Trước khi bắt đầu kể câu chuyện này, tôi cần phải giải thích lập trường của mình trong sự kiện này.
Tôi là người quan sát và phân tích. Trong giai đoạn dự án Nofx nổi lên, tôi đã phát triển dự án nof0—cả hai đều lấy cảm hứng từ nof1. Trong quá trình phát triển, tôi đã liên lạc với các thành viên cốt lõi của Nofx là Tinkle và Zack, chủ yếu tập trung vào việc triển khai kỹ thuật và hợp tác mã nguồn mở.
Cần phải làm rõ rằng mối quan hệ của tôi với nhóm Nofx hoàn toàn mang tính kỹ thuật, không có bất kỳ sự hợp tác thương mại nào; và tôi chưa từng có liên hệ trực tiếp với nhóm ChainOpera AI (COAI). Khi viết bài này, tôi đã cố gắng duy trì lập trường khách quan và trung lập, và tất cả các phân tích và đánh giá đều dựa trên thông tin công khai, bao gồm hồ sơ GitHub, bài đăng trên mạng xã hội và báo cáo bảo mật.
Khoảng thời gian diễn ra sự kiện:
• Cuối tháng 10 năm 2025: Dự án Nofx ra mắt, thu hút gần 9.000 lượt đánh dấu sao trên GitHub chỉ trong hai tháng.
• Tháng 11 năm 2025: Lỗ hổng bảo mật bị phát hiện, SlowMist đưa ra cảnh báo bảo mật (vụ bê bối hack)
• Tháng 12 năm 2025: Tranh chấp về giấy phép mã nguồn mở nổ ra (Open Source Gate), và mâu thuẫn nội bộ giữa các nhóm xuất hiện (Internal Strife Gate).
Toàn bộ sự việc kéo dài khoảng hai tháng, nhưng nó đã phơi bày nhiều mâu thuẫn trong phong trào mã nguồn mở Web3.
Mục đích của bài viết này không phải là để đứng về phe nào hay đổ lỗi cho bất kỳ bên nào, mà là để bày tỏ hy vọng rằng:
• Cung cấp một bản ghi đầy đủ về trường hợp điển hình này của phong trào mã nguồn mở Web3. • Khám phá mâu thuẫn sâu sắc giữa tinh thần mã nguồn mở và lợi ích thương mại. • Đưa ra những suy ngẫm và tham khảo cho việc tiêu chuẩn hóa ngành công nghiệp trong tương lai.
Giờ chúng ta hãy bắt đầu từ đầu và làm sáng tỏ câu chuyện phức tạp này.
Vào cuối tháng 10 năm 2025, một dự án giao dịch tự động dựa trên trí tuệ nhân tạo có tên Nof1 đã lan truyền mạnh mẽ trên Twitter. Chỉ trong vài ngày, nhiều phiên bản mã nguồn mở của nó—bao gồm nof0 và nofx—đã thu hút hàng nghìn lượt đánh dấu sao trên GitHub. Dự án Nofx, bắt đầu được phát triển vào cuối tháng 10, đã tích lũy được hơn 9.000 lượt đánh dấu sao vào tháng 12, trở thành một trong những dự án mã nguồn mở được theo dõi nhiều nhất trong lĩnh vực giao dịch AI.
Tuy nhiên, chỉ hai tháng sau, dự án đầy triển vọng này đã rơi vào khủng hoảng kép:
Vụ bê bối hack: Công ty bảo mật blockchain SlowMist đã tiết lộ một lỗ hổng bảo mật nghiêm trọng tại Nofx, dẫn đến việc toàn bộ khóa API, khóa riêng tư và địa chỉ ví của người dùng bị lộ trên hơn 1.000 hệ thống triển khai. Các sàn giao dịch lớn như Binance và OKX đã ngay lập tức can thiệp để hỗ trợ người dùng bị ảnh hưởng khôi phục lại thông tin đăng nhập của họ.
