再回应此事,专注做产品"。
这种回避态度,反而让人好奇:Demand Letter里到底写了什么?
小结:一个无解的难题
创始团队的股权纠纷,在创业圈屡见不鲜。Nofx的案例之所以引发关注,是因为它浓缩了这类纠纷的典型矛盾:
口头承诺vs书面协议:如果没有书面股权协议,贡献如何认定?
技术贡献vs资源引荐:两种价值如何衡量?
期望落空的责任:引资失败是谁的责任?
法律程序vs道德审判:和解谈判是否等于敲诈?
从现有证据看:
Zack有法律文件支持其50%股权
Tinkle有代码贡献记录支持其主导地位
双方都有各自的narrative,但都缺乏完整证据链
最终的答案可能只能由法庭给出。但这个案例给所有创业团队的警示是:
股权分配要趁早、要书面、要明确
贡献量化要有客观标准(代码量、工作时间、资源价值)
重大决策要留存记录
纠纷发生时优先法律途径,而非舆论战
问题3:开源项目为何成为安全重灾区?
Nofx与COAI的协议之争和内部的股权纠纷前,一个更严重的危机也曾悄然发酵:安全漏洞。
2025年11月,区块链安全公司SlowMist发布了一份详细的安全分析报告,揭露了Nofx项目存在的严重安全隐患。这不是一般意义上的"小bug",而是可能导致用户资金全面失窃的重大漏洞。
漏洞时间线:从零认证到默认密钥
2025年10月31日 - Commit 517d0c:零认证的原罪
在这个commit中,Nofx的代码存在一个致命缺陷:
admin_mode默认设为true
中间件允许所有请求无验证通过
/api/exchanges接口完全开放
这意味着什么?任何人只要知道一个部署了Nofx的服务器地址,就可以直接访问/api/exchanges接口,获取:
api_key:用户的交易所API密钥
secret_key:交易所密钥
hyperliquid_wallet_addr:Hyperliquid钱包地址
aster_private_key:Aster平台的私钥
拿到这些信息,攻击者可以:
完全控制用户的交易所账户
进行虚假交易(wash trading)
直接提取资金
操纵市场价格
这是零防护的暴露,是安全设计的基本失误。
2025年11月5日 - Commit be768d9:"加固"的幻觉
可能是意识到了安全问题,Nofx团队在这个commit中添加了JWT(JSON Web Token)认证机制。从表面看,这是一次安全加固。
但问题在于:
默认的jwt_secret没有更改
如果用户没有设置环境变量,系统会回退到硬编码的默认密钥
/api/exchanges仍然以原始JSON格式返回所有敏感字段
这意味着:
攻击者可以使用默认密钥伪造JWT token
一旦获得有效token,所有密钥仍会完整泄露
"加固"版本在实际上仍然脆弱
这就像给一扇门加了一把锁,但钥匙就放在门口的地垫下面,所有人都知道。
2025年11月13日 - Dev分支:持续的隐患
即使到了11月13日,dev分支的代码仍然存在多项问题:
authMiddleware的实现仍有缺陷(api/server.go:1471–1511)
/api/exchanges继续直接返回完整的ExchangeConfig(api/server.go:1009–1021)
配置文件中仍然硬编码admin_mode=true和默认jwt_secret
主分支(origin/main)甚至还停留在10月31日的零认证版本
这不是偶然的疏忽,而是系统性的安全意识缺失。
发现与响应:SlowMist的关键行动
情报来源:安全研究者@Endlessss20向SlowMist提供了Nofx存在安全隐患的初始情报。
深度分析:SlowMist安全团队对Nofx的GitHub代码进行了完整审计,识别出上述两个主要认证问题。
全网扫描:更令人震惊的是,SlowMist进行了互联网范围的扫描,发现了超过1000个公开可访问的Nofx部署实例,其中许多使用默认或脆弱配置,用户凭证完全暴露。
这不是理论上的安全风险,而是正在发生的现实威胁。
紧急协调:鉴于风险的紧迫性,SlowMist立即联系了主流交易所:
向Binance和OKX安全团队提供情报
两家交易所独立进行交叉验证
使用获取的API密钥追踪受影响用户
通知用户并协助轮换密钥
阻止潜在的wash trading攻击
处理进展:截至2025年11月17日,所有中心化交易所(CEX)用户的暴露密钥已经处理完毕。但部分Aster和Hyperliquid用户由于钱包去中心化,难以直接触达,需要用户自查
影响范围:不只是技术问题
这次安全事件的影响远超技术层面:
直接受害者:
使用Nofx进行自动交易的1000 用户
涉及Binance、OKX、Hyperliquid等多个平台
暴露的不只是API密钥,还包括私钥和钱包地址
潜在损失:
如果攻击者在交易所介入前行动,用户资金可能全面失窃
AI自动交易系统的特点是高频、大额,损失可能非常惊人
信任崩塌:
社区对Nofx项目的安全性失去信心
对整个开源AI Trading生态产生质疑
开发者在选择开源项目时更加谨慎
深层追问:为何会出现如此低级的错误?
