Gót chân Achilles của mã nguồn mở: Nofx với 9.000 sao trong 2 tháng và các sự kiện bê bối tin tặc, nội đấu, mã nguồn mở

2025.12.22

Chia sẻ đến

Tuyển chọn TechFlowTuyển chọn TechFlow

Gót chân Achilles của mã nguồn mở: Nofx với 9.000 sao trong 2 tháng và các sự kiện bê bối tin tặc, nội đấu, mã nguồn mở

Từ vươn lên nhanh chóng đến陷入 vào khủng hoảng ba mặt, câu chuyện của Nofx là một tấm gương thu nhỏ của phong trào mã nguồn mở Web3.

2025.12.22 - 08:03:28

Nofx

Chuyên sâu báo cáo Web3

Từ vươn lên nhanh chóng đến陷入 vào khủng hoảng ba mặt, câu chuyện của Nofx là một tấm gương thu nhỏ của phong trào mã nguồn mở Web3.

Tác giả: WquGuru

Bối cảnh viết bài

Trước khi chính thức triển khai câu chuyện này, tôi cần làm rõ vị trí của bản thân trong sự kiện.

Tôi là một người quan sát và phân tích. Trong giai đoạn dự án Nofx bùng nổ, tôi từng phát triển dự án nof0 —— cả hai đều lấy cảm hứng từ nof1. Trong quá trình phát triển, tôi đã trao đổi với các thành viên cốt lõi của nhóm Nofx là Tinkle và Zack, chủ yếu xoay quanh việc thực hiện kỹ thuật và hợp tác mã nguồn mở.

Cần làm rõ: Tôi chỉ có trao đổi kỹ thuật với nhóm Nofx, không có bất kỳ mối quan hệ hợp tác thương mại nào; còn với nhóm ChainOpera AI (COAI) thì hoàn toàn không tiếp xúc trực tiếp. Khi viết bài này, tôi cố gắng duy trì lập trường khách quan trung lập, mọi phân tích và đánh giá đều dựa trên dữ liệu công khai có thể kiểm chứng, bao gồm ghi chép GitHub, phát ngôn trên mạng xã hội, báo cáo an ninh, v.v.

Thời gian diễn ra sự kiện:

Tháng 10 năm 2025: Dự án Nofx khởi động, chỉ sau 2 tháng đã đạt gần 9000 sao trên GitHub
Tháng 11 năm 2025: Lỗ hổng an ninh lộ diện, SlowMist phát cảnh báo an ninh (vụ Hacking)
Tháng 12 năm 2025: Tranh chấp giấy phép mã nguồn mở bùng phát (vụ Mã nguồn mở), đồng thời mâu thuẫn nội bộ cũng phơi bày (vụ Nội chiến)

Toàn bộ sự kiện kéo dài khoảng 2 tháng, nhưng tập trung phơi bày nhiều mâu thuẫn trong phong trào mã nguồn mở Web3.

Mục đích viết bài này không phải để đứng về phe nào hay đổ lỗi cho bên nào, mà hy vọng:

Ghi lại đầy đủ một điển hình tiêu biểu của phong trào mã nguồn mở Web3
Thảo luận xung đột sâu xa giữa tinh thần mã nguồn mở và lợi ích thương mại
Cung cấp tư liệu phản tỉnh và tham khảo cho việc xây dựng quy chuẩn ngành trong tương lai

Bây giờ, hãy cùng lần theo từng bước câu chuyện phức tạp này.

Dạo đầu: Sự nổi tiếng của một dự án giao dịch AI

Vào cuối tháng 10 năm 2025, một dự án giao dịch tự động AI tên là Nof1 gây bão trên Twitter. Chỉ trong vài ngày ngắn ngủi, nhiều phiên bản mã nguồn mở của nó —— bao gồm nof0, nofx, v.v. —— đã nhận được hàng ngàn sao trên GitHub. Trong đó, dự án Nofx bắt đầu phát triển từ cuối tháng 10, đến tháng 12 đã tích lũy hơn 9000 sao, trở thành một trong những dự án mã nguồn mở được chú ý nhất trong lĩnh vực Giao dịch AI.

Tuy nhiên, chỉ hai tháng sau, dự án ngôi sao này rơi vào ba cuộc khủng hoảng:

Vụ Hacking: Công ty an ninh blockchain SlowMist tiết lộ rằng Nofx có lỗ hổng bảo mật nghiêm trọng, khiến khóa API sàn giao dịch, khóa riêng, địa chỉ ví của hơn 1000 instance triển khai trên toàn mạng bị lộ hoàn toàn. Các sàn giao dịch lớn như Binance, OKX đã can thiệp khẩn cấp, hỗ trợ người dùng bị ảnh hưởng thay đổi thông tin xác thực.

Vụ Nội chiến: Thành viên cốt lõi của dự án Tinkle công khai cáo buộc đồng sáng lập Zack "chỉ tham gia 14 ngày, đóng góp vài dòng mã" nhưng đòi 50% cổ phần và 500 nghìn USD. Zack đáp lại bằng văn bản pháp lý chính thức do luật sư gửi, cáo buộc Tinkle "tham ô tài sản, chuyển giao lợi ích", đồng thời cung cấp hồ sơ đăng ký doanh nghiệp đối tác cho thấy cả hai nắm giữ 50% cổ phần mỗi người.

Vụ Mã nguồn mở: Nofx công khai cáo buộc ChainOpera AI (COAI) - đã gọi vốn 17 triệu USD - vi phạm giấy phép mã nguồn mở AGPL, sử dụng mã của họ để triển khai sản phẩm thương mại mà không công khai mã nguồn. COAI phản bác rằng Nofx vẫn đang dùng giấy phép MIT vào ngày 3 tháng 11, mới chuyển sang AGPL vào ngày 4 tháng 11, đồng thời sản phẩm của họ được phát triển bằng Python, hoàn toàn khác biệt với cách triển khai bằng Go của Nofx.

Một dự án mã nguồn mở được cộng đồng hết lời ca ngợi, tại sao chỉ trong hai tháng ngắn ngủi lại rơi vào tình trạng khủng hoảng phức tạp như vậy? Đằng sau điều này phơi bày những vấn đề hệ thống nào trong cộng đồng mã nguồn mở, đội ngũ khởi nghiệp và hệ sinh thái đầu tư? Hãy cùng đi sâu phân tích vụ việc này qua năm câu hỏi then chốt.

Câu hỏi 1: Giấy phép mã nguồn mở có thực sự bị vi phạm?