Vụ bê bối mâu thuẫn nội bộ: Thành viên chủ chốt Tinkle công khai cáo buộc người đồng sáng lập Zack đòi 50% cổ phần và 500.000 đô la mặc dù chỉ tham gia 14 ngày và đóng góp một vài dòng mã. Zack, thông qua luật sư của mình, đã đệ trình các văn bản pháp lý chính thức cáo buộc Tinkle "tham ô và chiếm đoạt tài sản", đồng thời cung cấp các tài liệu đăng ký hợp tác cho thấy tỷ lệ sở hữu 50/50 giữa hai người.
Tranh cãi về mã nguồn mở: Nofx đã công khai cáo buộc ChainOpera AI (COAI), công ty đã huy động được 17 triệu đô la, vi phạm giấy phép mã nguồn mở AGPL bằng cách triển khai mã của họ trong một sản phẩm thương mại mà không công khai mã nguồn. COAI phản bác rằng Nofx vẫn đang sử dụng giấy phép MIT vào ngày 3 tháng 11, chỉ chuyển sang AGPL vào ngày 4 tháng 11, và sản phẩm của họ được phát triển bằng Python, hoàn toàn khác với phiên bản Go của Nofx.
Làm thế nào mà một dự án mã nguồn mở phổ biến lại có thể rơi vào cuộc khủng hoảng phức tạp và đa chiều như vậy chỉ trong vòng hai tháng? Điều này phơi bày những vấn đề hệ thống nào trong cộng đồng mã nguồn mở, các nhóm khởi nghiệp và hệ sinh thái đầu tư? Chúng ta hãy cùng tìm hiểu về sự hỗn loạn này bằng cách xem xét năm câu hỏi chính.
MIT và AGPL: Hai triết lý mã nguồn mở hoàn toàn khác biệt.
Trước khi bàn về tranh chấp giao thức giữa Nofx và COAI, chúng ta cần hiểu rõ những điểm khác biệt cơ bản giữa hai giao thức mã nguồn mở này:
Giấy phép MIT là một trong những giấy phép mã nguồn mở có tính tự do cao nhất. Nó cho phép:
• Được tự do sử dụng, chỉnh sửa và phân phối mã nguồn. • Không cần phải công khai mã nguồn cho mục đích thương mại. • Yêu cầu duy nhất: Giữ nguyên thông báo bản quyền của tác giả gốc.
AGPL v3.0 (Giấy phép công cộng GNU Affero) là một trong những giấy phép mã nguồn mở nghiêm ngặt nhất. Nó yêu cầu:
• Bất kỳ dự án nào sử dụng mã nguồn này cũng phải là mã nguồn mở. • Đặc biệt, ngay cả khi dịch vụ được cung cấp trực tuyến (như SaaS), mã nguồn cũng phải được công khai. • Thông tin về dự án gốc phải được ghi rõ nguồn gốc.
Việc chuyển từ MIT sang AGPL thể hiện một bước ngoặt 180 độ, từ "cực kỳ dễ dãi" sang "cực kỳ nghiêm ngặt". Đây chính là trọng tâm của cuộc tranh cãi hiện nay.
Sửa đổi thỏa thuận và tranh chấp về thời gian
Giấy phép mã nguồn mở của dự án Nofx đã được thay đổi từ MIT sang AGPL, nhưng thời điểm cụ thể của sự thay đổi này lại trở thành tâm điểm của tranh cãi. Thời điểm này rất quan trọng vì nó trực tiếp quyết định giấy phép mà nhóm ChainOpera (COAI) nên tuân thủ khi sao chép mã nguồn.
So sánh bằng chứng từ cả hai phía:
• Nhóm Nofx đã cung cấp lịch sử commit trên GitHub cho thấy thời gian sửa đổi các tệp giao thức. • Tuy nhiên, nhóm COAI chỉ ra rằng, dựa trên hồ sơ và quan sát của họ, thời gian công bố công khai các thay đổi giao thức là đáng ngờ.
Những cáo buộc đạo văn của ChainOpera
Cộng đồng Nofx đã phát hiện ra rằng dự án ChainOpera (COAI), dự án đã huy động được 17 triệu đô la và ra mắt trên Binance Alpha, có mã nguồn rất giống với Nofx.
