開源之踵：2 個月 9000 星的 Nofx 和它的黑客門、內鬥門、開源門

作者：WquGuru

寫作背景

在正式展開這個故事之前，我需要說明自己在這個事件中的位置。

我是一個旁觀者和分析者。在Nofx項目爆火期間，我曾開發過nof0項目——二者靈感均來自nof1。在開發過程中，我與Nofx的核心成員Tinkle和Zack都有過溝通交流，主要圍繞技術實現和開源協作展開。

需要明確的是：我與Nofx團隊之間僅有技術交流，沒有任何商業合作關係；與ChainOpera AI（COAI）團隊則無直接接觸。在撰寫這篇文章時，我盡力保持客觀中立的立場，所有分析和判斷都基於公開可查的資料，包括GitHub記錄、社交媒體發言、安全報告等。

事件時間跨度：

• 2025年10月底：Nofx項目啟動，短短2個月在GitHub獲得近9000星

• 2025年11月：安全漏洞暴露，SlowMist發佈安全警告（黑客門）

• 2025年12月：開源協議爭端爆發（開源門），同時團隊內部分裂浮出水面（內鬥門）

整個事件持續約2個月，卻集中暴露了Web3開源運動中的多重矛盾。

寫作這篇文章的目的，不是為了站隊或指責任何一方，而是希望：

• 完整記錄這一Web3開源運動的典型案例

• 探討開源精神與商業利益之間的深層衝突

• 為行業未來的規範建設提供反思和參考

現在，讓我們從頭開始梳理這個複雜的故事。

序幕：一個AI交易項目的爆紅

2025年10月底，一個名為Nof1的AI自動交易項目在推特引爆。短短數天，它的多個開源版本——包括nof0、nofx等——在GitHub上獲得了數千star。其中，Nofx項目從10月底開始開發，到12月已經積累了超過9000個star，成為AI Trading領域最受關注的開源項目之一

然而，僅僅兩個月後，這個明星項目陷入三重危機：

黑客門：區塊鏈安全公司SlowMist披露，Nofx存在嚴重安全漏洞，導致全網1000多個部署實例的用戶交易所API密鑰、私鑰、錢包地址完全暴露。Binance、OKX等主流交易所緊急介入，協助受影響用戶更換憑證。

內鬥門：項目核心成員Tinkle公開指控另一位聯合創始人Zack"僅參與14天、貢獻幾行代碼"卻索要50%股權和50萬美元。Zack則通過律師發出正式法律文件，指控Tinkle"侵吞資產、利益輸送"，並提供了顯示雙方各持50%股權的合夥企業註冊文件。

開源門：Nofx公開指控融資1700萬美元的ChainOpera AI（COAI）違反AGPL開源協議，在未開源的情況下使用其代碼部署商業產品。COAI則反駁稱，Nofx在11月3日仍是MIT協議，11月4日才改為AGPL，且其產品使用Python開發，與Nofx的Go實現完全不同。

一個社區熱捧的開源項目，為何會在短短兩個月內陷入如此複雜的多重危機？這背後暴露了開源社區、創業團隊、投資生態的哪些系統性問題？讓我們通過五個關鍵問題，深入剖析這場風波。

問題1：開源協議真的被違反了嗎？

MIT與AGPL：兩種截然不同的開源哲學

在討論Nofx與COAI的協議爭端之前，我們需要理解兩種開源協議的根本差異：

MIT License（麻省理工學院許可證）是最寬鬆的開源協議之一。它允許：

• 自由使用、修改、分發代碼

• 用於商業目的無需開源

• 唯一要求：保留原作者版權聲明

AGPL v3.0（GNU Affero通用公共許可證）則是最嚴格的開源協議之一。它要求：

• 任何使用該代碼的項目必須同樣開源

• 特別地，即使通過網絡提供服務（如SaaS），也必須公開源代碼

• 必須在明顯位置標註原項目信息

從MIT到AGPL，是從"極度寬鬆"到"極度嚴格"的180度轉變。這也是本次爭議的核心。

協議變更與時間爭議

Nofx項目的開源協議從MIT變更為AGPL，但具體變更時間成為爭議焦點，這個時間點至關重要，因為它直接決定了ChainOpera（COAI）團隊在fork代碼時應當遵守的協議。

