作者:WquGuru
在正式展开这个故事之前,我需要说明自己在这个事件中的位置。
我是一个旁观者和分析者。在Nofx项目爆火期间,我曾开发过nof0项目——二者灵感均来自nof1。在开发过程中,我与Nofx的核心成员Tinkle和Zack都有过沟通交流,主要围绕技术实现和开源协作展开。
需要明确的是:我与Nofx团队之间仅有技术交流,没有任何商业合作关系;与ChainOpera AI(COAI)团队则无直接接触。在撰写这篇文章时,我尽力保持客观中立的立场,所有分析和判断都基于公开可查的资料,包括GitHub记录、社交媒体发言、安全报告等。
事件时间跨度:
整个事件持续约2个月,却集中暴露了Web3开源运动中的多重矛盾。
写作这篇文章的目的,不是为了站队或指责任何一方,而是希望:
现在,让我们从头开始梳理这个复杂的故事。
2025年10月底,一个名为Nof1的AI自动交易项目在推特引爆。短短数天,它的多个开源版本——包括nof0、nofx等——在GitHub上获得了数千star。其中,Nofx项目从10月底开始开发,到12月已经积累了超过9000个star,成为AI Trading领域最受关注的开源项目之一
然而,仅仅两个月后,这个明星项目陷入三重危机:
黑客门:区块链安全公司SlowMist披露,Nofx存在严重安全漏洞,导致全网1000多个部署实例的用户交易所API密钥、私钥、钱包地址完全暴露。Binance、OKX等主流交易所紧急介入,协助受影响用户更换凭证。
内斗门:项目核心成员Tinkle公开指控另一位联合创始人Zack"仅参与14天、贡献几行代码"却索要50%股权和50万美元。Zack则通过律师发出正式法律文件,指控Tinkle"侵吞资产、利益输送",并提供了显示双方各持50%股权的合伙企业注册文件。
开源门:Nofx公开指控融资1700万美元的ChainOpera AI(COAI)违反AGPL开源协议,在未开源的情况下使用其代码部署商业产品。COAI则反驳称,Nofx在11月3日仍是MIT协议,11月4日才改为AGPL,且其产品使用Python开发,与Nofx的Go实现完全不同。
一个社区热捧的开源项目,为何会在短短两个月内陷入如此复杂的多重危机?这背后暴露了开源社区、创业团队、投资生态的哪些系统性问题?让我们通过五个关键问题,深入剖析这场风波。
MIT与AGPL:两种截然不同的开源哲学
在讨论Nofx与COAI的协议争端之前,我们需要理解两种开源协议的根本差异:
MIT License(麻省理工学院许可证)是最宽松的开源协议之一。它允许:
AGPL v3.0(GNU Affero通用公共许可证)则是最严格的开源协议之一。它要求:
从MIT到AGPL,是从"极度宽松"到"极度严格"的180度转变。这也是本次争议的核心。
Nofx项目的开源协议从MIT变更为AGPL,但具体变更时间成为争议焦点,这个时间点至关重要,因为它直接决定了ChainOpera(COAI)团队在fork代码时应当遵守的协议。
双方证据对比:
Nofx社区发现融资1700万美元、在Binance Alpha上线的ChainOpera(COAI)项目,其代码与Nofx高度相似。
Nofx方面的指控:
COAI方面的回应:
这场争端暴露了Web3开源生态中的深层次问题:
协议变更的有效性问题:
商业利益的冲突:
社区观点分化:
法律与技术的灰色地带:
从目前公开的证据看,Nofx对COAI的开源协议侵权指控存在多处疑点:
值得注意的是,协议变更时间的争议对整个事件性质判断具有决定性影响。如果Nofx的主张成立,COAI确实存在违反AGPL协议的问题;但如果COAI的主张成立,他们的行为则完全符合MIT协议的规定。这个时间点的认定,仍需更权威的第三方验证
如果说开源门是Nofx与外部的争议,那么内斗门则是这个项目内部矛盾的公开化——一场关于"贡献"与"价值"的创始团队争夺战。
2025年10月28日:Nofx开始开发;
2025年10月29日:Zack加入项目(此时项目刚开源一天);
2025年11月初:Zack提出要50%股权,理由是能介绍Amber Group参与商业化;
2025年11月初:Tinkle拒绝给50%股权,认为自己是团队CEO兼CTO,Zack贡献不足;
2025年11月19日:Zack的律师(君合律师事务所香港办公室)发出正式的"无损权益和解要约"(Without Prejudice Save as to Costs),要求支付50万美元回购Zack持有的50%股权;
2025年12月:矛盾公开化,双方在社交媒体互相指控;
从时间上看,Zack从加入到发律师函,前后不到一个月,这确实很短。
Tinkle的叙事:
Zack的反击:
这场争议的本质是一个古老的创业难题:技术贡献vs资源引荐,哪个更值钱?