Những cáo buộc của Nofx:
• COAI đã sử dụng mã nguồn của Nofx mà không ghi nguồn hoặc công khai mã nguồn. • Theo giấy phép AGPL có hiệu lực vào thời điểm đó, COAI phải:
Mã nguồn được đánh dấu rõ ràng và công khai; mã nguồn đã được sửa đổi cũng sử dụng giấy phép AGPL.
Phản hồi của COAI:
• Mặc dù tuyên bố đã tự phát triển mã nguồn riêng, Nofx vẫn sử dụng giấy phép MIT. • Giấy phép MIT cho phép sử dụng thương mại mà không yêu cầu công khai mã nguồn. • Tranh cãi xung quanh thời điểm thay đổi giấy phép đã ảnh hưởng đến việc đánh giá bản chất của toàn bộ sự kiện.
Tranh chấp về giấy phép mã nguồn mở: Ai đúng ai sai?
Cuộc tranh chấp này đã phơi bày những vấn đề sâu xa trong hệ sinh thái mã nguồn mở Web3:
Hiệu lực của thỏa thuận thay đổi:
• Tranh cãi về hiệu lực hồi tố: Liệu những thay đổi đối với giấy phép mã nguồn mở có ràng buộc đối với mã nguồn đã được sao chép (fork) hay không?
• Thời điểm: Thời điểm chính xác của việc sửa đổi thỏa thuận rất khó xác định hoàn toàn, vì cả hai bên đều đưa ra những lời giải thích trái ngược nhau.
• Độ tin cậy của bằng chứng: Hồ sơ GitHub có thể đã bị sửa đổi, cần được xác minh bởi bên thứ ba có thẩm quyền hơn . • Truyền tải thay đổi giao thức: Thông tin về việc thay đổi từ MIT sang AGPL đã được truyền đạt đến cộng đồng ở mức độ nào?
Xung đột lợi ích kinh doanh:
• COAI đã huy động được nguồn vốn đáng kể và ra mắt trên Binance, chứng minh giá trị thương mại đáng kể. • Nofx, với tư cách là một dự án mã nguồn mở, thiếu lộ trình thương mại hóa rõ ràng.
• Mâu thuẫn cốt lõi: Khó khăn trong việc cân bằng tinh thần chia sẻ mã nguồn mở với việc bảo vệ lợi ích thương mại.
Những quan điểm trái chiều trong cộng đồng:
• Những người ủng hộ Nofx lập luận rằng COAI thu lợi từ mã nguồn mở mà không đóng góp lại cho cộng đồng. • Những người ủng hộ COAI lập luận rằng giấy phép MIT vốn dĩ cho phép sử dụng thương mại, và thời điểm thay đổi giấy phép là đáng ngờ. • Các nhà quan sát trung lập chỉ ra rằng tranh chấp về thời điểm là mấu chốt , và cần thêm bằng chứng đáng tin cậy hơn để xác định kết quả.
Vùng xám giữa luật pháp và công nghệ:
• Tính hợp pháp của các giao thức mã nguồn mở trong các dự án trên chuỗi vẫn chưa rõ ràng. • Khả năng bị giả mạo của các bản ghi trên GitHub làm giảm độ tin cậy của chúng như bằng chứng. • Ngành công nghiệp Web3 thiếu các cơ chế giải quyết tranh chấp mã nguồn mở hoàn thiện.
Tóm tắt: Một cáo buộc gây tranh cãi
Dựa trên các bằng chứng hiện có, có một số nghi ngờ xung quanh cáo buộc vi phạm bản quyền của Nofx đối với giấy phép mã nguồn mở của COAI:
1. Thời điểm đáng ngờ: Bằng chứng từ GitHub cho thấy AGPL chỉ được thay đổi vào ngày 4 tháng 11.
2. Các triển khai kỹ thuật khác nhau: Tên giao diện giống nhau không có nghĩa là mã nguồn giống nhau.
3. Việc giải thích nhật ký là hợp lý: Các chức năng thống kê được chèn vào trong giai đoạn MIT sẽ tiếp tục ghi lại.
4. Nghi ngờ vi phạm quy định: Việc không thông báo cho người dùng về việc thu thập số liệu thống kê có thể vi phạm luật bảo vệ quyền riêng tư.
