オープンソースの弱点:2か月で9000スターを獲得したNofxと、そのハッカーゲート、内紛ゲート、オープンソースゲート
TechFlow厳選深潮セレクト
オープンソースの弱点:2か月で9000スターを獲得したNofxと、そのハッカーゲート、内紛ゲート、オープンソースゲート
急速な台頭から三重の危機に陥るまで、Nofxの物語はWeb3オープンソース運動の縮図である。
Web3業界の深掘り報道に専念し潮流を洞察著者:WquGuru
執筆背景
本件の物語を正式に展開する前に、私はこの出来事における自分の立場を説明しておく必要がある。
私は傍観者であり分析者である。Nofxプロジェクトがブームになった時期、私はnof0プロジェクトを開発していた――両者はいずれもnof1にインスピレーションを得ている。開発過程において、NofxのコアメンバーTinkleおよびZackと技術実装やオープンソース協業に関する交流を行った。
明確にしておくが、私とNofxチームの間には技術的な交流のみあり、商業的提携関係は一切ない。またChainOpera AI(COAI)チームとは直接の接触はない。本稿執筆にあたり、可能な限り客観的中立な立場を保つよう努めた。すべての分析や判断はGitHubの記録、SNS上の発言、セキュリティレポートなど、公開で確認可能な資料に基づいている。
出来事の期間:
-
2025年10月下旬:Nofxプロジェクト開始。わずか2カ月でGitHub上に近9,000スターを獲得
-
2025年11月:セキュリティ脆弱性が露呈。SlowMistがセキュリティ警告を発表(ハッカー門)
-
2025年12月:オープンソースライセンス争議が勃発(オープンソース門)。同時にチーム内部分裂が表面化(内紛門)
一連の出来事は約2カ月間続いたが、Web3のオープンソース運動に潜む複数の矛盾を集中して暴露した。
本稿を執筆する目的は、特定の陣営に与する、あるいは特定の当事者を非難することではなく、以下の点にある:
-
Web3のオープンソース運動における典型的ケースを完全に記録する
-
オープンソース精神と商業的利益の深層的対立を考察する
-
業界の将来の規範構築に向けた反省と参考を提供する
それでは、ここからこの複雑な物語を最初から整理していこう。
序章:あるAI取引プロジェクトの爆発的人気
2025年10月下旬、Nof1というAI自動取引プロジェクトがTwitterで話題となった。数日のうちに、その複数のオープンソース版――nof0、nofxなどを含む――がGitHub上で数千のスターを獲得した。うちNofxプロジェクトは10月下旬の開発開始から12月までに9,000以上のスターを積み上げ、AI Trading分野で最も注目されたオープンソースプロジェクトの一つとなった。
しかし、わずか2カ月後、この注目プロジェクトは三重の危機に陥った:
ハッカー門:ブロックチェーンセキュリティ企業SlowMistが、Nofxに重大なセキュリティ脆弱性が存在し、ネットワーク全体で1,000以上のデプロイインスタンスのユーザーの取引所APIキー、秘密鍵、ウォレットアドレスが完全に漏洩したことを公表した。Binance、OKXなどの主要取引所が緊急介入し、影響を受けたユーザーの資格情報変更を支援した。
内紛門:プロジェクトのコアメンバーTinkleが、もう一人の共同創業者Zackが「わずか14日間参加し、数行のコードしか貢献していない」にもかかわらず、50%の株式と50万ドルを要求していると公に非難した。これに対しZackは弁護士を通じて正式な法的文書を送付し、Tinkleが「資産横領」「利益供与」を行っていると反訴。双方が各々50%の株式を持つ合資会社の登記ファイルも提出した。
オープンソース門:Nofxは資金調達額1,700万ドルのChainOpera AI(COAI)がAGPLオープンソースライセンスに違反し、コードをオープンソース化せずに商用製品をデプロイしたと公に非難した。これに対してCOAIは、「Nofxは11月3日まではMITライセンスであり、11月4日にAGPLに変更された。さらに当社製品はPythonで開発されており、NofxのGo実装とは全く異なる」と反論した。
コミュニティから熱狂的に支持されたオープンソースプロジェクトが、なぜわずか2カ月でこれほど複雑な多重危機に陥ったのか? その背後には、オープンソースコミュニティ、起業チーム、投資エコシステムのどのようなシステミックな問題が浮き彫りになっているのか? 以下5つのキーポイントを通じて、この騒動を深く分析していこう。
問題1:オープンソースライセンスは本当に違反されたのか?