从代码贡献角度,Tinkle的说法可能有一定道理。GitHub的commit记录是公开的,如果Zack确实只有少量代码的提交,这在技术圈是容易验证的事实。一个开发了60天的项目,另一个人参与14天,从时间和代码量来说,贡献差距确实巨大。
但从股权角度,Zack拿出了法律文件。APEIRON LABS PTE. LTD.的注册信息显示,双方签署的是50-50的股权分配协议。这意味着:
那么问题来了:为什么Tinkle会同意这样的股权分配?
Amber这张牌到底值多少?
关键变量是Amber Group——或者更准确说,是Amber的生态加速器amber.ac。
Zack的筹码是:他能介绍Amber参与Nofx的商业化。根据Tinkle的说法,Zack曾是Amber的实习生(虽然未转正已离开)。在加密行业,能引入顶级机构的背书和资金,确实是巨大的价值。
但最终的结果是:
这就产生了两种可能的解释:
解释A(支持Tinkle):Zack夸大了自己的资源能力,用空头支票换取股权,最终没能兑现承诺,却拒不交出股权,通过律师函要挟。
解释B(支持Zack):双方确实达成了股权协议,Zack尽力尝试引入Amber,但因Tinkle方面的问题(可能包括"侵吞资产、利益输送")导致投资未能落地。Zack作为合法股东,有权要求退出并获得补偿。
哪个解释更接近真相?这需要更多内部材料才能判断。
法律程序还是敲诈勒索?
Tinkle在社交媒体上公开Zack的律师函,并称其为"敲诈勒索"。这个指控很严重,因为敲诈勒索是刑事犯罪。
但Zack的回应揭示了法律程序的专业性:
"无损权益和解要约"(Without Prejudice Save as to Costs)是英美法系中的标准法律程序,用于商业纠纷的和解谈判。其特点是:
Zack的律师函要求50万美元,但这个金额是基于:
从法律角度,这是完全合法的和解谈判策略。如果Tinkle真认为这是"敲诈勒索",正确做法是报警,而不是发推文。
Zack的"最后警告"也很有力度:
"如果你们真认为这是勒索,请立即报警。如果没有胆量报警,就请停止这种荒谬的表演。"
被隐藏的指控:侵吞资产与利益输送
在这场公开对峙中,有一个细节值得注意:Zack提到,律师函的主体是一份详尽的Demand Letter,记录了Tinkle"侵吞合伙资产、实施非法手段共谋"的行为。
这份Letter的完整内容并未公开,但这个指控非常严重。如果属实,可能涉及:
Tinkle对这部分指控没有正面回应,只是说"不再回应此事,专注做产品"。
这种回避态度,反而让人好奇:Demand Letter里到底写了什么?
小结:一个无解的难题
创始团队的股权纠纷,在创业圈屡见不鲜。Nofx的案例之所以引发关注,是因为它浓缩了这类纠纷的典型矛盾:
从现有证据看:
最终的答案可能只能由法庭给出。但这个案例给所有创业团队的警示是:
Nofx与COAI的协议之争和内部的股权纠纷前,一个更严重的危机也曾悄然发酵:安全漏洞。
2025年11月,区块链安全公司SlowMist发布了一份详细的安全分析报告,揭露了Nofx项目存在的严重安全隐患。这不是一般意义上的"小bug",而是可能导致用户资金全面失窃的重大漏洞。
2025年10月31日 - Commit 517d0c:零认证的原罪
在这个commit中,Nofx的代码存在一个致命缺陷:
这意味着什么?任何人只要知道一个部署了Nofx的服务器地址,就可以直接访问/api/exchanges接口,获取:
拿到这些信息,攻击者可以:
这是零防护的暴露,是安全设计的基本失误。
2025年11月5日 - Commit be768d9:"加固"的幻觉
可能是意识到了安全问题,Nofx团队在这个commit中添加了JWT(JSON Web Token)认证机制。从表面看,这是一次安全加固。
但问题在于:
这意味着:
这就像给一扇门加了一把锁,但钥匙就放在门口的地垫下面,所有人都知道。
2025年11月13日 - Dev分支:持续的隐患
即使到了11月13日,dev分支的代码仍然存在多项问题:
这不是偶然的疏忽,而是系统性的安全意识缺失。
情报来源:安全研究者 @Endlessss20 向SlowMist提供了Nofx存在安全隐患的初始情报。
深度分析:SlowMist安全团队对Nofx的GitHub代码进行了完整审计,识别出上述两个主要认证问题。
全网扫描:更令人震惊的是,SlowMist进行了互联网范围的扫描,发现了超过1000个公开可访问的Nofx部署实例,其中许多使用默认或脆弱配置,用户凭证完全暴露。
这不是理论上的安全风险,而是正在发生的现实威胁。
紧急协调:鉴于风险的紧迫性,SlowMist立即联系了主流交易所:
处理进展:截至2025年11月17日,所有中心化交易所(CEX)用户的暴露密钥已经处理完毕。但部分Aster和Hyperliquid用户由于钱包去中心化,难以直接触达,需要用户自查
这次安全事件的影响远超技术层面:
直接受害者:
潜在损失:
信任崩塌:
Nofx的安全漏洞不是高深的技术挑战,而是基本的安全常识:
这些是任何有经验的开发者都应该知道的原则。那么为什么Nofx会犯这些错误?