5. Quá trình giao tiếp vội vã: Gửi email và công khai cáo buộc trong cùng một phút.
Cần lưu ý rằng tranh chấp về thời điểm thay đổi thỏa thuận có tác động quyết định đến việc xác định bản chất của toàn bộ sự việc . Nếu khiếu nại của Nofx là hợp lệ, COAI thực sự vi phạm thỏa thuận AGPL; tuy nhiên, nếu khiếu nại của COAI là hợp lệ, hành động của họ hoàn toàn tuân thủ giấy phép MIT. Việc xác định thời điểm này vẫn cần được xác minh bởi một bên thứ ba có thẩm quyền hơn.
Nếu như cuộc tranh cãi về mã nguồn mở là cuộc xung đột của Nofx với thế giới bên ngoài, thì cuộc xung đột nội bộ là sự thể hiện công khai những mâu thuẫn nội tại của dự án—một cuộc chiến giữa các thành viên sáng lập về "đóng góp" và "giá trị".
Dòng thời gian: Từ khi gia nhập đến khi chiến đấu
Ngày 28 tháng 10 năm 2025: Quá trình phát triển Nofx bắt đầu.
Ngày 29 tháng 10 năm 2025: Zack tham gia dự án (dự án vừa được công bố mã nguồn mở một ngày trước đó).
Đầu tháng 11 năm 2025: Zack đề xuất nắm giữ 50% cổ phần, lập luận rằng ông có thể giới thiệu Amber Group tham gia vào hoạt động thương mại hóa.
Đầu tháng 11 năm 2025: Tinkle từ chối nhượng 50% cổ phần, vì cho rằng với tư cách là CEO kiêm CTO của nhóm, đóng góp của Zack là chưa đủ.
Ngày 19 tháng 11 năm 2025: Các luật sư của Zack (Văn phòng JunHe Law Firm tại Hồng Kông) đã đưa ra đề nghị chính thức "Không ảnh hưởng đến quyền lợi ngoại trừ chi phí", yêu cầu mua lại 50% cổ phần của Zack với giá 500.000 đô la.
Tháng 12 năm 2025: Cuộc xung đột trở nên công khai, cả hai bên đều cáo buộc lẫn nhau trên mạng xã hội.
Về mặt thời gian, Zack chỉ mất chưa đầy một tháng kể từ khi gia nhập công ty cho đến khi gửi thư của luật sư, quả thực là rất ngắn.
Đối đầu: Hai bằng chứng hoàn toàn trái ngược nhau.
Lời kể của Tinkle:
Zack chỉ tham gia trong 14 ngày.
• Đã đóng góp một vài dòng mã ("có thể kiểm chứng")
• Tham gia sau khi dự án đã được công khai mã nguồn và có hàng nghìn thành viên trong nhóm Telegram. • Yêu cầu một lượng cổ phần khổng lồ bằng cách đề nghị giới thiệu Amber Investment. • Chiếm đoạt tài khoản Twitter của dự án sau khi bị từ chối. • Yêu cầu 500.000 đô la thông qua thư của luật sư, bị nghi ngờ là tống tiền. • Zack từng là thực tập sinh của Amber nhưng đã nghỉ việc trước khi được đề nghị vị trí toàn thời gian. • Cuối cùng không thể thu hút được Amber Investment.
Zack phản công:
• Cung cấp các tài liệu đăng ký công ty APEIRON LABS PTE. LTD. • Các tài liệu cho thấy Tinkle và Zack mỗi người nắm giữ 50% cổ phần. • Đây là thông tin công khai từ hệ thống đăng ký công ty của Singapore và bất kỳ ai cũng có thể xác minh. • Lá thư của luật sư là một "đề nghị dàn xếp không vi phạm" tiêu chuẩn, phù hợp với các thủ tục pháp lý thương mại. • Tài liệu là một lá thư yêu cầu nêu chi tiết hành vi "tham ô tài sản và chuyển nhượng lợi ích" của Tinkle. • Đề nghị 500.000 đô la không phải là tống tiền, mà là mua lại các quyền lợi hợp pháp của Zack với giá thấp hơn giá trị thực. • Hãy tự hỏi: Nếu công ty có giá trị, liệu việc mua lại 50% cổ phần với mức định giá 1 triệu đô la có hợp lý không? Nếu nó không có giá trị, tại sao Tinkle lại gọi đó là "tống tiền"?