MITとAGPL:二種類の根本的に異なるオープンソース哲学
NofxとCOAIのライセンス争議を議論する前に、二つのオープンソースライセンスの根本的な違いを理解しておく必要がある:
MIT License(マサチューセッツ工科大学ライセンス)は最も緩やかなオープンソースライセンスの一つである。以下のことを許可する:
-
自由な使用、改変、配布
-
商用利用に際してもオープンソース化不要
-
唯一の条件:原著者の著作権表示を保持すること
AGPL v3.0(GNU Affero一般公衆利用許諾契約)は最も厳格なオープンソースライセンスの一つである。以下のことを要求する:
-
このコードを使用するプロジェクトは同様にオープンソース化しなければならない
-
特に、ネットワーク経由でのサービス提供(SaaSなど)の場合でも、ソースコードを公開しなければならない
-
原プロジェクトの情報を明確な位置に表示しなければならない
MITからAGPLへの変更は、「極度の緩和」から「極度の厳格」への180度の転換である。これが今回の争議の核心だ。
ライセンス変更と時間に関する争い
NofxプロジェクトのライセンスはMITからAGPLへ変更されたが、具体的な変更時期が争点となっている。この時点は極めて重要であり、ChainOpera(COAI)チームがコードをフォークした際に遵守すべきライセンスを決定づける。
双方の証拠の比較:
-
NofxチームはGitHubのcommit記録を提示し、ライセンスファイルの修正時刻を示した
-
COAIチームは、自らの記録と観察に基づき、ライセンス変更の公開時期に疑問を呈した
ChainOperaの「盗用」非難
Nofxコミュニティは、資金調達額1,700万ドル、Binance Alphaに上場したChainOpera(COAI)プロジェクトのコードがNofxと非常に類似していることに気づいた。
Nofx側の非難:
-
COAIは出典を明記せず、ソースコードを公開しないままNofxのコードを使用した
-
当時有効だったAGPLライセンスによれば、COAIは以下の義務を負うはずだった:コードの出典を明確に標示すること、改変後のソースコードを公開すること、同様にAGPLライセンスを採用すること
COAI側の反論:
-
自らがコードをフォークした時点で、NofxはまだMITライセンスであったと主張
-
MITライセンスは商用利用を認め、ソースコードの公開を要求しない
-
ライセンス変更のタイミングに関する争いは、事件全体の性質判断に影響を与える
オープンソースライセンス争議:どちらが正しいのか?
この争いはWeb3のオープンソースエコシステムに潜む深い問題を露呈している:
ライセンス変更の有効性問題:
-
遡及効力の争い:オープンソースライセンスの変更は、既にフォークされたコードに拘束力を有するのか?
-
時点の認定:ライセンス変更の正確な時期は完全に確定しがたい。双方ともに主張が分かれる
-
証拠の信頼性:GitHub記録は改ざん可能であり、より権威ある第三者検証が必要
-
ライセンス変更の伝達:MITからAGPLへの変更が、どの程度コミュニティに周知されたか
商業的利益の衝突:
-
COAIは大規模な資金調達を行いBinanceに上場しており、商業的価値が極めて高い
-
Nofxはオープンソースプロジェクトとして、商業化の道筋が不明確
-
核心的矛盾:オープンソース共有精神と商業的利益保護とのバランスの難しさ
コミュニティの意見の分裂:
-
Nofx支持者は、COAIがオープンソースコードを利用して利益を得ながら、コミュニティに還元していないと主張
-
COAI支持者は、MITライセンスは商用利用を許可しており、かつライセンス変更の時期に疑義があると主張
-
中立的観察者は、時間に関する争いが鍵であり、より信頼できる証拠が必要と指摘
法と技術のグレーゾーン:
-
オープンソースライセンスがチェーン上プロジェクトにおいて持つ法的効力は依然不明確
-
GitHub記録の改ざん可能性により、証拠としての信頼性が低下
-
Web3業界には成熟したオープンソース紛争解決メカニズムが欠如
まとめ:議論のある非難
現時点で公開されている証拠を見る限り、NofxによるCOAIへのオープンソースライセンス侵害非難にはいくつかの疑問点がある:
-
時点に疑義:GitHubの証拠は11月4日にAGPLに変更されたことを示す
-
技術的実装が異なる:インターフェース名が同じでも、コードが同一とは限らない
-
ログの説明が妥当:MIT段階で挿入された統計機能は継続して記録される
-
自らが規制違反の疑い:ユーザーに告知せずに統計機能を埋め込み、プライバシー法に違反する可能性
-
コミュニケーション手順が不適切:メールと公開非難を同分内に発信
注目に値するのは、ライセンス変更の時期に関する争いが、事件全体の性質判断に決定的な影響を与えることだ。もしNofxの主張が正しければ、COAIは確かにAGPLライセンスに違反している。しかしCOAIの主張が正しければ、その行為はMITライセンスに完全に準拠している。この時点の認定は、なおさら権威ある第三者検証が必要である。
問題2:14日間で50%の株式に見合うのか?