Nofx的安全漏洞不是高深的技术挑战,而是基本的安全常识:
认证机制应该默认开启,而非默认关闭
默认密钥应该是随机生成的,而非硬编码的
敏感数据应该加密或脱敏,而非明文返回
配置文件应该明确警告安全风险
这些是任何有经验的开发者都应该知道的原则。那么为什么Nofx会犯这些错误?
可能的原因:
快速开发优先:在AI Trading热潮中,抢占先机比安全更重要
团队经验不足:可能缺乏处理用户资金的安全经验
测试环境配置生产化:为了方便测试而关闭认证,结果这个配置进入了生产环境
安全审计缺失:开源项目往往缺乏专业的安全审计
但最根本的原因可能是:开源≠安全。
很多人以为,开源代码意味着"千万双眼睛"在审查,所以更安全。但现实是:
大多数用户只是使用者,不是审查者
即使发现问题,也不一定有能力或意愿提交修复
安全审计需要专业知识和大量时间
商业公司有安全团队,开源项目往往没有
责任边界:开源作者该承担多大责任?
这里引出一个有争议的问题:当用户因为使用开源软件的漏洞而遭受损失,开源作者是否应该承担责任?
从法律角度,大多数开源协议(包括MIT和AGPL)都有免责声明:
"软件按'原样'提供,不提供任何明示或暗示的保证...作者不对任何损害负责。"
但从道义角度,当你知道自己的代码会被用户用于管理真金白银的资产时,是否应该有更高的安全标准?
Nofx的案例特殊之处在于:
这是一个AI自动交易系统,直接涉及用户资金
项目获得了9000 stars,有大量用户使用
漏洞不是隐蔽的高级攻击,而是基本防护的缺失
问题存在数周,期间持续有新用户部署
行业启示:AI Trading的特殊风险
Nofx的安全危机揭示了AI Trading这个领域的特殊风险:
自动化的双刃剑:
AI交易系统设计为7x24小时自动运行
一旦被攻破,攻击者可以快速执行大量交易
用户可能数小时后才发现资产已被转移
开源与安全的矛盾:
开源有助于社区改进和审查
但也让攻击者更容易发现漏洞
在安全修复完成前,漏洞就已经被公开
用户教育的缺失:
很多用户不理解部署AI交易系统的风险
直接使用默认配置,不知道要更改密钥
在公网暴露服务,没有基本的安全防护
SlowMist的范本意义
在这次事件中,SlowMist的行动值得称赞:
快速响应:接到情报后立即深度分析
主动扫描:不等待用户报告,主动发现受影响实例
行业协作:与交易所紧密配合,而非各自为战
公开披露:在处理完紧急情况后发布详细报告,教育社区
明确立场:强调这不是批评,而是风险降低
这种责任披露(Responsible Disclosure)机制,是行业安全的基石
小结:开源不是免死金牌
Nofx的安全漏洞事件告诉我们:
开源项目需要安全审计:即使是快速迭代的项目,也不能跳过安全检查
默认配置要安全优先:方便开发和方便攻击往往是一体两面
用户资金必须特殊对待:涉及金钱的系统,安全是不可妥协的底线
社区需要建立安全响应机制:SlowMist的行动提供了一个好的范例
技术能力≠安全意识:能写出功能代码,不代表能写出安全代码
问题4:Amber的"背书"到底值多少钱?