雙方證據對比：

• Nofx團隊提供了GitHub commit記錄，顯示協議文件修改時間

• COAI團隊則指出，根據他們的記錄和觀察，協議變更的公開時間點存在疑問

ChainOpera的"抄襲"指控

Nofx社區發現融資1700萬美元、在Binance Alpha上線的ChainOpera（COAI）項目，其代碼與Nofx高度相似。

Nofx方面的指控：

• COAI在未標註來源、未公開源碼的情況下使用了Nofx的代碼

• 根據當時生效的AGPL協議，COAI應該： 明確標註代碼來源 公開修改後的源碼 同樣採用AGPL協議

COAI方面的回應：

• 主張自己fork代碼時，Nofx仍採用MIT協議

• MIT協議允許商業使用且無需公開源碼

• 協議變更時間點的爭議影響了整個事件的性質判斷

開源協議爭端：誰對誰錯？

這場爭端暴露了Web3開源生態中的深層次問題：

協議變更的有效性問題：

• 追溯效力爭議：開源協議變更是否對已fork的代碼有約束力？

• 時間點認定：協議變更的確切時間難以完全確定，雙方各執一詞

• 證據可信度：GitHub記錄可能被修改，需要更權威的第三方驗證

• 協議變更傳遞：MIT變更為AGPL，多大程度向社區傳遞了這個消息

商業利益的衝突：

• COAI獲得大額融資並上線Binance，商業價值巨大

• Nofx作為開源項目，商業化路徑不明確

• 核心矛盾：開源共享精神與商業利益保護之間的平衡難題

社區觀點分化：

• 支持Nofx者認為，COAI利用開源代碼獲利卻不回饋社區

• 支持COAI者認為，MIT協議本就允許商業使用，且協議變更時間存疑

• 中立觀察者指出，時間爭議是關鍵，需要更可靠的證據來判斷

法律與技術的灰色地帶：

• 開源協議在鏈上項目中的法律效力尚不明確

• GitHub記錄的可篡改性削弱了其作為證據的可信度

• Web3行業缺乏成熟的開源糾紛解決機制

小結：一場有爭議的指控

從目前公開的證據看，Nofx對COAI的開源協議侵權指控存在多處疑點：

1. 時間節點存疑：GitHub證據顯示11月4日才改AGPL

2. 技術實現不同：接口命名相同不代表代碼相同

3. 日誌解釋合理：MIT階段插入的統計功能會持續記錄

4. 自身涉嫌違規：未告知用戶植入統計，可能違反隱私法案

5. 溝通程序草率：同分鍾發郵件和公開指控

值得注意的是，協議變更時間的爭議對整個事件性質判斷具有決定性影響。如果Nofx的主張成立，COAI確實存在違反AGPL協議的問題；但如果COAI的主張成立，他們的行為則完全符合MIT協議的規定。這個時間點的認定，仍需更權威的第三方驗證

問題2：14天能值50%股權嗎？

如果說開源門是Nofx與外部的爭議，那麼內鬥門則是這個項目內部矛盾的公開化——一場關於"貢獻"與"價值"的創始團隊爭奪戰。

時間線：從加入到對抗

2025年10月28日：Nofx開始開發；

2025年10月29日：Zack加入項目（此時項目剛開源一天）；

2025年11月初：Zack提出要50%股權，理由是能介紹Amber Group參與商業化；

2025年11月初：Tinkle拒絕給50%股權，認為自己是團隊CEO兼CTO，Zack貢獻不足；

2025年11月19日：Zack的律師（君合律師事務所香港辦公室）發出正式的"無損權益和解要約"（Without Prejudice Save as to Costs），要求支付50萬美元回購Zack持有的50%股權；

2025年12月：矛盾公開化，雙方在社交媒體互相指控；

從時間上看，Zack從加入到發律師函，前後不到一個月，這確實很短。

對峙：兩份截然不同的證據

Tinkle的敘事：

• Zack僅參與14天

• 貢獻了幾行代碼（"可查"）

• 在項目已經開源、有數千TG群成員後才加入

• 以介紹Amber投資為籌碼索要鉅額股權

• 被拒後扣押項目推特賬號

• 通過律師函索要50萬美元，涉嫌敲詐勒索

• Zack曾是Amber實習生，但未轉正已離開

• 最終未能引入Amber投資

Zack的反擊：

• 提供APEIRON LABS PTE. LTD.的公司註冊文件

• 文件顯示：Tinkle和Zack各持50%股權

• 這是新加坡公司註冊系統的公開信息，任何人可驗證

• 律師函是標準的"無損權益和解要約"，符合商業法律程序

• 主體是Demand Letter，詳細記錄了Tinkle"侵吞資產、利益輸送"的行為

• 50萬美元不是敲詐，而是按低估值回購Zack的合法權益

• 反問：如果公司有價值，按100萬美元估值回購50%股權不是很合理嗎？如果沒價值，那Tinkle為何要說這是"勒索"？

核心矛盾：貢獻如何量化？

這場爭議的本質是一個古老的創業難題：技術貢獻vs資源引薦，哪個更值錢？

從代碼貢獻角度，Tinkle的說法可能有一定道理。GitHub的commit記錄是公開的，如果Zack確實只有少量代碼的提交，這在技術圈是容易驗證的事實。一個開發了60天的項目，另一個人參與14天，從時間和代碼量來說，貢獻差距確實巨大。

但從股權角度，Zack拿出了法律文件。APEIRON LABS PTE. LTD.的註冊信息顯示，雙方簽署的是50-50的股權分配協議。這意味著：

1. 雙方曾經達成過正式的法律協議

2. 協議認可Zack持有50%權益

3. 這不是口頭承諾，而是在政府部門登記的法律事實

那麼問題來了：為什麼Tinkle會同意這樣的股權分配？

Amber這張牌到底值多少？

關鍵變量是Amber Group——或者更準確說，是Amber的生態加速器amber.ac。

Zack的籌碼是：他能介紹Amber參與Nofx的商業化。根據Tinkle的說法，Zack曾是Amber的實習生（雖然未轉正已離開）。在加密行業，能引入頂級機構的背書和資金，確實是巨大的價值。