Thách thức cốt lõi: Làm thế nào để định lượng các đóng góp?
Bản chất của cuộc tranh cãi này là một nghịch lý kinh doanh muôn thuở: đóng góp kỹ thuật so với việc giới thiệu nguồn lực, cái nào có giá trị hơn?
Từ góc độ đóng góp mã nguồn, tuyên bố của Tinkle có thể có cơ sở. Hồ sơ commit trên GitHub là công khai, và nếu Zack thực sự chỉ đóng góp một lượng nhỏ mã nguồn, đây là một sự thật dễ dàng kiểm chứng trong cộng đồng công nghệ. Một dự án được phát triển trong 60 ngày, với sự tham gia của một người khác trong 14 ngày—xét về thời gian và lượng mã nguồn, sự khác biệt về đóng góp thực sự rất lớn.
Tuy nhiên, xét về khía cạnh vốn chủ sở hữu, Zack đã trình bày các tài liệu pháp lý. Thông tin đăng ký của APEIRON LABS PTE. LTD. cho thấy hai bên đã ký kết thỏa thuận phân chia vốn chủ sở hữu theo tỷ lệ 50-50. Điều này có nghĩa là:
1. Hai bên trước đó đã đạt được một thỏa thuận pháp lý chính thức.
2. Thỏa thuận này công nhận Zack sở hữu 50% cổ phần.
3. Đây không phải là lời hứa suông mà là một sự thật ràng buộc về mặt pháp lý đã được đăng ký với chính phủ.
Vậy câu hỏi đặt ra là: tại sao Tinkle lại đồng ý với việc phân chia cổ phần này?
Giá trị thực sự của Amber là bao nhiêu?
Yếu tố then chốt là Amber Group—hay chính xác hơn là hệ sinh thái tăng tốc của Amber, amber.ac.
Lợi thế đàm phán của Zack chính là khả năng giới thiệu Amber với những nỗ lực thương mại hóa của Nofx. Theo Tinkle, Zack từng là thực tập sinh tại Amber (mặc dù anh ấy đã rời đi trước khi được đề nghị vị trí toàn thời gian). Trong ngành công nghiệp tiền điện tử, việc nhận được sự ủng hộ và tài trợ từ một tổ chức hàng đầu thực sự là một lợi thế rất lớn.
Nhưng kết quả cuối cùng là:
1. Amber chưa chính thức đầu tư vào Nofx.
2. Tuyên bố chính thức của Amber: Không có "bất kỳ hoạt động ươm tạo, đầu tư hay hợp tác kinh doanh chính thức nào" với Nofx.
3. Amber thừa nhận đã có những "cuộc trao đổi thân thiện", nhưng những cuộc trao đổi này không dẫn đến sự hợp tác chính thức.
Điều này dẫn đến hai lời giải thích khả thi:
Giải thích A (ủng hộ Tinkle): Zack đã phóng đại nguồn lực và khả năng của mình, dùng những lời hứa suông để giành lấy cổ phần, cuối cùng không thực hiện được lời hứa và từ chối giao cổ phần, phải dùng đến thủ đoạn tống tiền thông qua thư từ của luật sư.
Giải thích B (ủng hộ Zack): Một thỏa thuận chia sẻ cổ phần thực sự đã đạt được giữa hai bên. Zack đã cố gắng hết sức để đưa Amber vào đầu tư, nhưng thương vụ thất bại do các vấn đề liên quan đến Tinkle (có thể bao gồm "tham ô tài sản và chuyển lợi ích bất chính"). Là một cổ đông hợp pháp, Zack có quyền rút lui và nhận bồi thường.
Lời giải thích nào gần với sự thật hơn? Cần thêm thông tin nội bộ để xác định điều đó.
Hành vi pháp lý hay tống tiền?