可能的原因:
但最根本的原因可能是:开源≠安全。
很多人以为,开源代码意味着"千万双眼睛"在审查,所以更安全。但现实是:
这里引出一个有争议的问题:当用户因为使用开源软件的漏洞而遭受损失,开源作者是否应该承担责任?
从法律角度,大多数开源协议(包括MIT和AGPL)都有免责声明:
"软件按'原样'提供,不提供任何明示或暗示的保证...作者不对任何损害负责。"
但从道义角度,当你知道自己的代码会被用户用于管理真金白银的资产时,是否应该有更高的安全标准?
Nofx的案例特殊之处在于:
Nofx的安全危机揭示了AI Trading这个领域的特殊风险:
自动化的双刃剑:
开源与安全的矛盾:
用户教育的缺失:
在这次事件中,SlowMist的行动值得称赞:
这种责任披露(Responsible Disclosure)机制,是行业安全的基石
Nofx的安全漏洞事件告诉我们:
在Nofx的多重危机中,有一个细节很容易被忽略,但它揭示了加密行业一个普遍问题:背书文化。
背书的出现:"Backed by @amber_ac_ "
在事件爆发前,如果你访问Nofx的Twitter主页,会在简介中看到这样一行字:"Backed by @amber_ac_ "
这是什么意思?在加密行业,"backed by"通常意味着:
Amber Group是加密行业的知名机构,拥有强大的资金和资源。amber.ac则是其生态加速器。对于一个新兴开源项目来说,获得Amber的背书,意味着:
这就像一个创业者拿到了顶级VC的term sheet,即使还没拿到钱,光是这个背书就能带来巨大价值。
Zack的筹码:我能带来Amber
回到内斗门的背景,Zack索要50%股权的重要筹码就是:他能介绍Amber参与Nofx的商业化。
根据Tinkle的说法,Zack曾是Amber的实习生。在行业里,这种背景意味着一定的人脉资源。Zack向Tinkle承诺,可以引入Amber的投资或孵化支持,作为交换,他要求获得50%股权。
从商业逻辑看,这个交易是合理的:
但关键问题是:Amber最终来了吗?
Amber的澄清:"无正式孵化、投资或商业合作关系"
2025年12月,当Nofx的内斗和开源门都闹得沸沸扬扬时,amber.ac发布了一份官方声明:
" amber.ac 与Nofx无正式孵化、投资或商业合作关系。我们曾基于行业观察与Nofx进行友好交流,但这些交流未导向任何正式合作。我们所有正式合作均会通过官方网站公示。"
这份声明很微妙:
那么问题来了:"友好交流"和"backed by"之间,差距有多大?
背书的消失:删除与解释
在Amber发布声明后不久,社区发现Nofx悄悄删除了Twitter简介中的"Backed by @amber_ac_ "字样。
有网友质疑,Nofx小编回应:
"感激Amber早期支持,因当前事件和对方要求,尊重意愿删除。"
这个回应又引出了新的问题:
从Amber的角度,这个切割是必要的:
从Nofx的角度,这个删除很尴尬:
"生态加速器"vs"正式投资":灰色地带 amber.ac 的定位是"生态加速器",而非直接的投资基金。这个定位的模糊性,正是问题的根源。
生态加速器通常提供:
正式投资关系包括:
Nofx与 amber.ac 的关系,可能介于两者之间的灰色地带:
背书文化的泛滥:加密行业的通病
Nofx-Amber事件只是冰山一角。在加密行业,背书文化已经泛滥成灾:
常见的背书套路:
背书的真实价值链:
问题是,很多项目有意将底层的关系包装成顶层的背书。
为什么投资机构默许这种模糊:
为什么项目方热衷于此:
反思:背书的责任边界在哪里?
Nofx-Amber事件引发了一个深层问题:当一个机构的名字被用于背书,它应该承担多大责任?