但最終的結果是：

1. Amber沒有正式投資Nofx

2. Amber官方聲明：與Nofx"無正式孵化、投資或商業合作關係"

3. Amber承認：曾有"友好交流"，但未導向正式合作

這就產生了兩種可能的解釋：

解釋A（支持Tinkle）：Zack誇大了自己的資源能力，用空頭支票換取股權，最終沒能兌現承諾，卻拒不交出股權，通過律師函要挾。

解釋B（支持Zack）：雙方確實達成了股權協議，Zack盡力嘗試引入Amber，但因Tinkle方面的問題（可能包括"侵吞資產、利益輸送"）導致投資未能落地。Zack作為合法股東，有權要求退出並獲得補償。

哪個解釋更接近真相？這需要更多內部材料才能判斷。

法律程序還是敲詐勒索？

Tinkle在社交媒體上公開Zack的律師函，並稱其為"敲詐勒索"。這個指控很嚴重，因為敲詐勒索是刑事犯罪。

但Zack的回應揭示了法律程序的專業性：

"無損權益和解要約"（Without Prejudice Save as to Costs）是英美法系中的標準法律程序，用於商業糾紛的和解談判。其特點是：

1. 受法律保護，不能作為訴訟證據（除非涉及訴訟費用）

2. 目的是鼓勵雙方和平解決爭端

3. 提出和解條件不構成勒索

4. 主體是Demand Letter，列明對方的違約或侵權行為

Zack的律師函要求50萬美元，但這個金額是基於：

• Zack持有公司50%股權的法律事實

• 按照公司100萬美元的保守估值計算

• 作為回購價格要求Tinkle買斷Zack的股權

從法律角度，這是完全合法的和解談判策略。如果Tinkle真認為這是"敲詐勒索"，正確做法是報警，而不是發推文。

Zack的"最後警告"也很有力度：

"如果你們真認為這是勒索，請立即報警。如果沒有膽量報警，就請停止這種荒謬的表演。"

被隱藏的指控：侵吞資產與利益輸送

在這場公開對峙中，有一個細節值得注意：Zack提到，律師函的主體是一份詳盡的Demand Letter，記錄了Tinkle"侵吞合夥資產、實施非法手段共謀"的行為。

這份Letter的完整內容並未公開，但這個指控非常嚴重。如果屬實，可能涉及：

1. 挪用公司資金用於私人用途

2. 與投資機構的個人進行利益交換

3. 違反合夥企業的信義義務

Tinkle對這部分指控沒有正面回應，只是說"不再回應此事，專注做產品"。

這種迴避態度，反而讓人好奇：Demand Letter裡到底寫了什麼？

小結：一個無解的難題

創始團隊的股權糾紛，在創業圈屢見不鮮。Nofx的案例之所以引發關注，是因為它濃縮了這類糾紛的典型矛盾：

1. 口頭承諾vs書面協議：如果沒有書面股權協議，貢獻如何認定？

2. 技術貢獻vs資源引薦：兩種價值如何衡量？

3. 期望落空的責任：引資失敗是誰的責任？

4. 法律程序vs道德審判：和解談判是否等於敲詐？

從現有證據看：

• Zack有法律文件支持其50%股權

• Tinkle有代碼貢獻記錄支持其主導地位

• 雙方都有各自的narrative，但都缺乏完整證據鏈

最終的答案可能只能由法庭給出。但這個案例給所有創業團隊的警示是：

• 股權分配要趁早、要書面、要明確

• 貢獻量化要有客觀標準（代碼量、工作時間、資源價值）

• 重大決策要留存記錄

• 糾紛發生時優先法律途徑，而非輿論戰

問題3：開源項目為何成為安全重災區？

Nofx與COAI的協議之爭和內部的股權糾紛前，一個更嚴重的危機也曾悄然發酵：安全漏洞。

2025年11月，區塊鏈安全公司SlowMist發佈了一份詳細的安全分析報告，揭露了Nofx項目存在的嚴重安全隱患。這不是一般意義上的"小bug"，而是可能導致用戶資金全面失竊的重大漏洞。