MIT và AGPL: Hai triết lý mã nguồn mở hoàn toàn khác nhau

Trước khi thảo luận tranh chấp giấy phép giữa Nofx và COAI, chúng ta cần hiểu sự khác biệt căn bản giữa hai loại giấy phép mã nguồn mở:

Giấy phép MIT (Giấy phép Học viện Công nghệ Massachusetts) là một trong những giấy phép mã nguồn mở linh hoạt nhất. Nó cho phép:

Tự do sử dụng, sửa đổi, phân phối mã
Sử dụng cho mục đích thương mại mà không cần công khai mã nguồn
Yêu cầu duy nhất: Giữ nguyên bản quyền của tác giả gốc

AGPL v3.0 (Giấy phép Công cộng Affero GNU) là một trong những giấy phép mã nguồn mở nghiêm ngặt nhất. Nó yêu cầu:

Bất kỳ dự án nào sử dụng mã này đều phải công khai mã nguồn
Đặc biệt, ngay cả khi cung cấp dịch vụ qua mạng (như SaaS), cũng phải công khai mã nguồn
Phải ghi rõ thông tin dự án gốc ở vị trí nổi bật

Từ MIT đến AGPL là sự chuyển biến 180 độ từ "rất khoáng đạt" sang "rất nghiêm ngặt". Đây cũng là trọng tâm của tranh chấp lần này.

Việc thay đổi giấy phép và tranh cãi về thời gian

Giấy phép mã nguồn mở của dự án Nofx chuyển từ MIT sang AGPL, nhưng thời điểm cụ thể thay đổi trở thành trọng tâm tranh cãi, vì thời điểm này cực kỳ quan trọng —— nó quyết định trực tiếp việc nhóm ChainOpera (COAI) phải tuân thủ giấy phép nào khi fork mã.

So sánh bằng chứng của hai bên:

Nhóm Nofx cung cấp lịch sử commit trên GitHub, hiển thị thời gian sửa đổi tệp giấy phép
Nhóm COAI chỉ ra rằng, theo ghi chép và quan sát của họ, thời điểm công khai thay đổi giấy phép là đáng nghi ngờ

Khẳng định "sao chép" của ChainOpera

Cộng đồng Nofx phát hiện dự án ChainOpera (COAI) - đã gọi vốn 17 triệu USD và lên Binance Alpha - có mã rất giống với Nofx.

Khẳng định của phía Nofx:

COAI sử dụng mã của Nofx mà không ghi nguồn, không công khai mã nguồn
Theo giấy phép AGPL đang hiệu lực, COAI nên: Ghi rõ nguồn mã, Công khai mã nguồn đã chỉnh sửa, Cũng áp dụng giấy phép AGPL

Phản hồi của phía COAI:

Khẳng định rằng khi họ fork mã, Nofx vẫn đang dùng giấy phép MIT
Giấy phép MIT cho phép sử dụng thương mại mà không cần công khai mã nguồn
Tranh cãi về thời điểm thay đổi giấy phép ảnh hưởng đến việc đánh giá bản chất toàn bộ sự kiện

Tranh chấp giấy phép mã nguồn mở: Ai đúng ai sai?

Tranh chấp này phơi bày những vấn đề sâu xa trong hệ sinh thái mã nguồn mở Web3:

Vấn đề hiệu lực thay đổi giấy phép:

Tranh cãi về hiệu lực hồi tố: Việc thay đổi giấy phép mã nguồn mở có ràng buộc với mã đã được fork trước đó hay không?
Xác định thời điểm: Thời điểm thay đổi giấy phép khó xác định hoàn toàn chính xác, hai bên đều đưa ra lập luận riêng
Độ tin cậy bằng chứng: Lịch sử GitHub có thể bị sửa đổi, cần xác minh độc lập từ bên thứ ba đáng tin cậy hơn
Truyền tải thay đổi giấy phép: Việc chuyển từ MIT sang AGPL đã truyền đạt thông tin này đến cộng đồng ở mức độ nào

Xung đột lợi ích thương mại:

COAI gọi được vốn lớn và lên sàn Binance, giá trị thương mại khổng lồ
Nofx là dự án mã nguồn mở, đường đi thương mại hóa không rõ ràng
Mâu thuẫn cốt lõi: Khó cân bằng giữa tinh thần chia sẻ mã nguồn mở và bảo vệ lợi ích thương mại

Quan điểm cộng đồng phân hóa:

Người ủng hộ Nofx cho rằng COAI lợi dụng mã nguồn mở để kiếm lời mà không hoàn trả cộng đồng
Người ủng hộ COAI cho rằng giấy phép MIT vốn cho phép sử dụng thương mại, và thời điểm thay đổi giấy phép còn đáng nghi
Người quan sát trung lập chỉ ra rằng tranh cãi về thời gian là then chốt, cần bằng chứng đáng tin cậy hơn để phán xét

Khu vực xám pháp lý và kỹ thuật:

Hiệu lực pháp lý của giấy phép mã nguồn mở trong các dự án trên chuỗi chưa rõ ràng
Tính dễ bị sửa đổi của lịch sử GitHub làm suy yếu độ tin cậy của nó như bằng chứng
Ngành Web3 thiếu cơ chế giải quyết tranh chấp mã nguồn mở trưởng thành

Tóm tắt: Một cáo buộc gây tranh cãi

Từ bằng chứng công khai hiện tại, cáo buộc vi phạm giấy phép mã nguồn mở của Nofx đối với COAI có nhiều điểm đáng ngờ:

Thời điểm đáng nghi: Bằng chứng GitHub cho thấy chỉ chuyển sang AGPL vào ngày 4 tháng 11
Thực hiện kỹ thuật khác nhau: Tên giao diện giống nhau không có nghĩa mã giống nhau
Giải thích log hợp lý: Chức năng thống kê được chèn vào trong giai đoạn MIT sẽ tiếp tục ghi nhận
Tự gây nghi ngờ vi phạm: Không thông báo với người dùng về việc chèn thống kê, có thể vi phạm luật bảo vệ quyền riêng tư
Thủ tục giao tiếp qua loa: Gửi email và cáo buộc công khai cùng một phút

Điều đáng chú ý là tranh cãi về thời điểm thay đổi giấy phép có ảnh hưởng quyết định đến việc đánh giá bản chất toàn bộ sự kiện. Nếu lập luận của Nofx đúng, COAI thực sự có vấn đề vi phạm giấy phép AGPL; nhưng nếu lập luận của COAI đúng, hành vi của họ hoàn toàn phù hợp với quy định của giấy phép MIT. Việc xác định thời điểm này vẫn cần xác minh độc lập từ bên thứ ba đáng tin cậy hơn.

Câu hỏi 2: 14 ngày có đáng giá 50% cổ phần?

Nếu nói vụ Mã nguồn mở là tranh chấp của Nofx với bên ngoài, thì vụ Nội chiến là sự bộc lộ công khai mâu thuẫn nội bộ của dự án này —— một cuộc tranh đoạt giữa đội ngũ sáng lập về "đóng góp" và "giá trị".