オープンソース門がNofxと外部の争いだとすれば、内紛門はこのプロジェクト内部の矛盾が表面化したもの――「貢献」と「価値」を巡る創業チーム間の争奪戦である。
タイムライン:参加から対立へ
2025年10月28日:Nofxの開発開始
2025年10月29日:Zackがプロジェクトに参加(この時点ですでに1日間オープンソース化済み)
2025年11月初旬:ZackがAmber Groupの商業化参加を理由に50%の株式を要求
2025年11月初旬:Tinkleが50%の株式を拒否。自身がCEO兼CTOであり、Zackの貢献が不足していると主張
2025年11月19日:Zackの弁護士(君合法律事務所香港オフィス)が「差し支えなし(費用を除く)」の公式和解提案書(Without Prejudice Save as to Costs)を送付。50万ドルでZackが保有する50%株式を買い戻すよう要求
2025年12月:対立が表面化。双方がSNS上で互いを非難
時間軸から見ると、Zackが参加してから弁護士に依頼するまで、前後1ヶ月にも満たない。これは確かに短い。
対峙:真逆の二つの証拠
Tinkleの主張:
-
Zackは14日間しか参加していない
-
貢献は数行のコード(「確認可能」)
-
プロジェクトがすでにオープンソース化され、数千人のTGグループメンバーがいる状態で参加
-
Amberの投資導入を条件に巨額の株式を要求
-
拒否された後、プロジェクトのTwitterアカウントを押収
-
弁護士を通じて50万ドルを要求。恐喝未遂の疑い
-
ZackはかつてAmberのインターン生だったが、正社員採用されず離職
-
最終的にAmberの投資導入に失敗
Zackの反撃:
-
APEIRON LABS PTE. LTD.の会社登記ファイルを提示
-
ファイルはTinkleとZackがそれぞれ50%の株式を保有していることを示す
-
これはシンガポール会社登記システムの公開情報であり、誰でも検証可能
-
弁護士からの通知書は標準的な「差し支えなし(費用を除く)」和解提案であり、商業法的手続きに準拠
-
本文はDemand Letterであり、Tinkleの「資産横領」「利益供与」行為を詳細に記録
-
50万ドルは恐喝ではなく、低評価額でのZackの合法的権益の買い取り
-
反論:もし会社に価値があるなら、100万ドルの評価額で50%株式を買い戻すのは当然ではないか? もし価値がないなら、なぜTinkleはこれを「恐喝」と呼ぶのか?
核心的矛盾:貢献をどう定量するか?
この争いの本質は、古くからの起業課題である:技術的貢献 vs リソース紹介、どちらがより価値が高いか?
コード貢献の観点から見れば、Tinkleの主張はある程度理にかなっているかもしれない。GitHubのcommit記録は公開されており、Zackが本当に少量のコードしかコミットしていないのであれば、これは技術コミュニティ内で容易に検証可能な事実である。60日間開発されたプロジェクトに、他の人が14日間参加しただけであれば、時間とコード量の面で貢献の差は明らかに大きい。
しかし、株式の観点から見ると、Zackは法的文書を提示している。APEIRON LABS PTE. LTD.の登記情報は、双方が50対50の株式分配契約を締結したことを示している。これはつまり:
-
双方がかつて正式な法的契約を締結していた
-
契約がZackの50%株式保有を承認していた
-
口約束ではなく、政府機関に登記された法的事実
では問題はこうなる:なぜTinkleはこのような株式分配に同意したのか?