漏洞時間線：從零認證到默認密鑰

2025年10月31日 - Commit 517d0c：零認證的原罪

在這個commit中，Nofx的代碼存在一個致命缺陷：

• admin_mode默認設為true

• 中間件允許所有請求無驗證通過

• /api/exchanges接口完全開放

這意味著什麼？任何人只要知道一個部署了Nofx的服務器地址，就可以直接訪問/api/exchanges接口，獲取：

• api_key：用戶的交易所API密鑰

• secret_key：交易所密鑰

• hyperliquid_wallet_addr：Hyperliquid錢包地址

• aster_private_key：Aster平臺的私鑰

拿到這些信息，攻擊者可以：

1. 完全控制用戶的交易所賬戶

2. 進行虛假交易（wash trading）

3. 直接提取資金

4. 操縱市場價格

這是零防護的暴露，是安全設計的基本失誤。

2025年11月5日 - Commit be768d9："加固"的幻覺

可能是意識到了安全問題，Nofx團隊在這個commit中添加了JWT（JSON Web Token）認證機制。從表面看，這是一次安全加固。

但問題在於：

1. 默認的jwt_secret沒有更改

2. 如果用戶沒有設置環境變量，系統會回退到硬編碼的默認密鑰

3. /api/exchanges仍然以原始JSON格式返回所有敏感字段

這意味著：

• 攻擊者可以使用默認密鑰偽造JWT token

• 一旦獲得有效token，所有密鑰仍會完整洩露

• "加固"版本在實際上仍然脆弱

這就像給一扇門加了一把鎖，但鑰匙就放在門口的地墊下面，所有人都知道。

2025年11月13日 - Dev分支：持續的隱患

即使到了11月13日，dev分支的代碼仍然存在多項問題：

• authMiddleware的實現仍有缺陷（api/server.go:1471–1511）

• /api/exchanges繼續直接返回完整的ExchangeConfig（api/server.go:1009–1021）

• 配置文件中仍然硬編碼admin_mode=true和默認jwt_secret

• 主分支（origin/main）甚至還停留在10月31日的零認證版本

這不是偶然的疏忽，而是系統性的安全意識缺失。

發現與響應：SlowMist的關鍵行動

情報來源：安全研究者@Endlessss20向SlowMist提供了Nofx存在安全隱患的初始情報。

深度分析：SlowMist安全團隊對Nofx的GitHub代碼進行了完整審計，識別出上述兩個主要認證問題。

全網掃描：更令人震驚的是，SlowMist進行了互聯網範圍的掃描，發現了超過1000個公開可訪問的Nofx部署實例，其中許多使用默認或脆弱配置，用戶憑證完全暴露。

這不是理論上的安全風險，而是正在發生的現實威脅。

緊急協調：鑑於風險的緊迫性，SlowMist立即聯繫了主流交易所：

• 向Binance和OKX安全團隊提供情報

• 兩家交易所獨立進行交叉驗證

• 使用獲取的API密鑰追蹤受影響用戶

• 通知用戶並協助輪換密鑰

• 阻止潛在的wash trading攻擊

處理進展：截至2025年11月17日，所有中心化交易所（CEX）用戶的暴露密鑰已經處理完畢。但部分Aster和Hyperliquid用戶由於錢包去中心化，難以直接觸達，需要用戶自查

影響範圍：不只是技術問題

這次安全事件的影響遠超技術層面：

直接受害者：

• 使用Nofx進行自動交易的1000+用戶

• 涉及Binance、OKX、Hyperliquid等多個平臺

• 暴露的不只是API密鑰，還包括私鑰和錢包地址

潛在損失：

• 如果攻擊者在交易所介入前行動，用戶資金可能全面失竊

• AI自動交易系統的特點是高頻、大額，損失可能非常驚人

信任崩塌：

• 社區對Nofx項目的安全性失去信心

• 對整個開源AI Trading生態產生質疑

• 開發者在選擇開源項目時更加謹慎

深層追問：為何會出現如此低級的錯誤？

Nofx的安全漏洞不是高深的技術挑戰，而是基本的安全常識：

1. 認證機制應該默認開啟，而非默認關閉

2. 默認密鑰應該是隨機生成的，而非硬編碼的

3. 敏感數據應該加密或脫敏，而非明文返回

4. 配置文件應該明確警告安全風險

這些是任何有經驗的開發者都應該知道的原則。那麼為什麼Nofx會犯這些錯誤？

可能的原因：

1. 快速開發優先：在AI Trading熱潮中，搶佔先機比安全更重要

2. 團隊經驗不足：可能缺乏處理用戶資金的安全經驗

3. 測試環境配置生產化：為了方便測試而關閉認證，結果這個配置進入了生產環境

4. 安全審計缺失：開源項目往往缺乏專業的安全審計

但最根本的原因可能是：開源≠安全。

很多人以為，開源代碼意味著"千萬雙眼睛"在審查，所以更安全。但現實是：

• 大多數用戶只是使用者，不是審查者

• 即使發現問題，也不一定有能力或意願提交修復

• 安全審計需要專業知識和大量時間

• 商業公司有安全團隊，開源項目往往沒有

責任邊界：開源作者該承擔多大責任？

這裡引出一個有爭議的問題：當用戶因為使用開源軟件的漏洞而遭受損失，開源作者是否應該承擔責任？

從法律角度，大多數開源協議（包括MIT和AGPL）都有免責聲明：

"軟件按'原樣'提供，不提供任何明示或暗示的保證...作者不對任何損害負責。"