Khung thời gian: Từ gia nhập đến đối đầu

28/10/2025: Nofx bắt đầu phát triển;

29/10/2025: Zack gia nhập dự án (lúc này dự án vừa công khai mã nguồn một ngày);

Đầu tháng 11/2025: Zack yêu cầu 50% cổ phần, lý do là có thể giới thiệu Amber Group tham gia thương mại hóa;

Đầu tháng 11/2025: Tinkle từ chối cấp 50% cổ phần, cho rằng bản thân là CEO kiêm CTO của nhóm, Zack đóng góp không đủ;

19/11/2025: Luật sư của Zack (Văn phòng Hồng Kông, JunHe Law Firm) gửi "Lời đề nghị hòa giải vô hại" ("Without Prejudice Save as to Costs") chính thức, yêu cầu thanh toán 500 nghìn USD để mua lại 50% cổ phần mà Zack nắm giữ;

Tháng 12/2025: Mâu thuẫn công khai, hai bên cáo buộc nhau trên mạng xã hội;

Xét về mặt thời gian, từ lúc Zack gia nhập đến khi gửi thư luật sư, chưa đến một tháng, quả thật rất ngắn.

Đối đầu: Hai bộ bằng chứng hoàn toàn khác nhau

Kể chuyện của Tinkle:

Zack chỉ tham gia 14 ngày
Chỉ đóng góp vài dòng mã ("có thể kiểm tra")
Gia nhập khi dự án đã công khai mã nguồn, có hàng ngàn thành viên nhóm Telegram
Đòi cổ phần lớn bằng cách dùng lá bài giới thiệu đầu tư từ Amber
Bị từ chối, liền giữ lại tài khoản Twitter của dự án
Thông qua thư luật sư đòi 500 nghìn USD, bị nghi ngờ tống tiền
Zack từng là thực tập sinh của Amber, nhưng chưa được chuyển chính thức thì đã rời đi
Cuối cùng không thành công trong việc đưa Amber đầu tư

Phản công của Zack:

Cung cấp hồ sơ đăng ký công ty APEIRON LABS PTE. LTD.
Hồ sơ cho thấy: Tinkle và Zack mỗi người nắm 50% cổ phần
Đây là thông tin công khai trong hệ thống đăng ký công ty Singapore, bất kỳ ai cũng có thể xác minh
Thư luật sư là "Lời đề nghị hòa giải vô hại" tiêu chuẩn, phù hợp với quy trình pháp lý thương mại
Nội dung chính là Demand Letter, ghi chi tiết hành vi "tham ô tài sản, chuyển giao lợi ích" của Tinkle
500 nghìn USD không phải tống tiền, mà là mức mua lại hợp pháp theo định giá thấp cho 50% cổ phần của Zack
Đặt câu hỏi ngược lại: Nếu công ty có giá trị, định giá 1 triệu USD để mua lại 50% cổ phần chẳng phải rất hợp lý? Nếu không có giá trị, tại sao Tinkle lại nói đây là "tống tiền"?

Mâu thuẫn cốt lõi: Làm sao định lượng đóng góp?

Bản chất của tranh chấp này là một bài toán cũ rích trong khởi nghiệp: đóng góp kỹ thuật so với giới thiệu nguồn lực, cái nào đáng giá hơn?

Xét về đóng góp mã, lập luận của Tinkle có thể có chút道理. Lịch sử commit trên GitHub là công khai, nếu Zack thực sự chỉ có vài commit nhỏ, đây là sự thật dễ kiểm chứng trong giới kỹ thuật. Một dự án phát triển 60 ngày, người khác tham gia 14 ngày, xét về thời gian và lượng mã, sự chênh lệch đóng góp thực sự rất lớn.

Nhưng xét về cổ phần, Zack đã đưa ra tài liệu pháp lý. Thông tin đăng ký công ty APEIRON LABS PTE. LTD. cho thấy, hai bên đã ký thỏa thuận phân bổ cổ phần 50-50. Điều này có nghĩa:

Hai bên từng đạt được thỏa thuận pháp lý chính thức
Thỏa thuận công nhận Zack sở hữu 50% quyền lợi
Không phải cam kết miệng, mà là sự thật pháp lý được đăng ký tại cơ quan chính phủ

Vấn đề đặt ra là: Tại sao Tinkle lại đồng ý phân bổ cổ phần như vậy?

Lá bài Amber này đáng giá bao nhiêu?

Biến số then chốt là Amber Group —— hoặc chính xác hơn, là chương trình tăng tốc sinh thái amber.ac của Amber.

Lá bài của Zack là: Anh ta có thể giới thiệu Amber tham gia thương mại hóa Nofx. Theo lời Tinkle, Zack từng là thực tập sinh của Amber (mặc dù chưa được chuyển chính thức thì đã rời đi). Trong ngành tiền mã hóa, việc đưa được sự hậu thuẫn và vốn từ các tổ chức hàng đầu thực sự là giá trị lớn.

Nhưng kết quả cuối cùng là:

Amber không chính thức đầu tư vào Nofx
Thông báo chính thức của Amber: "không có mối quan hệ ươm tạo, đầu tư hoặc hợp tác thương mại chính thức nào với Nofx"
Amber thừa nhận: Từng có "trao đổi thân thiện", nhưng không dẫn tới hợp tác chính thức

Điều này dẫn đến hai khả năng giải thích:

Giải thích A (ủng hộ Tinkle): Zack thổi phồng năng lực nguồn lực của mình, dùng séc vẽ để đổi lấy cổ phần, cuối cùng không thực hiện được cam kết, nhưng từ chối giao cổ phần, dùng thư luật sư để đe dọa.

Giải thích B (ủng hộ Zack): Hai bên thực sự đã đạt được thỏa thuận cổ phần, Zack đã cố gắng giới thiệu Amber, nhưng do vấn đề từ phía Tinkle (có thể bao gồm "tham ô tài sản, chuyển giao lợi ích") nên đầu tư không thành. Zack với tư cách cổ đông hợp pháp, có quyền yêu cầu rút lui và được bồi thường.

Giải thích nào gần với sự thật hơn? Cần thêm tài liệu nội bộ mới có thể phán đoán.

Thủ tục pháp lý hay tống tiền?

Tinkle công khai thư luật sư của Zack trên mạng xã hội và gọi đó là "tống tiền". Khẳng định này rất nghiêm trọng, vì tống tiền là tội hình sự.