在Nofx的多重危机中,有一个细节很容易被忽略,但它揭示了加密行业一个普遍问题:背书文化。
背书的出现:"Backed by@amber_ac_"
在事件爆发前,如果你访问Nofx的Twitter主页,会在简介中看到这样一行字:"Backed by@amber_ac_"
这是什么意思?在加密行业,"backed by"通常意味着:
获得了该机构的投资
或者至少是孵化支持
是一种官方认可的关系
Amber Group是加密行业的知名机构,拥有强大的资金和资源。amber.ac则是其生态加速器。对于一个新兴开源项目来说,获得Amber的背书,意味着:
信用背书:项目更可信,吸引更多用户
融资便利:其他投资人会更愿意跟进
资源支持:可能获得技术、市场、法律等支持
社区信心:用户更愿意参与和贡献
这就像一个创业者拿到了顶级VC的term sheet,即使还没拿到钱,光是这个背书就能带来巨大价值。
Zack的筹码:我能带来Amber
回到内斗门的背景,Zack索要50%股权的重要筹码就是:他能介绍Amber参与Nofx的商业化。
根据Tinkle的说法,Zack曾是Amber的实习生。在行业里,这种背景意味着一定的人脉资源。Zack向Tinkle承诺,可以引入Amber的投资或孵化支持,作为交换,他要求获得50%股权。
从商业逻辑看,这个交易是合理的:
如果Zack真能带来Amber的投资,那这个价值远超14天的代码贡献
对于一个开源项目,获得顶级机构背书可能是从0到1的关键跳跃
50%股权在初创阶段的分配中,给资源引荐方也并非没有先例
但关键问题是:Amber最终来了吗?
Amber的澄清:"无正式孵化、投资或商业合作关系"
2025年12月,当Nofx的内斗和开源门都闹得沸沸扬扬时,amber.ac发布了一份官方声明:
"amber.ac与Nofx无正式孵化、投资或商业合作关系。我们曾基于行业观察与Nofx进行友好交流,但这些交流未导向任何正式合作。我们所有正式合作均会通过官方网站公示。"
这份声明很微妙:
否认正式关系:没有投资、没有孵化、没有商业合作
承认有过接触:"友好交流"、"行业观察"
强调程序:正式合作会有官方公示
划清界限:这是一次公开的切割
那么问题来了:"友好交流"和"backed by"之间,差距有多大?
背书的消失:删除与解释
在Amber发布声明后不久,社区发现Nofx悄悄删除了Twitter简介中的"Backed by@amber_ac_"字样。
有网友质疑,Nofx小编回应:
"感激Amber早期支持,因当前事件和对方要求,尊重意愿删除。"
这个回应又引出了新的问题:
"早期支持"是什么:如果没有正式合作,支持指的是什么?
"对方要求"删除:是Amber主动要求切割吗?
"当前事件"影响:是因为丑闻才被要求删除吗?
从Amber的角度,这个切割是必要的:
Nofx陷入安全漏洞、股权纠纷、协议争端
任何与Nofx的关联都可能损害Amber的声誉
尤其是如果用户因使用Nofx遭受损失,Amber不想承担任何责任
从Nofx的角度,这个删除很尴尬:
原本引以为傲的背书突然消失
给外界的印象是"连投资人都跑了"
进一步打击了社区信心
"生态加速器"vs"正式投资":灰色地带amber.ac的定位是"生态加速器",而非直接的投资基金。这个定位的模糊性,正是问题的根源。
生态加速器通常提供:
导师指导和行业建议
社区资源和网络连接
活动参与和品牌曝光
但不一定提供直接资金
正式投资关系包括:
明确的投资金额和股权比例
法律文件(投资协议、股东协议)
董事会席位或观察员权利
定期的财务和运营汇报
Nofx与amber.ac的关系,可能介于两者之间的灰色地带:
有过一些交流和指导("友好交流")
Nofx认为这构成"支持",可以标注为"backed by"
amber.ac认为这不构成"正式合作",不应该被公开宣传
Zack可能确实促成了这些交流,但最终没有转化为投资
背书文化的泛滥:加密行业的通病
Nofx-Amber事件只是冰山一角。在加密行业,背书文化已经泛滥成灾:
常见的背书套路:
"某某机构领投":实际可能只是小额跟投
"某某大佬站台":可能只是发了一条转发
"某某加速器孵化":可能只是参加了一次Workshop
"某某交易所合作":可能只是提交了上币申请
背书的真实价值链:
顶层:正式投资协议,明确金额和条款
中层:加速器入选,有明确支持计划
底层:参加活动,获得曝光机会
最底层:私下聊天,给了一些建议
问题是,很多项目有意将底层的关系包装成顶层的背书。
为什么投资机构默许这种模糊:
拓展影响力:更多项目提及自己,扩大品牌
期权思维:先建立弱连接,未来可能转化为投资
举手之劳:一次交流的成本很低,但对项目方价值很大
灰色收益:一些机构可能收取"顾问费"或"品牌使用费"
为什么项目方热衷于此:
融资需要:有背书更容易拿到后续融资
用户信任:社区更愿意相信有机构背书的项目
竞争压力:别的项目都在宣传背书,自己不说就落后了
虚荣心理:创始人也需要这种认可
反思:背书的责任边界在哪里?