但從道義角度，當你知道自己的代碼會被用戶用於管理真金白銀的資產時，是否應該有更高的安全標準？

Nofx的案例特殊之處在於：

1. 這是一個AI自動交易系統，直接涉及用戶資金

2. 項目獲得了9000+ stars，有大量用戶使用

3. 漏洞不是隱蔽的高級攻擊，而是基本防護的缺失

4. 問題存在數週，期間持續有新用戶部署

行業啟示：AI Trading的特殊風險

Nofx的安全危機揭示了AI Trading這個領域的特殊風險：

自動化的雙刃劍：

• AI交易系統設計為7x24小時自動運行

• 一旦被攻破，攻擊者可以快速執行大量交易

• 用戶可能數小時後才發現資產已被轉移

開源與安全的矛盾：

• 開源有助於社區改進和審查

• 但也讓攻擊者更容易發現漏洞

• 在安全修復完成前，漏洞就已經被公開

用戶教育的缺失：

• 很多用戶不理解部署AI交易系統的風險

• 直接使用默認配置，不知道要更改密鑰

• 在公網暴露服務，沒有基本的安全防護

SlowMist的範本意義

在這次事件中，SlowMist的行動值得稱讚：

1. 快速響應：接到情報後立即深度分析

2. 主動掃描：不等待用戶報告，主動發現受影響實例

3. 行業協作：與交易所緊密配合，而非各自為戰

4. 公開披露：在處理完緊急情況後發佈詳細報告，教育社區

5. 明確立場：強調這不是批評，而是風險降低

這種責任披露（Responsible Disclosure）機制，是行業安全的基石

小結：開源不是免死金牌

Nofx的安全漏洞事件告訴我們：

1. 開源項目需要安全審計：即使是快速迭代的項目，也不能跳過安全檢查

2. 默認配置要安全優先：方便開發和方便攻擊往往是一體兩面

3. 用戶資金必須特殊對待：涉及金錢的系統，安全是不可妥協的底線

4. 社區需要建立安全響應機制：SlowMist的行動提供了一個好的範例

5. 技術能力≠安全意識：能寫出功能代碼，不代表能寫出安全代碼

問題4：Amber的"背書"到底值多少錢？

在Nofx的多重危機中，有一個細節很容易被忽略，但它揭示了加密行業一個普遍問題：背書文化。

背書的出現："Backed by@amber_ac_"

在事件爆發前，如果你訪問Nofx的Twitter主頁，會在簡介中看到這樣一行字："Backed by@amber_ac_"

這是什麼意思？在加密行業，"backed by"通常意味著：

• 獲得了該機構的投資

• 或者至少是孵化支持

• 是一種官方認可的關係

Amber Group是加密行業的知名機構，擁有強大的資金和資源。amber.ac則是其生態加速器。對於一個新興開源項目來說，獲得Amber的背書，意味著：

1. 信用背書：項目更可信，吸引更多用戶

2. 融資便利：其他投資人會更願意跟進

3. 資源支持：可能獲得技術、市場、法律等支持

4. 社區信心：用戶更願意參與和貢獻

這就像一個創業者拿到了頂級VC的term sheet，即使還沒拿到錢，光是這個背書就能帶來巨大價值。

Zack的籌碼：我能帶來Amber

回到內鬥門的背景，Zack索要50%股權的重要籌碼就是：他能介紹Amber參與Nofx的商業化。

根據Tinkle的說法，Zack曾是Amber的實習生。在行業裡，這種背景意味著一定的人脈資源。Zack向Tinkle承諾，可以引入Amber的投資或孵化支持，作為交換，他要求獲得50%股權。

從商業邏輯看，這個交易是合理的：

• 如果Zack真能帶來Amber的投資，那這個價值遠超14天的代碼貢獻

• 對於一個開源項目，獲得頂級機構背書可能是從0到1的關鍵跳躍

• 50%股權在初創階段的分配中，給資源引薦方也並非沒有先例

但關鍵問題是：Amber最終來了嗎？

Amber的澄清："無正式孵化、投資或商業合作關係"

2025年12月，當Nofx的內鬥和開源門都鬧得沸沸揚揚時，amber.ac發佈了一份官方聲明：

"amber.ac與Nofx無正式孵化、投資或商業合作關係。我們曾基於行業觀察與Nofx進行友好交流，但這些交流未導向任何正式合作。我們所有正式合作均會通過官方網站公示。"

這份聲明很微妙：

1. 否認正式關係：沒有投資、沒有孵化、沒有商業合作

2. 承認有過接觸："友好交流"、"行業觀察"

3. 強調程序：正式合作會有官方公示

4. 劃清界限：這是一次公開的切割

那麼問題來了："友好交流"和"backed by"之間，差距有多大？

背書的消失：刪除與解釋

在Amber發佈聲明後不久，社區發現Nofx悄悄刪除了Twitter簡介中的"Backed by@amber_ac_"字樣。

有網友質疑，Nofx小編回應：

"感激Amber早期支持，因當前事件和對方要求，尊重意願刪除。"

這個回應又引出了新的問題：

1. "早期支持"是什麼：如果沒有正式合作，支持指的是什麼？

2. "對方要求"刪除：是Amber主動要求切割嗎？

3. "當前事件"影響：是因為醜聞才被要求刪除嗎？

從Amber的角度，這個切割是必要的：

• Nofx陷入安全漏洞、股權糾紛、協議爭端

• 任何與Nofx的關聯都可能損害Amber的聲譽

• 尤其是如果用戶因使用Nofx遭受損失，Amber不想承擔任何責任

從Nofx的角度，這個刪除很尷尬：

• 原本引以為傲的背書突然消失

• 給外界的印象是"連投資人都跑了"

• 進一步打擊了社區信心

"生態加速器"vs"正式投資"：灰色地帶amber.ac的定位是"生態加速器"，而非直接的投資基金。這個定位的模糊性，正是問題的根源。

生態加速器通常提供：

• 導師指導和行業建議

• 社區資源和網絡連接

• 活動參與和品牌曝光

• 但不一定提供直接資金

正式投資關係包括：

• 明確的投資金額和股權比例

• 法律文件（投資協議、股東協議）

• 董事會席位或觀察員權利

• 定期的財務和運營彙報

Nofx與amber.ac的關係，可能介於兩者之間的灰色地帶：

• 有過一些交流和指導（"友好交流"）

• Nofx認為這構成"支持"，可以標註為"backed by"