Nhưng phản hồi của Zack hé lộ tính chuyên nghiệp của thủ tục pháp lý:

"Lời đề nghị hòa giải vô hại" ("Without Prejudice Save as to Costs") là thủ tục pháp lý tiêu chuẩn trong hệ thống luật Common Law, dùng để đàm phán hòa giải trong tranh chấp thương mại. Đặc điểm của nó là:

Được pháp luật bảo vệ, không thể dùng làm bằng chứng tố tụng (trừ khi liên quan đến chi phí tố tụng)
Mục đích khuyến khích hai bên giải quyết tranh chấp một cách hòa bình
Đưa ra điều kiện hòa giải không cấu thành tống tiền
Nội dung chính là Demand Letter, liệt kê hành vi vi phạm hoặc xâm phạm quyền lợi của đối phương

Thư luật sư của Zack yêu cầu 500 nghìn USD, nhưng số tiền này dựa trên:

Thực tế pháp lý Zack nắm 50% cổ phần trong công ty
Tính toán theo định giá bảo thủ 1 triệu USD cho công ty
Yêu cầu mức giá mua lại để Tinkle mua đứt cổ phần của Zack

Xét về mặt pháp lý, đây là chiến lược đàm phán hòa giải hoàn toàn hợp pháp. Nếu Tinkle thực sự cho rằng đây là "tống tiền", cách xử lý đúng đắn là báo cảnh sát, chứ không phải đăng tweet.

Cảnh báo cuối cùng của Zack cũng rất mạnh mẽ:

"Nếu các bạn thực sự cho rằng đây là tống tiền, hãy báo cảnh sát ngay lập tức. Nếu không dám báo cảnh sát, thì hãy ngừng trò biểu diễn vô lý này."

Khẳng định bị che giấu: Tham ô tài sản và chuyển giao lợi ích

Trong cuộc đối đầu công khai này, có một chi tiết đáng chú ý: Zack nhắc đến, nội dung chính của thư luật sư là một Demand Letter chi tiết, ghi lại hành vi "tham ô tài sản đối tác, âm mưu bằng thủ đoạn bất hợp pháp" của Tinkle.

Toàn bộ nội dung của Letter này chưa được công khai, nhưng khẳng định này rất nghiêm trọng. Nếu đúng sự thật, có thể liên quan đến:

Lạm dụng vốn công ty cho mục đích cá nhân
Thực hiện trao đổi lợi ích với cá nhân trong tổ chức đầu tư
Vi phạm nghĩa vụ tín nhiệm của doanh nghiệp đối tác

Tinkle không phản hồi trực tiếp phần khẳng định này, chỉ nói "không còn phản hồi nữa, tập trung làm sản phẩm".

Thái độ né tránh này càng khiến người ta tò mò: Trong Demand Letter có ghi gì vậy?

Tóm tắt: Một bài toán nan giải

Tranh chấp cổ phần trong đội ngũ sáng lập là chuyện thường gặp trong giới khởi nghiệp. Vụ việc Nofx gây chú ý vì nó cô đọng những mâu thuẫn điển hình của loại tranh chấp này:

Cam kết miệng vs Thỏa thuận bằng văn bản: Nếu không có thỏa thuận cổ phần bằng văn bản, làm sao xác định đóng góp?
Đóng góp kỹ thuật vs Giới thiệu nguồn lực: Làm sao định lượng hai loại giá trị này?
Trách nhiệm khi kỳ vọng thất bại: Ai chịu trách nhiệm khi việc huy động vốn thất bại?
Thủ tục pháp lý vs Xét xử đạo đức: Đàm phán hòa giải có bằng tống tiền?

Từ bằng chứng hiện có:

Zack có tài liệu pháp lý chứng minh 50% cổ phần
Tinkle có lịch sử đóng góp mã chứng minh vị trí chủ đạo
Cả hai đều có câu chuyện riêng, nhưng đều thiếu chuỗi bằng chứng đầy đủ

Câu trả lời cuối cùng có lẽ chỉ tòa án mới đưa ra được. Nhưng vụ việc này cảnh báo tất cả các đội ngũ khởi nghiệp:

Phân bổ cổ phần cần sớm, bằng văn bản, rõ ràng
Định lượng đóng góp cần tiêu chuẩn khách quan (lượng mã, thời gian làm việc, giá trị nguồn lực)
Lưu trữ hồ sơ các quyết định quan trọng
Ưu tiên con đường pháp lý khi xảy ra tranh chấp, thay vì chiến tranh dư luận

Câu hỏi 3: Vì sao dự án mã nguồn mở lại trở thành vùng đất dễ tổn thương về an ninh?

Trước khi xảy ra tranh chấp giấy phép giữa Nofx và COAI và tranh chấp cổ phần nội bộ, một cuộc khủng hoảng nghiêm trọng hơn đã âm thầm nảy sinh: lỗ hổng an ninh.

Tháng 11 năm 2025, công ty an ninh blockchain SlowMist đã công bố một báo cáo phân tích an ninh chi tiết, phơi bày những nguy cơ an ninh nghiêm trọng tồn tại trong dự án Nofx. Đây không phải là "lỗi nhỏ" theo nghĩa thông thường, mà là lỗ hổng nghiêm trọng có thể dẫn đến mất mát hoàn toàn tài sản người dùng.

Khung thời gian lỗ hổng: Từ không xác thực đến khóa mặc định

31/10/2025 - Commit 517d0c: Tội lỗi ban đầu từ không xác thực

Trong commit này, mã của Nofx tồn tại một khuyết điểm chí mạng:

admin_mode mặc định đặt là true
Middlewares cho phép tất cả request đi qua mà không cần xác thực
Giao diện /api/exchanges hoàn toàn mở

Điều này có nghĩa gì? Bất kỳ ai biết địa chỉ máy chủ đã triển khai Nofx đều có thể trực tiếp truy cập giao diện /api/exchanges để lấy:

api_key: Khóa API sàn giao dịch của người dùng
secret_key: Khóa bí mật sàn giao dịch
hyperliquid_wallet_addr: Địa chỉ ví Hyperliquid
aster_private_key: Khóa riêng của nền tảng Aster

Có được những thông tin này, kẻ tấn công có thể:

Hoàn toàn kiểm soát tài khoản sàn giao dịch của người dùng
Thực hiện giao dịch ma (wash trading)
Rút tiền trực tiếp
Thao túng giá thị trường

Đây là sự phơi bày hoàn toàn không có phòng thủ, là sai sót cơ bản trong thiết kế an ninh.

05/11/2025 - Commit be768d9: Ảo ảnh "củng cố"

Có thể nhận ra vấn đề an ninh, nhóm Nofx trong commit này đã thêm cơ chế xác thực JWT (JSON Web Token). Nhìn bề ngoài, đây là một lần củng cố an ninh.

Nhưng vấn đề nằm ở:

jwt_secret mặc định không được thay đổi
Nếu người dùng không đặt biến môi trường, hệ thống sẽ quay về khóa mặc định được mã hóa cứng
/api/exchanges vẫn trả về tất cả trường nhạy cảm dưới dạng JSON nguyên bản

Điều này có nghĩa:

Kẻ tấn công có thể dùng khóa mặc định để tạo token JWT giả
Một khi có token hợp lệ, tất cả khóa vẫn sẽ bị rò rỉ hoàn toàn
Phiên bản "củng cố" thực tế vẫn rất dễ bị tổn thương

Điều này giống như gắn một ổ khóa cho cửa, nhưng chìa khóa lại để dưới tấm thảm trước cửa, ai cũng biết.