Tinkle đã công khai chia sẻ bức thư của luật sư Zack trên mạng xã hội, gọi đó là "tống tiền". Lời buộc tội này rất nghiêm trọng vì tống tiền là một tội hình sự.
Nhưng phản ứng của Zack đã cho thấy tính chuyên nghiệp của quy trình pháp lý:
"Không ảnh hưởng đến quyền lợi trừ chi phí" là một thủ tục pháp lý tiêu chuẩn trong luật Anh-Mỹ được sử dụng để giải quyết các tranh chấp thương mại. Các đặc điểm của nó bao gồm:
1. Được pháp luật bảo vệ, nó không thể được sử dụng làm bằng chứng trong các vụ kiện tụng (trừ khi liên quan đến chi phí kiện tụng).
2. Mục tiêu là khuyến khích cả hai bên giải quyết tranh chấp một cách hòa bình.
3. Việc đưa ra các điều khoản dàn xếp không cấu thành hành vi tống tiền.
4. Nội dung thư là một bức thư yêu cầu bồi thường, nêu rõ hành vi vi phạm hợp đồng hoặc hành vi gây thiệt hại của bên kia.
Trong thư, luật sư của Zack yêu cầu 500.000 đô la, nhưng số tiền này dựa trên:
• Thực tế pháp lý là Zack nắm giữ 50% cổ phần của công ty. • Dựa trên mức định giá thận trọng là 1 triệu đô la cho công ty. • Là giá mua lại, Tinkle phải mua lại cổ phần của Zack.
Từ góc độ pháp lý, đây là một chiến lược đàm phán dàn xếp hoàn toàn hợp pháp. Nếu Tinkle thực sự tin rằng đây là "tống tiền", thì hành động đúng đắn là báo cáo cho cảnh sát, chứ không phải đăng tải lên Twitter.
Lời cảnh báo cuối cùng của Zack cũng rất mạnh mẽ: "Nếu bạn thực sự nghĩ đây là tống tiền, hãy gọi cảnh sát ngay lập tức. Nếu bạn không đủ can đảm để gọi cảnh sát, thì hãy dừng màn trình diễn lố bịch này lại."
Những cáo buộc ngầm: Tham ô tài sản và chuyển nhượng lợi ích.
Một chi tiết đáng chú ý trong cuộc đối đầu công khai này là Zack đã đề cập rằng lá thư của luật sư về cơ bản là một lá thư yêu cầu chi tiết, nêu rõ "hành vi biển thủ tài sản của công ty và âm mưu thực hiện các hành vi bất hợp pháp" của Tinkle.
Toàn văn bức thư này chưa được công bố, nhưng lời buộc tội rất nghiêm trọng. Nếu đúng sự thật, nó có thể liên quan đến:
1. Tham ô quỹ công ty cho mục đích cá nhân
2. Trao đổi ân huệ với các cá nhân trong các tổ chức đầu tư.
3. Vi phạm nghĩa vụ ủy thác của công ty hợp danh
Tinkle không trực tiếp phản hồi những cáo buộc này, chỉ nói rằng họ sẽ không bình luận thêm về vấn đề này và sẽ tập trung vào phát triển sản phẩm.
Thái độ lảng tránh này chỉ khiến mọi người tò mò: rốt cuộc thì trong thư yêu cầu đó viết gì?
Tóm tắt: Một vấn đề không thể giải quyết
Tranh chấp về cổ phần giữa các thành viên sáng lập là chuyện thường thấy trong giới khởi nghiệp. Vụ việc Nofx thu hút sự chú ý vì nó thể hiện rõ những mâu thuẫn điển hình trong các tranh chấp như vậy:
1. Cam kết bằng lời nói so với thỏa thuận bằng văn bản: Việc đóng góp được xác định như thế nào nếu không có thỏa thuận vốn chủ sở hữu bằng văn bản?
2. Đóng góp kỹ thuật so với giới thiệu nguồn lực: Làm thế nào để đo lường hai giá trị này?