• amber.ac認為這不構成"正式合作"，不應該被公開宣傳

• Zack可能確實促成了這些交流，但最終沒有轉化為投資

背書文化的泛濫：加密行業的通病

Nofx-Amber事件只是冰山一角。在加密行業，背書文化已經氾濫成災：

常見的背書套路：

1. "某某機構領投"：實際可能只是小額跟投

2. "某某大佬站臺"：可能只是發了一條轉發

3. "某某加速器孵化"：可能只是參加了一次Workshop

4. "某某交易所合作"：可能只是提交了上幣申請

背書的真實價值鏈：

• 頂層：正式投資協議，明確金額和條款

• 中層：加速器入選，有明確支持計劃

• 底層：參加活動，獲得曝光機會

• 最底層：私下聊天，給了一些建議

問題是，很多項目有意將底層的關係包裝成頂層的背書。

為什麼投資機構默許這種模糊：

1. 拓展影響力：更多項目提及自己，擴大品牌

2. 期權思維：先建立弱連接，未來可能轉化為投資

3. 舉手之勞：一次交流的成本很低，但對項目方價值很大

4. 灰色收益：一些機構可能收取"顧問費"或"品牌使用費"

為什麼項目方熱衷於此：

1. 融資需要：有背書更容易拿到後續融資

2. 用戶信任：社區更願意相信有機構背書的項目

3. 競爭壓力：別的項目都在宣傳背書，自己不說就落後了

4. 虛榮心理：創始人也需要這種認可

反思：背書的責任邊界在哪裡？

Nofx-Amber事件引發了一個深層問題：當一個機構的名字被用於背書，它應該承擔多大責任？

如果Amber真的投資了Nofx：

• 作為股東，有監督和治理責任

• 項目出現重大問題，投資人應該介入

• 用戶損失，投資人可能承擔一定道義責任

如果只是"友好交流"：

• Amber沒有法律義務

• 但項目方使用其名字做背書，Amber應該及時糾正

• 如果明知被濫用而不制止，是否構成默許？

在Nofx案例中：

1. Nofx在Twitter上標註"Backed by Amber"數週（可能數月）

2. Amber作為專業機構，有社交媒體監控能力

3. 如果他們真的沒有正式合作，為何不早點澄清？

4. 是否等到Nofx出事，才急於切割？

這種"事前模糊、事後切割"的模式，損害的是整個行業的信任基礎。

小結：背書不是免費的午餐

Amber-Nofx事件的啟示：

1. 對項目方：不要誇大與機構的關係，虛假背書遲早會被拆穿

2. 對投資機構：明確背書的邊界，及時糾正濫用，承擔相應責任

3. 對用戶：學會識別真假背書，查證投資機構的官方渠道

4. 對行業：建立背書的標準和規範，減少灰色地帶

在加密行業，背書是一種社交資本。但像所有資本一樣，它需要規則和責任。當每個人都在透支這種信任，最終的結果是整個行業的信用崩塌

問題5：這場風波暴露了什麼系統性問題？

當我們抽離具體的指控和反駁，跳出Nofx個案的細節，會發現這場風波指向了五個深層的系統性問題——它們不僅存在於Nofx，而是整個加密開源生態的"阿喀琉斯之踵"。

問題一：開源精神在商業化浪潮中的異化

Nofx從MIT到AGPL的協議變更，表面上是技術決策，實際上折射出開源精神與商業利益的根本衝突。

開源的初心：

• 代碼共享，促進協作

• 站在巨人肩膀上，避免重複造輪子

• 社區驅動，集體智慧

商業化的現實：

• 需要保護商業利益

• 防止競爭對手"白嫖"

• 尋求變現路徑

MIT協議代表的是開源的理想主義：你隨便用，只要註明出處。這種慷慨吸引了大量開發者與社區注意力，Nofx才能快速積累9000+ stars。

但當Nofx看到COAI這樣的融資1700萬美元的項目可能在使用他們的代碼時，他們改變了主意。AGPL協議是開源世界裡最嚴格的"防火牆"：用我的代碼？那你也必須開源，而且不能閉源商用。