13/11/2025 - Nhánh dev: Nguy cơ kéo dài

Ngay cả đến ngày 13 tháng 11, mã trong nhánh dev vẫn tồn tại nhiều vấn đề:

Cài đặt authMiddleware vẫn có khuyết điểm (api/server.go:1471–1511)
/api/exchanges tiếp tục trả trực tiếp ExchangeConfig đầy đủ (api/server.go:1009–1021)
Trong tệp cấu hình vẫn mã hóa cứng admin_mode=true và jwt_secret mặc định
Nhánh chính (origin/main) thậm chí còn đang ở phiên bản không xác thực từ ngày 31 tháng 10

Đây không phải là sự lơ là ngẫu nhiên, mà là sự thiếu vắng ý thức an ninh mang tính hệ thống.

Phát hiện và phản ứng: Hành động then chốt của SlowMist

Nguồn tình báo: Nhà nghiên cứu an ninh @Endlessss20 cung cấp thông tin ban đầu về nguy cơ an ninh của Nofx cho SlowMist.

Phân tích chuyên sâu: Đội an ninh SlowMist đã kiểm toán toàn bộ mã trên GitHub của Nofx, xác định được hai vấn đề xác thực chính nêu trên.

Quét toàn mạng: Điều đáng kinh ngạc hơn là SlowMist đã thực hiện quét phạm vi Internet, phát hiện hơn 1000 instance triển khai Nofx có thể truy cập công khai, trong đó nhiều instance dùng cấu hình mặc định hoặc dễ bị tổn thương, thông tin xác thực người dùng hoàn toàn bị lộ.

Đây không phải là rủi ro an ninh trên lý thuyết, mà là mối đe dọa thực tế đang diễn ra.

Phối hợp khẩn cấp: Do mức độ khẩn cấp của rủi ro, SlowMist ngay lập tức liên hệ với các sàn giao dịch hàng đầu:

Cung cấp thông tin tình báo cho đội an ninh Binance và OKX
Hai sàn giao dịch tiến hành kiểm chứng chéo độc lập
Sử dụng khóa API đã thu thập để truy vết người dùng bị ảnh hưởng
Thông báo cho người dùng và hỗ trợ thay đổi khóa
Ngăn chặn các cuộc tấn công wash trading tiềm năng

Tiến độ xử lý: Tính đến ngày 17/11/2025, tất cả khóa bị lộ của người dùng trên các sàn giao dịch tập trung (CEX) đã được xử lý xong. Nhưng một số người dùng Aster và Hyperliquid do ví phi tập trung, khó tiếp cận trực tiếp, cần tự kiểm tra.

Phạm vi ảnh hưởng: Không chỉ là vấn đề kỹ thuật

Tác động của sự cố an ninh này vượt xa khỏi phạm vi kỹ thuật:

Người bị hại trực tiếp:

Hơn 1000 người dùng sử dụng Nofx để giao dịch tự động
Liên quan đến nhiều nền tảng như Binance, OKX, Hyperliquid
Không chỉ khóa API bị lộ, mà còn cả khóa riêng và địa chỉ ví

Thiệt hại tiềm tàng:

Nếu kẻ tấn công hành động trước khi sàn giao dịch can thiệp, tài sản người dùng có thể bị mất hoàn toàn
Đặc điểm của hệ thống giao dịch tự động AI là tần suất cao, khối lượng lớn, thiệt hại có thể rất kinh ngạc

Sụp đổ niềm tin:

Cộng đồng mất niềm tin vào độ an toàn của dự án Nofx
Nghi ngờ toàn bộ hệ sinh thái mã nguồn mở Giao dịch AI
Người phát triển thận trọng hơn khi chọn dự án mã nguồn mở

Đặt câu hỏi sâu sắc: Vì sao lại xuất hiện những sai lầm cơ bản như vậy?

Những lỗ hổng an ninh của Nofx không phải là thử thách kỹ thuật cao siêu, mà là kiến thức an ninh cơ bản:

Cơ chế xác thực nên mặc định bật, chứ không phải mặc định tắt
Khóa mặc định nên được tạo ngẫu nhiên, chứ không phải mã hóa cứng
Dữ liệu nhạy cảm nên được mã hóa hoặc loại bỏ thông tin, chứ không trả về dạng rõ
Tệp cấu hình nên cảnh báo rõ ràng về rủi ro an ninh

Đây là những nguyên tắc bất kỳ nhà phát triển có kinh nghiệm nào cũng nên biết. Vậy tại sao Nofx lại mắc những sai lầm này?

Nguyên nhân có thể:

Ưu tiên phát triển nhanh: Trong cơn sốt Giao dịch AI, chiếm lĩnh thị trường quan trọng hơn an ninh
Thiếu kinh nghiệm đội ngũ: Có thể thiếu kinh nghiệm xử lý an ninh tài sản người dùng
Cấu hình môi trường test dùng cho production: Để tiện test nên tắt xác thực, kết quả cấu hình này vào môi trường production
Thiếu kiểm toán an ninh: Dự án mã nguồn mở thường thiếu kiểm toán an ninh chuyên nghiệp

Nhưng nguyên nhân căn bản nhất có thể là: mã nguồn mở ≠ an toàn.

Nhiều người nghĩ rằng, mã nguồn mở nghĩa là "hàng ngàn đôi mắt" đang kiểm tra, nên an toàn hơn. Nhưng thực tế là:

Đa số người dùng chỉ là người sử dụng, không phải người kiểm tra
Ngay cả khi phát hiện vấn đề, cũng chưa chắc có khả năng hoặc muốn nộp bản sửa lỗi
Kiểm toán an ninh cần chuyên môn và thời gian lớn
Công ty thương mại có đội an ninh, dự án mã nguồn mở thường không có

Giới hạn trách nhiệm: Tác giả mã nguồn mở phải chịu trách nhiệm đến đâu?

Điều này dẫn đến một câu hỏi gây tranh cãi: Khi người dùng bị tổn thất do sử dụng phần mềm mã nguồn mở có lỗ hổng, tác giả mã nguồn mở có nên chịu trách nhiệm không?

Xét về mặt pháp lý, hầu hết giấy phép mã nguồn mở (bao gồm MIT và AGPL) đều có tuyên bố miễn trừ trách nhiệm:

"Phần mềm được cung cấp 'nguyên trạng', không có bất kỳ đảm bảo minh thị hay ngụ ý nào... Tác giả không chịu trách nhiệm cho bất kỳ thiệt hại nào."

Nhưng xét về mặt đạo đức, khi bạn biết mã của mình sẽ được người dùng dùng để quản lý tài sản thật, liệu bạn có nên đặt tiêu chuẩn an ninh cao hơn không?