Amberというカードは一体どれほどの価値があったのか?
鍵となる変数はAmber Group――より正確には、そのエコシステムアクセラレーターamber.acである。
Zackの交渉材料は、AmberがNofxの商業化に参加できるように紹介できることだった。Tinkleの主張によれば、ZackはかつてAmberのインターン生だった(ただし正社員にはなれず離職)。暗号業界では、トップレベルの機関の後押しと資金調達を引き入れることは、極めて大きな価値を意味する。
しかし最終的な結果は:
-
AmberはNofxに正式に投資しなかった
-
Amberの公式声明:Nofxと「正式なインキュベーション、投資、商業提携関係はない」
-
Amberは「友好な交流」はあったが、正式な提携に至らなかったと認める
ここから二通りの解釈が可能になる:
解釈A(Tinkle支持):Zackは自身のリソース能力を誇張し、空手形で株式を獲得。最終的に約束を果たせず、株式を返却せず、弁護士を通じて脅迫した。
解釈B(Zack支持):双方は実際に株式契約を締結。ZackはAmberの導入を尽力したが、Tinkle側の問題(「資産横領」「利益供与」など)により投資が実現しなかった。Zackは合法的株主として、退社と補償を求める権利がある。
どちらの解釈が真実に近いかは、より多くの内部資料が必要で判断できる。
法的手続きか、それとも恐喝か?
TinkleはSNS上でZackの弁護士からの通知書を公開し、「恐喝」と非難した。この非難は重く、恐喝は刑事犯罪だからだ。
しかしZackの反論は法的手続きの専門性を明らかにした:
「差し支えなし(費用を除く)」(Without Prejudice Save as to Costs)は英米法体系における標準的な法的手続きであり、商業紛争の和解交渉に用いられる。その特徴は:
-
法的保護を受けており、訴訟証拠として使用できない(訴訟費用に関する場合を除く)
-
目的は双方が平和裏に紛争を解決することを促進すること
-
和解条件の提示は恐喝とはならない
-
主体はDemand Letterであり、相手の違約または侵害行為を列挙
Zackの弁護士からの通知書は50万ドルを要求しているが、その金額は以下の根拠に基づく:
-
Zackが会社の50%株式を保有しているという法的事実
-
会社の保守的評価額100万ドルに基づく計算
-
TinkleがZackの株式を買い取るための買戻し価格として要求
法的観点からは、これは完全に合法な和解交渉戦略である。もしTinkleが本当にこれが「恐喝」だと考えるなら、正しい行動は通報することであって、ツイートを投稿することではない。
Zackの「最後通告」も非常に力強い:
「もし本当にこれが恐喝だと思うなら、ただちに警察に通報してください。通報する勇気がなければ、このような馬鹿げたパフォーマンスをやめてください。」
隠された非難:資産横領と利益供与
この公開対決の中で、注目すべき細部がある:Zackは、弁護士からの通知書の本文はTinkleの「パートナーシップ資産の横領」「違法手段による共謀」行為を記録した詳細なDemand Letterであると述べた。
このLetterの全文は公開されていないが、この非難は極めて重大である。もし事実なら、以下を含む可能性がある:
-
会社資金を私的用途に流用
-
投資機関の個人と利益交換
-
パートナーシップの忠実義務違反
Tinkleはこの部分の非難に対して正面から応答せず、「これ以上応答せず、製品開発に集中する」とだけ述べた。
この回避姿勢こそが、逆に好奇心を掻き立てる:Demand Letterの中身には一体何が書かれているのか?
まとめ:解けない難問
創業チームの株式紛争は、起業界では珍しくない。Nofxの事例が注目を集めるのは、この類型の紛争が抱える典型矛盾を凝縮しているからである:
-
口約束 vs 書面契約:書面による株式契約がなければ、貢献をどう認定するか?
-
技術的貢献 vs リソース紹介:二つの価値をどう測るか?
-
期待外れの責任:資金調達失敗の責任は誰にあるか?
-
法的手続き vs 道徳的裁き:和解交渉は恐喝と等しいか?