從Nofx的角度理解，這種轉變有其合理性：

• 協議選擇權：開源作者有權在項目發展過程中重新評估協議選擇，AGPL本身是合法且被廣泛使用的開源協議

• 利益不對等：當發現代碼被融資充裕的商業項目大規模使用時，小型開源團隊感到貢獻與回報不匹配

• 生態保護：AGPL的"傳染性"特徵旨在防止開源代碼被"據為己有"，保護開源生態的可持續發展

• 弱勢處境：面對擁有1700萬美元融資的競爭對手，開源項目在資源、法律、市場等方面都處於明顯劣勢

這種轉變本身無可厚非——開源作者有權選擇協議。但客觀存在的問題在於：

1. 沒有通知社區：協議變更未在社區公告，已經使用MIT版本的開發者可能不知情

2. 追溯式執法：用11月4日改的協議，去追究11月3日的行為

3. 選擇性指控：為什麼偏偏指控COAI，而不是其他使用MIT版本的項目？

4. 隱私數據收集：在MIT階段就植入Google統計，收集用戶數據卻不告知

從另一個角度看，Nofx的一些做法可能有其背景：

• 保護初衷：協議變更的根本目的可能是保護社區貢獻者的利益，而非針對特定競爭對手

• 能力侷限：作為小團隊，在項目快速爆發期可能確實疏忽了規範的社區溝通流程

• 技術需求：Google統計可能是為了瞭解用戶使用情況、發現問題、改進產品，而非惡意收集數據

• 資源壓力：面對資金雄厚的商業競爭，開源項目確實缺乏對等的法律和市場資源

然而，即使理解這些背景，執行方式的問題依然存在。這已經不僅僅是捍衛開源精神的問題，而是如何在保護自身權益與維護開源生態信任之間找到平衡。

開源的異化表現為：

• 工具化：開源成為獲取用戶和關注的工具，而非目的

• 武器化：開源協議成為打擊對手的武器，而非協作的基礎

• 單向化：只要求別人開源，自己卻可以隨意變更規則

這種判斷需要謹慎。我們很難從外部完全瞭解Nofx團隊的內部決策過程和真實動機。開源協議變更本身是合法權利，問題的關鍵在於：

1. 執行方式：如何變更、如何通知、如何處理已有用戶

2. 透明度：決策過程是否公開、理由是否充分說明

3. 一致性：是否對所有類似情況一視同仁

這個案例暴露的，更多是整個Web3開源生態缺乏成熟規範的系統性問題，而非單純某一方的惡意行為。

雙方都有合理訴求：

• Nofx的訴求：開源貢獻者的勞動成果不應被商業項目無償佔用，需要得到應有的認可和回報

• COAI的訴求：在MIT協議下合法使用的代碼，不應在事後被追溯性地要求承擔AGPL義務

• 行業的困境：如何在鼓勵開源共享與保護創作者權益之間建立平衡機制

這種異化傷害的是整個開源生態的信任基礎。當開發者不確定一個MIT項目會不會突然改成AGPL並追溯執法，他們還敢使用開源代碼嗎？當開源作者發現自己的貢獻被商業化卻得不到任何回報，他們還願意繼續開源嗎？

這是一個雙輸的困境，真正需要的是行業層面的規範建設

問題二：創業團隊的法律風險意識缺失

Tinkle和Zack的股權糾紛，暴露了加密創業團隊在法律合規方面的普遍問題。

股權分配的混亂：

• Zack持有50%股權的法律文件（APEIRON LABS註冊）

• Tinkle認為Zack只配10-20%的股權（基於代碼貢獻）

• 這種認知鴻溝不應該存在——股權分配應該在一開始就明確並書面化

決策記錄的缺失：

• Zack說他被授予50%股權是基於引入Amber投資的承諾

• Tinkle說Zack誇大能力，最終沒有引入投資

• 雙方沒有書面記錄當時的協議條件：是"盡力而為"還是"完成才給股權"？

溝通程序的混亂：

• Zack發律師函後，Tinkle一個月不回應

• 等到Tinkle公開指控"敲詐勒索"，Zack才不得不公開回擊

• 為什麼不能先私下協商，而是直接輿論戰？

法律工具的濫用：

• Tinkle稱律師函是"敲詐勒索"，這是嚴重的刑事指控

• Zack提供了標準的商業和解文件，證明這是合法程序

這些問題在加密創業團隊中極為常見：

1. 快速行動優於規範流程："先做起來再說"的文化導致很多法律文件缺失

2. 技術思維主導：工程師創始人往往不重視法律和合規

3. 去中心化幻覺：以為在加密世界可以繞過傳統法律

4. 成本考量：早期項目請不起專業律師

但當項目做大，或者出現糾紛時，這些早期的"省略"會變成巨大的隱患。

應該做什麼：

• 創始團隊從第一天就應該有書面的股權協議（Founders' Agreement）

• 明確每個人的貢獻類型、股權比例、vesting schedule

• 關鍵決策留存書面記錄（郵件、簽字文件）

• 定期請專業律師審查公司結構和合規性

• 出現糾紛時先尋求法律途徑，而非輿論戰

問題三：技術能力與安全意識的嚴重脫節

Nofx的安全漏洞揭示了一個殘酷的真相：在加密行業，技術能力≠安全意識。

能力錯位的表現：

• Nofx能夠開發AI自動交易系統，這需要相當的技術能力

• 但同時犯下"零認證"、"默認密鑰"這樣的低級安全錯誤

• 能寫出功能代碼，不代表能寫出安全代碼

融資能力不代表技術實力：

• COAI融資1700萬美元，但被質疑代碼能力

• Nofx獲得社區熱捧，但安全漏洞頻出

• 在加密行業，講故事的能力往往比技術實力更能換來融資

安全的邊緣化：

• 在快速開發的壓力下，安全被視為"以後再說"的事情

• 功能優先於安全，上線速度優先於代碼審計

• 直到出現實際損失，才意識到問題嚴重性

開源≠安全的誤解：

• 很多人以為開源代碼自然更安全（"千萬雙眼睛"）

• 但現實是大部分用戶不看代碼，只看star數

• 安全審計需要專業知識和大量時間，不會自動發生

AI Trading的特殊風險：

• 涉及用戶真實資金，損失不可逆

• 自動化執行，攻擊窗口短，發現時已經晚了

• 24/7運行，安全問題的影響被放大

Nofx案例的教訓：

1. 安全是底線，不是選項：涉及用戶資金的系統，必須通過專業安全審計

2. 默認配置要安全優先：寧可讓用戶覺得麻煩，也不能讓攻擊者覺得簡單

3. 快速迭代不是藉口：MVP可以功能簡單，但不能安全脆弱

4. 社區需要安全響應機制：類似SlowMist的角色應該制度化

問題四：加密行業的背書文化氾濫

Nofx-Amber事件揭開了加密行業背書文化的遮羞布

背書的通貨膨脹：

• 幾乎每個項目都聲稱有"某某機構支持"