Điểm đặc biệt của vụ việc Nofx nằm ở:

Đây là hệ thống giao dịch tự động AI, trực tiếp liên quan đến tài sản người dùng
Dự án nhận được hơn 9000 sao, có lượng lớn người dùng
Lỗ hổng không phải tấn công ẩn giấu, mà là thiếu phòng thủ cơ bản
Vấn đề tồn tại hàng tuần, trong thời gian đó liên tục có người dùng mới triển khai

Bài học cho ngành: Rủi ro đặc biệt của Giao dịch AI

Khủng hoảng an ninh của Nofx phơi bày rủi ro đặc biệt trong lĩnh vực Giao dịch AI:

Lưỡi dao hai lưỡi của tự động hóa:

Hệ thống giao dịch AI được thiết kế chạy tự động 24/7
Một khi bị xâm nhập, kẻ tấn công có thể thực hiện hàng loạt giao dịch nhanh chóng
Người dùng có thể phát hiện tài sản đã bị chuyển sau vài giờ

Mâu thuẫn giữa mã nguồn mở và an ninh:

Mã nguồn mở giúp cộng đồng cải tiến và kiểm tra
Nhưng cũng khiến kẻ tấn công dễ dàng phát hiện lỗ hổng hơn
Trước khi sửa chữa an ninh hoàn tất, lỗ hổng đã bị công khai

Thiếu giáo dục người dùng:

Nhiều người dùng không hiểu rủi ro khi triển khai hệ thống giao dịch AI
Trực tiếp dùng cấu hình mặc định, không biết cần thay đổi khóa
Phơi bày dịch vụ trên mạng công cộng, không có phòng thủ an ninh cơ bản

Ý nghĩa mẫu mực của SlowMist

Trong sự việc này, hành động của SlowMist đáng được khen ngợi:

Phản ứng nhanh: Ngay sau khi nhận thông tin tình báo, lập tức phân tích chuyên sâu
Tự động quét: Không chờ báo cáo người dùng, chủ động phát hiện instance bị ảnh hưởng
Hợp tác ngành: Phối hợp chặt chẽ với các sàn giao dịch, chứ không hành động riêng lẻ
Công bố công khai: Sau khi xử lý tình huống khẩn cấp, công bố báo cáo chi tiết, giáo dục cộng đồng
Khẳng định lập trường rõ ràng: Nhấn mạnh đây không phải chỉ trích, mà là giảm thiểu rủi ro

Cơ chế công bố có trách nhiệm (Responsible Disclosure) này là nền tảng an ninh của ngành.

Tóm tắt: Mã nguồn mở không phải là "bùa miễn tử"

Sự kiện lỗ hổng an ninh của Nofx cho chúng ta biết:

Dự án mã nguồn mở cần kiểm toán an ninh: Ngay cả dự án cập nhật nhanh, cũng không được bỏ qua kiểm tra an ninh
Cấu hình mặc định ưu tiên an toàn: Thuận tiện phát triển và thuận tiện tấn công thường là hai mặt của một vấn đề
Tài sản người dùng phải được đối xử đặc biệt: Với hệ thống liên quan đến tiền bạc, an ninh là ranh giới không thể thỏa hiệp
Cộng đồng cần xây dựng cơ chế phản ứng an ninh: Hành động của SlowMist cung cấp một ví dụ tốt
Năng lực kỹ thuật ≠ Ý thức an ninh: Có thể viết mã chức năng, không có nghĩa có thể viết mã an toàn

Câu hỏi 4: Giá trị của "sự hậu thuẫn" từ Amber là bao nhiêu?

Trong nhiều cuộc khủng hoảng của Nofx, có một chi tiết dễ bị bỏ qua, nhưng nó phơi bày một vấn đề phổ biến trong ngành tiền mã hóa: Văn hóa hậu thuẫn.

Sự xuất hiện của hậu thuẫn: "Backed by@amber_ac_"

Trước khi sự việc bùng nổ, nếu bạn truy cập trang chủ Twitter của Nofx, bạn sẽ thấy dòng chữ này trong phần mô tả: "Backed by@amber_ac_"

Điều này có nghĩa gì? Trong ngành tiền mã hóa, "backed by" thường có nghĩa:

Đã nhận được đầu tư từ tổ chức đó
Hoặc ít nhất là được ươm tạo hỗ trợ
Là một mối quan hệ được công nhận chính thức

Amber Group là tổ chức nổi tiếng trong ngành tiền mã hóa, có nguồn lực và vốn mạnh mẽ. amber.ac là chương trình tăng tốc sinh thái của họ. Đối với một dự án mã nguồn mở non trẻ, nhận được sự hậu thuẫn từ Amber có nghĩa:

Hậu thuẫn uy tín: Dự án đáng tin cậy hơn, thu hút thêm người dùng
Thuận lợi gọi vốn: Các nhà đầu tư khác sẽ sẵn sàng theo dõi
Hỗ trợ nguồn lực: Có thể nhận được hỗ trợ kỹ thuật, thị trường, pháp lý, v.v.
Tin tưởng cộng đồng: Người dùng sẵn sàng tham gia và đóng góp hơn

Điều này giống như một người khởi nghiệp nhận được term sheet từ VC hàng đầu, ngay cả khi chưa nhận tiền, chỉ riêng sự hậu thuẫn này đã mang lại giá trị lớn.

Lá bài của Zack: Tôi có thể mang về Amber

Quay lại bối cảnh vụ Nội chiến, lá bài quan trọng Zack dùng để đòi 50% cổ phần là: Anh ta có thể giới thiệu Amber tham gia thương mại hóa Nofx.

Theo lời Tinkle, Zack từng là thực tập sinh của Amber. Trong ngành, nền tảng này có nghĩa là có mối quan hệ nhất định. Zack hứa với Tinkle rằng có thể đưa về đầu tư hoặc hỗ trợ ươm tạo từ Amber, đổi lại yêu cầu 50% cổ phần.

Xét về logic thương mại, giao dịch này là hợp lý:

Nếu Zack thực sự mang về đầu tư từ Amber, giá trị này vượt xa đóng góp mã trong 14 ngày
Đối với một dự án mã nguồn mở, nhận được sự hậu thuẫn từ tổ chức hàng đầu có thể là bước nhảy từ 0 đến 1 then chốt
Việc phân bổ 50% cổ phần trong giai đoạn khởi nghiệp, dành cho bên giới thiệu nguồn lực cũng không phải là chưa từng có tiền lệ

Nhưng vấn đề then chốt là: Amber cuối cùng có đến không?