現存する証拠から見ると:
-
Zackは50%株式を裏付ける法的文書を持っている
-
Tinkleは主導的地位を裏付けるコード貢献記録を持っている
-
双方ともそれぞれのストーリーを持っているが、いずれも完全な証拠鎖を欠いている
最終的な答えはおそらく裁判所によって出されるしかない。だがこの事例がすべての起業チームに与える教訓は:
-
株式分配は早期に、書面で、明確に行うこと
-
貢献の定量には客観的基準が必要(コード量、作業時間、リソース価値)
-
重要な意思決定は記録を残すこと
-
紛争発生時は、まず法的手段を優先し、世論戦に訴えないこと
問題3:なぜオープンソースプロジェクトはセキュリティの重災地となるのか?
NofxとCOAIのライセンス争議や内部の株式紛争よりも前に、より深刻な危機が静かに進行していた:セキュリティ脆弱性である。
2025年11月、ブロックチェーンセキュリティ企業SlowMistは詳細なセキュリティ分析レポートを発表し、Nofxプロジェクトに重大なセキュリティリスクが存在することを暴露した。これは単なる「小さなバグ」ではなく、ユーザー資金の全面的盗難につながる可能性のある重大な脆弱性だった。
脆弱性のタイムライン:無認証からデフォルト鍵まで
2025年10月31日 - Commit 517d0c:無認証の原罪
このcommitにおいて、Nofxのコードには致命的な欠陥が存在した:
-
admin_modeがデフォルトでtrueに設定
-
ミドルウェアがすべてのリクエストを認証なしで通過させる
-
/api/exchangesインターフェースが完全に開放
これはどういう意味か? Nofxをデプロイしたサーバーのアドレスを知っている人なら誰でも、直接/api/exchangesインターフェースにアクセスし、以下を取得できる:
-
api_key:ユーザーの取引所APIキー
-
secret_key:取引所秘密鍵
-
hyperliquid_wallet_addr:Hyperliquidウォレットアドレス
-
aster_private_key:Asterプラットフォームの秘密鍵
これらの情報を得た攻撃者は:
-
ユーザーの取引所アカウントを完全に制御
-
擬似取引(wash trading)を実行
-
資金を直接引き出す
-
市場価格を操作
これは完全な無防備状態であり、セキュリティ設計の基本的失敗である。
2025年11月5日 - Commit be768d9:「強化」の幻影
セキュリティ問題に気づいた可能性があり、NofxチームはこのcommitでJWT(JSON Web Token)認証機構を追加した。表面上はセキュリティ強化のように見える。
しかし問題は:
-
デフォルトのjwt_secretが変更されていない
-
ユーザーが環境変数を設定しなければ、システムはハードコードされたデフォルト鍵に戻ってしまう
-
/api/exchangesは依然として元のJSON形式ですべての機密フィールドを返す
つまり:
-
攻撃者はデフォルト鍵を使って偽のJWTトークンを作成できる
-
有効なトークンを入手すれば、すべての鍵が依然として完全に漏洩する
-
「強化」バージョンも実際には脆弱
これは、扉に鍵をかけたが、鍵を玄関マットの下に置いてしまい、誰でも知っているようなものである。
2025年11月13日 - Devブランチ:続く潜在的危険
11月13日になっても、devブランチのコードには複数の問題が残っていた:
-
authMiddlewareの実装に依然として欠陥あり(api/server.go:1471–1511)
-
/api/exchangesは依然としてExchangeConfigをそのまま返す(api/server.go:1009–1021)
-
設定ファイルに依然としてadmin_mode=trueとデフォルトjwt_secretがハードコード
-
メインブランチ(origin/main)はまだ10月31日の無認証バージョンのまま
これは偶然の過失ではなく、体系的なセキュリティ意識の欠如である。
発見と対応:SlowMistのキーアクション
情報源:セキュリティ研究者@Endlessss20がSlowMistにNofxにセキュリティリスクがあることを最初に報告。