• 但這些"支持"的含義千差萬別

• 從正式投資到一次聊天，都可能被包裝成"backed by"

灰色地帶的泛濫：

• "戰略合作"：可能只是商務對接

• "生態夥伴"：可能只是互相轉發

• "顧問團隊"：可能只是掛名

• "投資機構"：可能只是買了點幣

為什麼這種文化有市場：

1. 信息不對稱：普通用戶難以驗證背書真偽

2. 從眾心理："某某投資了，那應該靠譜"

3. 競爭壓力：不宣傳背書就輸在起跑線

4. 監管真空：沒有機構管理背書的真實性

惡性循環：

• 項目方誇大背書 → 獲得更多關注和資金

• 看到成功案例，更多項目效仿

• 投資機構為了影響力，默許模糊關係

• 當項目出事，機構急於撇清關係

• 用戶和行業承受損失

如何打破循環：

1. 投資機構：建立官方的投資組合清單，明確投資金額和日期

2. 項目方：只宣傳可驗證的正式關係，提供證明文件

3. 媒體和KOL：核實背書的真實性再報道

4. 用戶：學會查證，不盲信背書

5. 監管：對虛假背書進行處罰（在一些司法管轄區已經開始）

問題五：社區治理機制的全面缺位

綜合Nofx的三重危機，最深層的問題是：開源社區缺乏有效的治理機制

協議爭端沒有仲裁機制：

• Nofx和COAI的爭議，雙方各執一詞

• 沒有公認的第三方來判定誰對誰錯

• 只能依賴輿論和法律，前者不公正，後者成本高

安全問題缺乏標準流程：

• SlowMist的及時響應是個例，不是常態

• 大多數開源項目沒有安全響應團隊

• 漏洞披露、用戶通知、緊急修復都缺乏標準

股權糾紛無處申訴：

• Tinkle和Zack的矛盾只能訴諸法律或輿論

• 開源社區沒有爭議解決機制

• DAO治理被提出很久，但實際運作很少

社區參與缺乏激勵：

• 安全審計、代碼審查需要大量時間

• 但開源貢獻者往往是志願的

• 商業公司有專職團隊，開源項目靠愛發電

現有治理實踐的嘗試：

1. OpenSSF（Open Source Security Foundation）：推動開源安全最佳實踐

2. CVE（Common Vulnerabilities and Exposures）：漏洞編號和跟蹤系統

3. Bug Bounty：用獎金激勵安全研究者

4. Code of Conduct：社區行為規範

5. Foundation模式：成立基金會管理項目（如Linux Foundation）

但這些機制在加密開源領域的應用還很有限。

開源和平衡和使用者各方理想的治理機制應該包括：

1. 安全審計標準：明確哪些類型的項目必須通過審計才能推薦

2. 爭議仲裁機構：中立的第三方處理協議和股權糾紛

3. 責任披露流程：發現漏洞後如何通知、如何修復、如何公告

4. 社區參與激勵：通過代幣、NFT或其他方式獎勵貢獻者

5. 透明度要求：強制披露融資、背書、股權結構等關鍵信息

系統性問題的根源：速度與質量的博弈

這五個問題的共同根源，是加密行業對速度的極端追求：

• 快速開發：搶佔熱點，快速迭代，先發優勢

• 快速融資：趁熱度高估值融資，不在乎合規細節

• 快速增長：用戶數、star數、社區規模的指標競賽

• 快速變現：發幣、上所、套現離場

在這種文化下：

• 安全是負擔，減慢速度

• 法律是成本，能省則省

• 治理是累贅，妨礙決策

• 長期主義是笑話，牛市不等人

但當速度壓倒一切，質量就成為犧牲品。Nofx用兩個月獲得9000 stars，也用兩個月失去了相當信譽。

結語：開源理想的現實困境

從快速崛起到陷入三重危機，Nofx的故事是Web3開源運動的一個縮影。它既展現了開源協作的強大力量，也暴露了這個模式在現實中面臨的種種挑戰

黑客門提醒我們，去中心化並不等於安全；內鬥門揭示了，理想主義者之間的分歧可能比外部攻擊更具破壞性；開源門則將一個長期存在的問題推向前臺：在追求商業價值的Web3世界裡，如何保護開源貢獻者的權益？

特別值得關注的是，開源協議爭端中的時間認定問題仍待進一步澄清。這不僅關係到具體案例的是非曲直，更關乎整個Web3開源生態的規範建設。未來可能需要建立更可靠的協議變更記錄機制，以及更權威的第三方仲裁體系

本文基於公開信息整理分析，不代表對任何一方的支持或否定。文中所有技術細節、時間線、法律文件均可通過GitHub、Twitter等公開渠道驗證。轉載或改編請註明出處x@wquguru.