Thông báo làm rõ của Amber: "không có mối quan hệ ươm tạo, đầu tư hoặc hợp tác thương mại chính thức nào"

Tháng 12 năm 2025, khi tranh chấp nội bộ và vụ Mã nguồn mở của Nofx đang ầm ĩ, amber.ac đã phát hành một tuyên bố chính thức:

"amber.ac không có mối quan hệ ươm tạo, đầu tư hoặc hợp tác thương mại chính thức nào với Nofx. Chúng tôi từng có trao đổi thân thiện với Nofx dựa trên quan sát ngành, nhưng những trao đổi này không dẫn tới bất kỳ hợp tác chính thức nào. Tất cả hợp tác chính thức của chúng tôi đều được công bố trên website chính thức."

Tuyên bố này rất tinh tế:

Phủ nhận mối quan hệ chính thức: Không đầu tư, không ươm tạo, không hợp tác thương mại
Thừa nhận từng tiếp xúc: "trao đổi thân thiện", "quan sát ngành"
Nhấn mạnh quy trình: Hợp tác chính thức sẽ được công bố chính thức
Rạch ròi ranh giới: Đây là một lần cắt đứt công khai

Vậy câu hỏi đặt ra là: Khoảng cách giữa "trao đổi thân thiện" và "backed by" là bao xa?

Sự biến mất của sự hậu thuẫn: Xóa bỏ và giải thích

Ngay sau khi Amber phát hành tuyên bố, cộng đồng phát hiện Nofx lặng lẽ xóa dòng chữ "Backed by@amber_ac_" trong phần mô tả Twitter.

Một người dùng mạng chất vấn, quản trị viên Nofx phản hồi:

"Cảm kích sự hỗ trợ ban đầu từ Amber, do sự kiện hiện tại và yêu cầu từ đối phương, tôn trọng nguyện vọng nên xóa bỏ."

Phản hồi này lại nảy sinh thêm vấn đề mới:

"Hỗ trợ ban đầu" là gì: Nếu không có hợp tác chính thức, hỗ trợ là gì?
"Yêu cầu từ đối phương" xóa bỏ: Có phải Amber chủ động yêu cầu cắt đứt?
"Ảnh hưởng của sự kiện hiện tại": Có phải do bê bối nên bị yêu cầu xóa bỏ?

Xét từ góc độ Amber, việc cắt đứt này là cần thiết:

Nofx dính vào lỗ hổng an ninh, tranh chấp cổ phần, tranh chấp giấy phép
Bất kỳ mối liên hệ nào với Nofx cũng có thể làm tổn hại danh tiếng Amber
Đặc biệt nếu người dùng bị tổn thất khi sử dụng Nofx, Amber không muốn gánh chịu bất kỳ trách nhiệm nào

Xét từ góc độ Nofx, việc xóa bỏ này rất ngại ngùng:

Sự hậu thuấn tự hào bỗng dưng biến mất
Để lại ấn tượng xấu với bên ngoài là "ngay cả nhà đầu tư cũng bỏ chạy"
Thêm một lần làm suy yếu niềm tin cộng đồng

"Chương trình tăng tốc sinh thái" vs "Đầu tư chính thức": Khu vực xám amber.ac định vị là "chương trình tăng tốc sinh thái", chứ không phải quỹ đầu tư trực tiếp. Chính sự mơ hồ trong định vị này là nguồn gốc của vấn đề.

Chương trình tăng tốc sinh thái thường cung cấp:

Hướng dẫn từ cố vấn và lời khuyên ngành
Nguồn lực cộng đồng và kết nối mạng lưới
Tham gia sự kiện và quảng bá thương hiệu
Nhưng không nhất thiết cung cấp vốn trực tiếp

Mối quan hệ đầu tư chính thức bao gồm:

Số tiền đầu tư và tỷ lệ cổ phần rõ ràng
Tài liệu pháp lý (thỏa thuận đầu tư, thỏa thuận cổ đông)
Quyền ghế trong hội đồng quản trị hoặc quyền quan sát viên
Báo cáo tài chính và vận hành định kỳ

Mối quan hệ giữa Nofx và amber.ac có thể nằm trong khu vực xám giữa hai bên:

Từng có một số trao đổi và hướng dẫn ("trao đổi thân thiện")
Nofx cho rằng điều này cấu thành "hỗ trợ", có thể ghi là "backed by"
amber.ac cho rằng điều này không cấu thành "hợp tác chính thức", không nên được quảng bá công khai
Zack có thể thực sự thúc đẩy những trao đổi này, nhưng cuối cùng không chuyển hóa thành đầu tư

Sự bùng phát của văn hóa hậu thuẫn: Bệnh phổ biến trong ngành tiền mã hóa

Sự việc Nofx-Amber chỉ là phần nổi của tảng băng chìm. Trong ngành tiền mã hóa, văn hóa hậu thuấn đã lan rộng thành tai họa:

Các chiêu thức hậu thuẫn phổ biến:

"Tổ chức XYZ dẫn đầu vòng gọi vốn": Thực tế có thể chỉ là đầu tư nhỏ
"Đại gia XYZ ủng hộ": Có thể chỉ là đăng lại một bài
"Được ươm tạo bởi chương trình tăng tốc XYZ": Có thể chỉ là tham gia một buổi Workshop
"Hợp tác với sàn giao dịch XYZ": Có thể chỉ là nộp đơn niêm yết

Chuỗi giá trị thực sự của sự hậu thuẫn:

Tầng trên: Thỏa thuận đầu tư chính thức, số tiền và điều khoản rõ ràng
Tầng giữa: Được chọn vào chương trình tăng tốc, có kế hoạch

Chào mừng tham gia cộng đồng chính thức TechFlow

Nhóm Telegram:https://t.me/TechFlowDaily

Tài khoản Twitter chính thức:https://x.com/TechFlowPost

Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News

Liên kết gốc

Thêm vào mục ưa thích

Chia sẻ lên mạng xã hội

Tác giả

WquGuru

@wquguru

Gót chân Achilles của mã nguồn mở: Nofx với 9.000 sao trong 2 tháng và các sự kiện bê bối tin tặc, nội đấu, mã nguồn mở

Tuyển chọn TechFlowTuyển chọn TechFlow

Gót chân Achilles của mã nguồn mở: Nofx với 9.000 sao trong 2 tháng và các sự kiện bê bối tin tặc, nội đấu, mã nguồn mở

Bối cảnh viết bài

Dạo đầu: Sự nổi tiếng của một dự án giao dịch AI

Câu hỏi 1: Giấy phép mã nguồn mở có thực sự bị vi phạm?

Việc thay đổi giấy phép và tranh cãi về thời gian

Khẳng định "sao chép" của ChainOpera

Tranh chấp giấy phép mã nguồn mở: Ai đúng ai sai?

Tóm tắt: Một cáo buộc gây tranh cãi

Câu hỏi 2: 14 ngày có đáng giá 50% cổ phần?

Khung thời gian: Từ gia nhập đến đối đầu

Đối đầu: Hai bộ bằng chứng hoàn toàn khác nhau

Mâu thuẫn cốt lõi: Làm sao định lượng đóng góp?