Nofx-Amber事件引发了一个深层问题:当一个机构的名字被用于背书,它应该承担多大责任?
如果Amber真的投资了Nofx:
作为股东,有监督和治理责任
项目出现重大问题,投资人应该介入
用户损失,投资人可能承担一定道义责任
如果只是"友好交流":
Amber没有法律义务
但项目方使用其名字做背书,Amber应该及时纠正
如果明知被滥用而不制止,是否构成默许?
在Nofx案例中:
Nofx在Twitter上标注"Backed by Amber"数周(可能数月)
Amber作为专业机构,有社交媒体监控能力
如果他们真的没有正式合作,为何不早点澄清?
是否等到Nofx出事,才急于切割?
这种"事前模糊、事后切割"的模式,损害的是整个行业的信任基础。
小结:背书不是免费的午餐
Amber-Nofx事件的启示:
对项目方:不要夸大与机构的关系,虚假背书迟早会被拆穿
对投资机构:明确背书的边界,及时纠正滥用,承担相应责任
对用户:学会识别真假背书,查证投资机构的官方渠道
对行业:建立背书的标准和规范,减少灰色地带
在加密行业,背书是一种社交资本。但像所有资本一样,它需要规则和责任。当每个人都在透支这种信任,最终的结果是整个行业的信用崩塌
问题5:这场风波暴露了什么系统性问题?
当我们抽离具体的指控和反驳,跳出Nofx个案的细节,会发现这场风波指向了五个深层的系统性问题——它们不仅存在于Nofx,而是整个加密开源生态的"阿喀琉斯之踵"。
问题一:开源精神在商业化浪潮中的异化
Nofx从MIT到AGPL的协议变更,表面上是技术决策,实际上折射出开源精神与商业利益的根本冲突。
开源的初心:
代码共享,促进协作
站在巨人肩膀上,避免重复造轮子
社区驱动,集体智慧
商业化的现实:
需要保护商业利益
防止竞争对手"白嫖"
寻求变现路径
MIT协议代表的是开源的理想主义:你随便用,只要注明出处。这种慷慨吸引了大量开发者与社区注意力,Nofx才能快速积累9000 stars。
但当Nofx看到COAI这样的融资1700万美元的项目可能在使用他们的代码时,他们改变了主意。AGPL协议是开源世界里最严格的"防火墙":用我的代码?那你也必须开源,而且不能闭源商用。
从Nofx的角度理解,这种转变有其合理性:
协议选择权:开源作者有权在项目发展过程中重新评估协议选择,AGPL本身是合法且被广泛使用的开源协议
利益不对等:当发现代码被融资充裕的商业项目大规模使用时,小型开源团队感到贡献与回报不匹配
生态保护:AGPL的"传染性"特征旨在防止开源代码被"据为己有",保护开源生态的可持续发展
弱势处境:面对拥有1700万美元融资的竞争对手,开源项目在资源、法律、市场等方面都处于明显劣势
这种转变本身无可厚非——开源作者有权选择协议。但客观存在的问题在于:
没有通知社区:协议变更未在社区公告,已经使用MIT版本的开发者可能不知情
追溯式执法:用11月4日改的协议,去追究11月3日的行为
选择性指控:为什么偏偏指控COAI,而不是其他使用MIT版本的项目?