深層分析:SlowMistセキュリティチームはNofxのGitHubコードを完全に監査し、上記の二つの主要な認証問題を特定。
全網スキャン:さらに驚くべきことに、SlowMistはインターネット規模のスキャンを実施し、1,000を超える公開アクセス可能なNofxデプロイインスタンスを発見。多くはデフォルトまたは脆弱な設定を使用しており、ユーザーの資格情報が完全に露出。
これは理論的なセキュリティリスクではなく、実際に進行中の現実的脅威である。
緊急調整:リスクの緊急性を鑑みて、SlowMistは直ちに主要取引所と連絡:
-
BinanceおよびOKXのセキュリティチームに情報提供
-
両取引所が独立にクロスバリデーションを実施
-
取得したAPIキーを使って影響を受けたユーザーを追跡
-
ユーザーに通知し、鍵のローテーションを支援
-
潜在的なwash trading攻撃を阻止
処理進捗:2025年11月17日までに、すべての中央集権型取引所(CEX)ユーザーの露出した鍵の処理が完了。しかし一部のAsterおよびHyperliquidユーザーはウォレットが分散型のため、直接連絡が困難。ユーザー自身による自己点検が必要。
影響範囲:技術的問題を超えて
このセキュリティ事件の影響は技術的次元を超えて広がった:
直接の被害者:
-
Nofxを使って自動取引を行っていた1,000人以上のユーザー
-
Binance、OKX、Hyperliquidなど複数のプラットフォームに関与
-
露出したのはAPIキーだけでなく、秘密鍵とウォレットアドレスも含まれる
潜在的損失:
-
AI自動取引システムの特徴は高頻度・大口であり、損失は非常に甚大になる可能性
攻撃者が取引所の介入前に行動していた場合、ユーザー資金が全面的に盗まれる可能性
信頼崩壊:
-
コミュニティがNofxプロジェクトのセキュリティに自信を失う
-
オープンソースAI Tradingエコシステム全体に疑念
-
開発者がオープンソースプロジェクトを選ぶ際、より慎重になる
深層的問い:なぜこれほど初歩的な誤りが起こったのか?
Nofxのセキュリティ脆弱性は高度な技術的挑戦ではなく、基本的なセキュリティ常識の問題である:
-
認証機構はデフォルトでオンにするべきであり、オフにすべきではない
-
デフォルト鍵はランダム生成すべきであり、ハードコードすべきではない
-
機密データは暗号化または匿名化すべきであり、平文で返すべきではない
-
設定ファイルはセキュリティリスクを明確に警告すべき
これらは経験豊富な開発者なら誰でも知っている原則である。なぜNofxはこのような誤りを犯したのか?
考えられる理由:
-
迅速な開発を優先:AI Tradingのブームの中で、先行することが安全より重要
-
チームの経験不足:ユーザー資金を取り扱うセキュリティ経験が欠如している可能性
-
テスト環境設定が本番化:テストの便宜のために認証をオフにしたが、この設定が本番環境に入った
-
セキュリティ監査の欠如:オープンソースプロジェクトは往々にして専門的なセキュリティ監査を欠く
だが根本的な原因はおそらく:オープンソース≠セキュリティである。
多くの人は、オープンソースコードは「何千もの目」がチェックしているため、より安全だと考える。しかし現実は:
-
大多数のユーザーは使用者であり、審査者ではない
-
問題を発見しても、修正を提出する能力や意思があるとは限らない
-
セキュリティ監査には専門知識と大量の時間がかかる
-
商業企業にはセキュリティチームがあるが、オープンソースプロジェクトには往々にしてない
責任の境界線:オープンソース作者はどの程度責任を負うべきか?
ここから議論のある問題が生じる:ユーザーがオープンソースソフトウェアの脆弱性により損害を受けた場合、オープンソース作者は責任を負うべきか?
法的観点では、大多数のオープンソースライセンス(MITおよびAGPLを含む)には免責条項がある:
「ソフトウェアは『現状のまま』提供され、明示または黙示の保証を一切提供しない…作者はいかなる損害についても責任を負わない。」
しかし道徳的観点では、自分が書いたコードがユーザーの現金資産管理に使われることがわかっている場合、より高いセキュリティ基準を求められるべきではないだろうか?