Câu hỏi 3: Vì sao dự án mã nguồn mở lại trở thành vùng đất dễ tổn thương về an ninh?

Khung thời gian lỗ hổng: Từ không xác thực đến khóa mặc định

Phát hiện và phản ứng: Hành động then chốt của SlowMist

Phạm vi ảnh hưởng: Không chỉ là vấn đề kỹ thuật

Đặt câu hỏi sâu sắc: Vì sao lại xuất hiện những sai lầm cơ bản như vậy?

Giới hạn trách nhiệm: Tác giả mã nguồn mở phải chịu trách nhiệm đến đâu?

Bài học cho ngành: Rủi ro đặc biệt của Giao dịch AI

Ý nghĩa mẫu mực của SlowMist

Tóm tắt: Mã nguồn mở không phải là "bùa miễn tử"

Câu hỏi 4: Giá trị của "sự hậu thuẫn" từ Amber là bao nhiêu?

Bài viết liên quan

Sapce Nhìn lại | Khi làn thủy triều rút đi: Lý luận sinh tồn theo chủ nghĩa dài hạn và thực tiễn trong hệ sinh thái TRON

Matrixdock công bố Báo cáo Triển vọng năm 2026: Từ “niêm yết tài sản trên chuỗi” tiến tới “lớp dự trữ” trong tài chính trên chuỗi

Thị trường chìm trong sắc đỏ, HYPE nổi bật đơn độc: Hiểu rõ nâng cấp HIP-4 của Hyperliquid nhằm xâm nhập thị trường dự đoán

Virtuals ra mắt chương trình «Thử nghiệm 60 ngày»: Dự án phát hành token không cần đặt cược toàn bộ tài sản cá nhân, hoàn tiền đầy đủ nếu không thành công

Matrixport chính thức mở cửa giao dịch cổ phiếu Mỹ trực tiếp bằng stablecoin, xây dựng hệ sinh thái kết nối trực tiếp hàng đầu ngành “tài sản kỹ thuật số + công ty chứng khoán được cấp phép”

Sui, người sống sót trong lồng bát giác, đã chuyển mình từ một chuỗi khối công khai thành một nền tảng.

Câu chuyện: Hoãn việc mở khóa token $IP nhằm củng cố nền kinh tế token dài hạn và ổn định mạng lưới

Paradex xác nhận mốc thời gian cho sự kiện tạo ra token $DIME và mở rộng quy mô phân bổ airdrop sau khi kết thúc Mùa 2 của XP.

Paradex ra mắt Money Badgers, xây dựng lớp văn hóa và bản sắc cho hệ sinh thái của mình

Chính phủ Bermuda sẽ tải các tập dữ liệu công khai lên mạng Filecoin

Tin nhanh 7x24h
Xem thêm>

Tuyển chọn TechFlow
Xem thêm>

Gót chân Achilles của mã nguồn mở: Nofx với 9.000 sao trong 2 tháng và các sự kiện bê bối tin tặc, nội đấu, mã nguồn mở

Tuyển chọn TechFlowTuyển chọn TechFlow

Gót chân Achilles của mã nguồn mở: Nofx với 9.000 sao trong 2 tháng và các sự kiện bê bối tin tặc, nội đấu, mã nguồn mở

Bối cảnh viết bài

Dạo đầu: Sự nổi tiếng của một dự án giao dịch AI

Câu hỏi 1: Giấy phép mã nguồn mở có thực sự bị vi phạm?

Việc thay đổi giấy phép và tranh cãi về thời gian

Khẳng định "sao chép" của ChainOpera

Tranh chấp giấy phép mã nguồn mở: Ai đúng ai sai?

Tóm tắt: Một cáo buộc gây tranh cãi

Câu hỏi 2: 14 ngày có đáng giá 50% cổ phần?

Khung thời gian: Từ gia nhập đến đối đầu

Đối đầu: Hai bộ bằng chứng hoàn toàn khác nhau

Mâu thuẫn cốt lõi: Làm sao định lượng đóng góp?

Câu hỏi 3: Vì sao dự án mã nguồn mở lại trở thành vùng đất dễ tổn thương về an ninh?

Khung thời gian lỗ hổng: Từ không xác thực đến khóa mặc định

Phát hiện và phản ứng: Hành động then chốt của SlowMist

Phạm vi ảnh hưởng: Không chỉ là vấn đề kỹ thuật

Đặt câu hỏi sâu sắc: Vì sao lại xuất hiện những sai lầm cơ bản như vậy?

Giới hạn trách nhiệm: Tác giả mã nguồn mở phải chịu trách nhiệm đến đâu?

Bài học cho ngành: Rủi ro đặc biệt của Giao dịch AI

Ý nghĩa mẫu mực của SlowMist

Tóm tắt: Mã nguồn mở không phải là "bùa miễn tử"

Câu hỏi 4: Giá trị của "sự hậu thuẫn" từ Amber là bao nhiêu?

Bài viết liên quan

Sapce Nhìn lại | Khi làn thủy triều rút đi: Lý luận sinh tồn theo chủ nghĩa dài hạn và thực tiễn trong hệ sinh thái TRON

Matrixdock công bố Báo cáo Triển vọng năm 2026: Từ “niêm yết tài sản trên chuỗi” tiến tới “lớp dự trữ” trong tài chính trên chuỗi

Thị trường chìm trong sắc đỏ, HYPE nổi bật đơn độc: Hiểu rõ nâng cấp HIP-4 của Hyperliquid nhằm xâm nhập thị trường dự đoán

Virtuals ra mắt chương trình «Thử nghiệm 60 ngày»: Dự án phát hành token không cần đặt cược toàn bộ tài sản cá nhân, hoàn tiền đầy đủ nếu không thành công

Matrixport chính thức mở cửa giao dịch cổ phiếu Mỹ trực tiếp bằng stablecoin, xây dựng hệ sinh thái kết nối trực tiếp hàng đầu ngành “tài sản kỹ thuật số + công ty chứng khoán được cấp phép”

Sui, người sống sót trong lồng bát giác, đã chuyển mình từ một chuỗi khối công khai thành một nền tảng.

Câu chuyện: Hoãn việc mở khóa token $IP nhằm củng cố nền kinh tế token dài hạn và ổn định mạng lưới

Paradex xác nhận mốc thời gian cho sự kiện tạo ra token $DIME và mở rộng quy mô phân bổ airdrop sau khi kết thúc Mùa 2 của XP.

Paradex ra mắt Money Badgers, xây dựng lớp văn hóa và bản sắc cho hệ sinh thái của mình

Chính phủ Bermuda sẽ tải các tập dữ liệu công khai lên mạng Filecoin

Tin nhanh 7x24hXem thêm>

Tuyển chọn TechFlowXem thêm>

Tin nhanh 7x24h
Xem thêm>

Tuyển chọn TechFlow
Xem thêm>