如果Amber真的投资了Nofx:
如果只是"友好交流":
在Nofx案例中:
这种"事前模糊、事后切割"的模式,损害的是整个行业的信任基础。
Amber-Nofx事件的启示:
在加密行业,背书是一种社交资本。但像所有资本一样,它需要规则和责任。当每个人都在透支这种信任,最终的结果是整个行业的信用崩塌
当我们抽离具体的指控和反驳,跳出Nofx个案的细节,会发现这场风波指向了五个深层的系统性问题——它们不仅存在于Nofx,而是整个加密开源生态的"阿喀琉斯之踵"。
问题一:开源精神在商业化浪潮中的异化
Nofx从MIT到AGPL的协议变更,表面上是技术决策,实际上折射出开源精神与商业利益的根本冲突。
开源的初心:
商业化的现实:
MIT协议代表的是开源的理想主义:你随便用,只要注明出处。这种慷慨吸引了大量开发者与社区注意力,Nofx才能快速积累9000+ stars。
但当Nofx看到COAI这样的融资1700万美元的项目可能在使用他们的代码时,他们改变了主意。AGPL协议是开源世界里最严格的"防火墙":用我的代码?那你也必须开源,而且不能闭源商用。
从Nofx的角度理解,这种转变有其合理性:
这种转变本身无可厚非——开源作者有权选择协议。但客观存在的问题在于:
从另一个角度看,Nofx的一些做法可能有其背景:
然而,即使理解这些背景,执行方式的问题依然存在。这已经不仅仅是捍卫开源精神的问题,而是如何在保护自身权益与维护开源生态信任之间找到平衡。
开源的异化表现为:
这种判断需要谨慎。我们很难从外部完全了解Nofx团队的内部决策过程和真实动机。开源协议变更本身是合法权利,问题的关键在于:
这个案例暴露的,更多是整个Web3开源生态缺乏成熟规范的系统性问题,而非单纯某一方的恶意行为。
双方都有合理诉求:
这种异化伤害的是整个开源生态的信任基础。当开发者不确定一个MIT项目会不会突然改成AGPL并追溯执法,他们还敢使用开源代码吗?当开源作者发现自己的贡献被商业化却得不到任何回报,他们还愿意继续开源吗?
这是一个双输的困境,真正需要的是行业层面的规范建设
Tinkle和Zack的股权纠纷,暴露了加密创业团队在法律合规方面的普遍问题。
股权分配的混乱:
决策记录的缺失:
沟通程序的混乱:
法律工具的滥用:
这些问题在加密创业团队中极为常见:
但当项目做大,或者出现纠纷时,这些早期的"省略"会变成巨大的隐患。
应该做什么:
Nofx的安全漏洞揭示了一个残酷的真相:在加密行业,技术能力≠安全意识。
能力错位的表现:
融资能力不代表技术实力:
安全的边缘化:
开源≠安全的误解:
AI Trading的特殊风险:
Nofx案例的教训:
问题四:加密行业的背书文化泛滥
Nofx-Amber事件揭开了加密行业背书文化的遮羞布
背书的通货膨胀:
灰色地带的泛滥:
为什么这种文化有市场:
恶性循环:
如何打破循环:
问题五:社区治理机制的全面缺位
综合Nofx的三重危机,最深层的问题是:开源社区缺乏有效的治理机制
协议争端没有仲裁机制:
安全问题缺乏标准流程:
股权纠纷无处申诉:
社区参与缺乏激励:
现有治理实践的尝试:
但这些机制在加密开源领域的应用还很有限。
开源和平衡和使用者各方理想的治理机制应该包括:
系统性问题的根源:速度与质量的博弈
这五个问题的共同根源,是加密行业对速度的极端追求:
在这种文化下:
但当速度压倒一切,质量就成为牺牲品。Nofx用两个月获得9000 stars,也用两个月失去了相当信誉。
从快速崛起到陷入三重危机,Nofx的故事是Web3开源运动的一个缩影。它既展现了开源协作的强大力量,也暴露了这个模式在现实中面临的种种挑战
黑客门提醒我们,去中心化并不等于安全;内斗门揭示了,理想主义者之间的分歧可能比外部攻击更具破坏性;开源门则将一个长期存在的问题推向前台:在追求商业价值的Web3世界里,如何保护开源贡献者的权益?
特别值得关注的是,开源协议争端中的时间认定问题仍待进一步澄清。这不仅关系到具体案例的是非曲直,更关乎整个Web3开源生态的规范建设。未来可能需要建立更可靠的协议变更记录机制,以及更权威的第三方仲裁体系
本文基于公开信息整理分析,不代表对任何一方的支持或否定。文中所有技术细节、时间线、法律文件均可通过GitHub、Twitter等公开渠道验证。转载或改编请注明出处x@wquguru.
原文链接