Nofxの事例の特殊性は:
-
これはAI自動取引システムであり、直接ユーザー資金に関わる
-
プロジェクトは9,000以上のスターを獲得し、多数のユーザーが使用
-
脆弱性は隠れた高度な攻撃ではなく、基本的な防御の欠如
-
問題は数週間存在し、その間に新規ユーザーが継続的にデプロイ
業界への示唆:AI Tradingの特別なリスク
Nofxのセキュリティ危機は、AI Tradingという領域の特別なリスクを明らかにした:
自動化の二面性:
-
AI取引システムは7x24時間自動稼働するように設計
-
一度侵入されると、攻撃者は大量の取引を迅速に実行できる
-
ユーザーは数時間後に資産が移転されていたことに気づく
オープンソースとセキュリティの矛盾:
-
オープンソースはコミュニティによる改善と審査を助ける
-
しかし攻撃者にとっても脆弱性を発見しやすくなる
-
セキュリティ修正が完了する前に、脆弱性がすでに公開される
ユーザー教育の欠如:
-
多くのユーザーはAI取引システムをデプロイするリスクを理解していない
-
デフォルト設定をそのまま使用し、鍵の変更を知らない
-
パブリックネットワークにサービスを露出させ、基本的なセキュリティ対策がない
SlowMistの模範的意義
この事件において、SlowMistの行動は称賛に値する:
-
迅速な対応:情報を受け取った直後、即座に深層分析
-
能動的スキャン:ユーザー報告を待たず、自ら影響を受けたインスタンスを発見
-
業界協力:取引所と緊密に連携し、バラバラの行動を避けた
-
公開開示:緊急事態を処理した後、詳細なレポートを発表し、コミュニティに教育
-
明確な立場:これは批判ではなく、リスク低減であると強調
このような責任ある開示(Responsible Disclosure)メカニズムは、業界セキュリティの基盤である。
まとめ:オープンソースは免罪符ではない
Nofxのセキュリティ脆弱性事件が教えてくれるのは:
-
オープンソースプロジェクトにはセキュリティ監査が必要:急速な反復開発のプロジェクトでも、セキュリティチェックをスキップしてはならない
-
デフォルト設定はセキュリティを最優先:開発の便宜と攻撃の便宜は往々にして表裏一体
-
ユーザー資金は特別扱い:金銭に関わるシステムでは、セキュリティは譲れない最低ライン
-
コミュニティはセキュリティ対応メカニズムを構築する必要:SlowMistの行動は良いモデルを提供
-
技術力≠セキュリティ意識:機能コードを書けることが、安全なコードを書けることを意味しない
問題4:Amberの「後ろ盾」は一体いくらの価値があるのか?
Nofxの多重危機の中、簡単に見過ごされがちな細部があるが、それは暗号業界の一般的問題を暴露している:後ろ盾文化である。
後ろ盾の出現:"Backed by@amber_ac_"
事件発生前、NofxのTwitterホームページを訪問すると、概要欄に「Backed by@amber_ac_」という一行が記載されていた。
これはどういう意味か? 暗号業界では「backed by」は通常:
-
その機関からの投資を得た
-
少なくともインキュベーション支援を受けた
-
公式な承認関係がある
Amber Groupは暗号業界の有名機関であり、強力な資金とリソースを持っている。amber.acはそのエコシステムアクセラレーターである。新興のオープンソースプロジェクトにとって、Amberの後ろ盾を得ることは:
-
信用保証:プロジェクトが信頼され、より多くのユーザーを引き寄せる
-
資金調達の容易さ:他の投資家も追随しやすくなる
-
リソース支援:技術、マーケティング、法務などの支援が得られる可能性
-
コミュニティの信頼:ユーザーが参加・貢献しやすくなる
これはまるで起業家がトップVCからterm sheetを手に入れるようなもので、まだ資金を受けていなくても、この後ろ盾だけで巨大な価値を生む。
Zackの交渉材料:私がAmberを連れて来られる
内紛門の背景に戻ると、Zackが50%株式を要求する重要な交渉材料は、AmberをNofxの商業化に参加させられることだった。
Tinkleの主張によれば、ZackはかつてAmberのインターン生だった。業界では、このバックグラウンドは一定の人脈資源を意味する。ZackはTinkleに、Amberの投資またはインキュベーション支援を引き入れられると約束し、その代わりに50%の株式を要求した。
ビジネス論理から見ると、この取引は合理的である:
-
Zackが本当にAmberの投資を引き入れられたら、その価値は14日間のコード貢献を大きく超える
-
オープンソースプロジェクトにとって、トップ機関の後ろ盾を得ることは0から1への飛躍の鍵になり得る
-
初期段階のスタートアップで、50%の株式をリソース紹介者に与えることは前例がないわけではない
しかし鍵となる問題は:Amberは最終的に来たのか?