隐私数据收集:在MIT阶段就植入Google统计,收集用户数据却不告知
从另一个角度看,Nofx的一些做法可能有其背景:
保护初衷:协议变更的根本目的可能是保护社区贡献者的利益,而非针对特定竞争对手
能力局限:作为小团队,在项目快速爆发期可能确实疏忽了规范的社区沟通流程
技术需求:Google统计可能是为了了解用户使用情况、发现问题、改进产品,而非恶意收集数据
资源压力:面对资金雄厚的商业竞争,开源项目确实缺乏对等的法律和市场资源
然而,即使理解这些背景,执行方式的问题依然存在。这已经不仅仅是捍卫开源精神的问题,而是如何在保护自身权益与维护开源生态信任之间找到平衡。
开源的异化表现为:
工具化:开源成为获取用户和关注的工具,而非目的
武器化:开源协议成为打击对手的武器,而非协作的基础
单向化:只要求别人开源,自己却可以随意变更规则
这种判断需要谨慎。我们很难从外部完全了解Nofx团队的内部决策过程和真实动机。开源协议变更本身是合法权利,问题的关键在于:
执行方式:如何变更、如何通知、如何处理已有用户
透明度:决策过程是否公开、理由是否充分说明
一致性:是否对所有类似情况一视同仁
这个案例暴露的,更多是整个Web3开源生态缺乏成熟规范的系统性问题,而非单纯某一方的恶意行为。
双方都有合理诉求:
Nofx的诉求:开源贡献者的劳动成果不应被商业项目无偿占用,需要得到应有的认可和回报
COAI的诉求:在MIT协议下合法使用的代码,不应在事后被追溯性地要求承担AGPL义务
行业的困境:如何在鼓励开源共享与保护创作者权益之间建立平衡机制
这种异化伤害的是整个开源生态的信任基础。当开发者不确定一个MIT项目会不会突然改成AGPL并追溯执法,他们还敢使用开源代码吗?当开源作者发现自己的贡献被商业化却得不到任何回报,他们还愿意继续开源吗?
这是一个双输的困境,真正需要的是行业层面的规范建设
问题二:创业团队的法律风险意识缺失
Tinkle和Zack的股权纠纷,暴露了加密创业团队在法律合规方面的普遍问题。
股权分配的混乱:
Zack持有50%股权的法律文件(APEIRON LABS注册)
Tinkle认为Zack只配10-20%的股权(基于代码贡献)
这种认知鸿沟不应该存在——股权分配应该在一开始就明确并书面化
决策记录的缺失:
Zack说他被授予50%股权是基于引入Amber投资的承诺
Tinkle说Zack夸大能力,最终没有引入投资
双方没有书面记录当时的协议条件:是"尽力而为"还是"完成才给股权"?
沟通程序的混乱:
Zack发律师函后,Tinkle一个月不回应
等到Tinkle公开指控"敲诈勒索",Zack才不得不公开回击
为什么不能先私下协商,而是直接舆论战?
法律工具的滥用:
Tinkle称律师函是"敲诈勒索",这是严重的刑事指控
Zack提供了标准的商业和解文件,证明这是合法程序
这些问题在加密创业团队中极为常见:
快速行动优于规范流程:"先做起来再说"的文化导致很多法律文件缺失
技术思维主导:工程师创始人往往不重视法律和合规
去中心化幻觉:以为在加密世界可以绕过传统法律
成本考量:早期项目请不起专业律师
但当项目做大,或者出现纠纷时,这些早期的"省略"会变成巨大的隐患。
应该做什么:
创始团队从第一天就应该有书面的股权协议(Founders' Agreement)
明确每个人的贡献类型、股权比例、vesting schedule
关键决策留存书面记录(邮件、签字文件)
定期请专业律师审查公司结构和合规性
出现纠纷时先寻求法律途径,而非舆论战
问题三:技术能力与安全意识的严重脱节
Nofx的安全漏洞揭示了一个残酷的真相:在加密行业,技术能力≠安全意识。
能力错位的表现:
Nofx能够开发AI自动交易系统,这需要相当的技术能力
但同时犯下"零认证"、"默认密钥"这样的低级安全错误
能写出功能代码,不代表能写出安全代码
融资能力不代表技术实力:
COAI融资1700万美元,但被质疑代码能力
Nofx获得社区热捧,但安全漏洞频出
在加密行业,讲故事的能力往往比技术实力更能换来融资
安全的边缘化:
在快速开发的压力下,安全被视为"以后再说"的事情
功能优先于安全,上线速度优先于代码审计
直到出现实际损失,才意识到问题严重性
开源≠安全的误解:
很多人以为开源代码自然更安全("千万双眼睛")
但现实是大部分用户不看代码,只看star数
安全审计需要专业知识和大量时间,不会自动发生
AI Trading的特殊风险:
涉及用户真实资金,损失不可逆
自动化执行,攻击窗口短,发现时已经晚了
24/7运行,安全问题的影响被放大
Nofx案例的教训:
安全是底线,不是选项:涉及用户资金的系统,必须通过专业安全审计
默认配置要安全优先:宁可让用户觉得麻烦,也不能让攻击者觉得简单
快速迭代不是借口:MVP可以功能简单,但不能安全脆弱
社区需要安全响应机制:类似SlowMist的角色应该制度化
问题四:加密行业的背书文化泛滥
Nofx-Amber事件揭开了加密行业背书文化的遮羞布
背书的通货膨胀:
几乎每个项目都声称有"某某机构支持"
但这些"支持"的含义千差万别
从正式投资到一次聊天,都可能被包装成"backed by"
灰色地带的泛滥:
"战略合作":可能只是商务对接
"生态伙伴":可能只是互相转发
"顾问团队":可能只是挂名
"投资机构":可能只是买了点币
为什么这种文化有市场:
信息不对称:普通用户难以验证背书真伪
从众心理:"某某投资了,那应该靠谱"
竞争压力:不宣传背书就输在起跑线
监管真空:没有机构管理背书的真实性
恶性循环:
项目方夸大背书 → 获得更多关注和资金
看到成功案例,更多项目效仿
投资机构为了影响力,默许模糊关系
当项目出事,机构急于撇清关系
用户和行业承受损失
如何打破循环:
投资机构:建立官方的投资组合清单,明确投资金额和日期
项目方:只宣传可验证的正式关系,提供证明文件
媒体和KOL:核实背书的真实性再报道
用户:学会查证,不盲信背书
监管:对虚假背书进行处罚(在一些司法管辖区已经开始)
问题五:社区治理机制的全面缺位
综合Nofx的三重危机,最深层的问题是:开源社区缺乏有效的治理机制
协议争端没有仲裁机制:
Nofx和COAI的争议,双方各执一词
没有公认的第三方来判定谁对谁错
只能依赖舆论和法律,前者不公正,后者成本高
安全问题缺乏标准流程:
SlowMist的及时响应是个例,不是常态
大多数开源项目没有安全响应团队
漏洞披露、用户通知、紧急修复都缺乏标准
股权纠纷无处申诉:
Tinkle和Zack的矛盾只能诉诸法律或舆论
开源社区没有争议解决机制
DAO治理被提出很久,但实际运作很少
社区参与缺乏激励:
安全审计、代码审查需要大量时间
但开源贡献者往往是志愿的
商业公司有专职团队,开源项目靠爱发电
现有治理实践的尝试:
OpenSSF(Open Source Security Foundation):推动开源安全最佳实践
CVE(Common Vulnerabilities and Exposures):漏洞编号和跟踪系统
Bug Bounty:用奖金激励安全研究者
Code of Conduct:社区行为规范
Foundation模式:成立基金会管理项目(如Linux Foundation)
但这些机制在加密开源领域的应用还很有限。
开源和平衡和使用者各方理想的治理机制应该包括:
安全审计标准:明确哪些类型的项目必须通过审计才能推荐
争议仲裁机构:中立的第三方处理协议和股权纠纷
责任披露流程:发现漏洞后如何通知、如何修复、如何公告
社区参与激励:通过代币、NFT或其他方式奖励贡献者
透明度要求:强制披露融资、背书、股权结构等关键信息
系统性问题的根源:速度与质量的博弈
这五个问题的共同根源,是加密行业对速度的极端追求:
快速开发:抢占热点,快速迭代,先发优势
快速融资:趁热度高估值融资,不在乎合规细节
快速增长:用户数、star数、社区规模的指标竞赛
快速变现:发币、上所、套现离场
在这种文化下:
安全是负担,减慢速度
法律是成本,能省则省
治理是累赘,妨碍决策
长期主义是笑话,牛市不等人
但当速度压倒一切,质量就成为牺牲品。Nofx用两个月获得9000 stars,也用两个月失去了相当信誉。
结语:开源理想的现实困境
从快速崛起到陷入三重危机,Nofx的故事是Web3开源运动的一个缩影。它既展现了开源协作的强大力量,也暴露了这个模式在现实中面临的种种挑战
黑客门提醒我们,去中心化并不等于安全;内斗门揭示了,理想主义者之间的分歧可能比外部攻击更具破坏性;开源门则将一个长期存在的问题推向前台:在追求商业价值的Web3世界里,如何保护开源贡献者的权益?
特别值得关注的是,开源协议争端中的时间认定问题仍待进一步澄清。这不仅关系到具体案例的是非曲直,更关乎整个Web3开源生态的规范建设。未来可能需要建立更可靠的协议变更记录机制,以及更权威的第三方仲裁体系
本文基于公开信息整理分析,不代表对任何一方的支持或否定。文中所有技术细节、时间线、法律文件均可通过GitHub、Twitter等公开渠道验证。转载或改编请注明出处x@wquguru.
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。