Amberの説明:「正式なインキュベーション、投資、商業提携関係なし」
2025年12月、Nofxの内紛とオープンソース門が大騒ぎになると、amber.acは公式声明を発表した:
「amber.acはNofxと正式なインキュベーション、投資、商業提携関係はありません。業界観察に基づきNofxと友好な交流を行いましたが、これらはいかなる正式提携にもつながりませんでした。すべての正式提携は公式ウェブサイトで公示されます。」
この声明は繊細である:
-
正式関係を否定:投資、インキュベーション、商業提携なし
-
接触を認める:「友好な交流」「業界観察」
-
手続きを強調:正式提携は公式公示がある
-
線引き:これは公的な切り離し
では問題は:「友好な交流」と「backed by」の間にはどれほどのギャップがあるのか?
後ろ盾の消滅:削除と説明
Amberが声明を出した直後、コミュニティはNofxがTwitter概要欄の「Backed by@amber_ac_」という文言をこっそり削除したことに気づいた。
ネットユーザーが疑問を呈すると、Nofxの運営は回答:
「Amberの初期支援に感謝。現在の事件と相手側の要請により、意志を尊重して削除しました。」
この回答は新たな問題を引き起こした:
-
「初期支援」とは何か:正式提携がなければ、「支援」とは何を指すのか?
-
「相手側の要請」により削除:Amberが主動で切り離しを要請したのか?
-
「現在の事件」の影響:スキャンダルが原因で削除を要請されたのか?
Amberの視点から見ると、この切り離しは必要不可欠だった:
-
Nofxはセキュリティ脆弱性、株式紛争、ライセンス争議に巻き込まれていた
-
Nofxとの関連はすべてAmberの評判を損なう可能性
-
特にユーザーがNofxの使用で損失を被った場合、Amberは責任を負いたくない
Nofxの視点から見ると、この削除は非常に気まずい:
-
かつて誇りに思っていた後ろ盾が突然消えた
-
外界への印象は「投資家さえ逃げ出した」というもの
-
コミュニティの信頼をさらに損なった
「エコシステムアクセラレーター」vs「正式投資」:グレーゾーンamber.acの位置づけは「エコシステムアクセラレーター」であり、直接の投資ファンドではない。この位置づけの曖昧さこそが問題の根源である。
エコシステムアクセラレーターは通常以下を提供:
-
メンター指導と業界アドバイス
-
コミュニティリソースとネットワーク接続
-
イベント参加とブランド露出
-
直接の資金提供は必ずしも含まない
正式投資関係には以下を含む:
-
明確な投資額と株式比率
-
法的文書(投資契約、株主契約)
-
取締役会席またはオブザーバー権
-
定期的な財務・運営報告
Nofxとamber.acの関係は、おそらくこの二つの間のグレーゾーンにある:
-
いくつかの交流と指導があった(「友好な交流」)
-
Nofxはこれを「支援」と見なし、「backed by」と表記した
-
amber.acはこれを「正式提携」と見なさず、公に宣伝すべきではないと考えた
-
Zackが確かにこれらの交流を仲介したが、最終的に投資には結びつかなかった
後ろ盾文化の蔓延:暗号業界の通病
Nofx-Amber事件は氷山の一角に過ぎない。暗号業界では、後ろ盾文化が蔓延している:
よくある後ろ盾の手口:
-
「〇〇機関が主導投資」:実際は小額の参加投資にすぎない可能性
-
「〇〇著名人が推薦」:単にリツイートしただけの可能性
-
「〇〇アクセラレーターがインキュベート」:単にワークショップに参加しただけの可能性
-
「〇〇取引所と提携」:上場申請を提出しただけの可能性
後ろ盾の真の価値連鎖:
-
頂点:正式投資契約、明確な金額と条項
-
中層:アクセラレーター選抜、明確な支援計画
-
底層:イベント参加、露出機会
-
最底層:非公式な会話、アドバイスの提供
問題は、多くのプロジェクトが底層の関係を頂点の後ろ盾のように包装することである。
なぜ投資機関はこの曖昧さを容認するのか:
-
影響力の拡大:より多くのプロジェクトが自分たちに言及することで、ブランドを拡大
-
オプション思考:弱いつながりをまず築き、将来投資に転化する可能性
-
わずかな努力:一回の交流コストは低いが、プロジェクト側にとっては大きな価値
-
グレーな収益:一部の機関は「コンサルタント料」や「ブランド使用料」を請求している可能性
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@wquguru