3. Trách nhiệm đối với những kỳ vọng không được đáp ứng: Ai chịu trách nhiệm về việc không thu hút được đầu tư?
4. Quy trình pháp lý so với phán xét đạo đức: Đàm phán dàn xếp có đồng nghĩa với tống tiền không?
Dựa trên các bằng chứng hiện có:
• Zack có đầy đủ giấy tờ pháp lý chứng minh anh ta sở hữu 50% cổ phần. • Tinkle có thành tích đóng góp mã nguồn ấn tượng, chứng minh vị thế thống lĩnh thị trường của mình. • Cả hai đều có câu chuyện riêng, nhưng không ai thiếu bằng chứng xác thực.
Câu trả lời cuối cùng có thể chỉ được đưa ra bởi tòa án. Nhưng vụ việc này là một lời cảnh báo cho tất cả các nhóm khởi nghiệp:
• Việc phân bổ vốn chủ sở hữu nên được thực hiện sớm, bằng văn bản và được xác định rõ ràng. • Việc định lượng đóng góp nên có các tiêu chuẩn khách quan (khối lượng mã, giờ làm việc, giá trị nguồn lực).
• Các quyết định quan trọng cần được ghi chép lại. • Trong trường hợp tranh chấp, hãy ưu tiên giải quyết bằng pháp luật hơn là sử dụng truyền thông.
Trước tranh chấp về thỏa thuận Nofx-COAI và các tranh chấp nội bộ về vốn chủ sở hữu, một cuộc khủng hoảng nghiêm trọng hơn nữa đã âm thầm diễn ra: các lỗ hổng bảo mật.
Vào tháng 11 năm 2025, công ty bảo mật blockchain SlowMist đã công bố một báo cáo phân tích bảo mật chi tiết, tiết lộ các lỗ hổng bảo mật nghiêm trọng trong dự án Nofx. Đây không phải là một lỗi nhỏ, mà là một lỗ hổng lớn có thể dẫn đến việc người dùng bị đánh cắp toàn bộ tiền.
Dòng thời gian của các lỗ hổng bảo mật: Từ xác thực bằng không đến khóa mặc định
31 tháng 10 năm 2025 - Cam kết 517d0c: Tội lỗi nguyên thủy của việc không xác thực
Trong bản cập nhật này, mã của Nofx chứa một lỗi nghiêm trọng:
• Chế độ quản trị (admin_mode) được đặt mặc định là true.
• Phần mềm trung gian cho phép tất cả các yêu cầu được gửi đi mà không cần xác thực. • Giao diện /api/exchanges hoàn toàn mở.
Điều này có nghĩa là gì? Bất kỳ ai biết địa chỉ của máy chủ nơi Nofx được triển khai đều có thể truy cập trực tiếp vào giao diện /api/exchanges để lấy:
• api_key: Khóa API của người dùng trên sàn giao dịch • secret_key: Khóa của sàn giao dịch • hyperliquid_wallet_addr: Địa chỉ ví Hyperliquid • aster_private_key: Khóa riêng tư của nền tảng Aster
Với thông tin này, kẻ tấn công có thể:
1. Kiểm soát hoàn toàn tài khoản giao dịch của người dùng
2. Tham gia giao dịch rửa tiền
3. Rút tiền trực tiếp
4. Thao túng giá thị trường
Đây là một sự tiếp xúc không có bất kỳ biện pháp bảo vệ nào , một lỗi cơ bản trong thiết kế an toàn.
Ngày 5 tháng 11 năm 2025 - Commit be768d9: Ảo tưởng về "Sự củng cố"
Có lẽ nhận thức được các vấn đề bảo mật, nhóm Nofx đã thêm cơ chế xác thực JWT (JSON Web Token) vào bản cập nhật này. Thoạt nhìn, đây có vẻ là một biện pháp tăng cường bảo mật.
Nhưng vấn đề là:
1. Giá trị jwt_secret mặc định không thay đổi.
2. Nếu người dùng chưa thiết lập các biến môi trường, hệ thống sẽ sử dụng khóa mặc định được mã hóa cứng.
3. `/api/exchanges` vẫn trả về tất cả các trường thông tin nhạy cảm ở định dạng JSON gốc.
Điều này có nghĩa là:
• Kẻ tấn công có thể sử dụng khóa mặc định để giả mạo mã thông báo JWT.
• Sau khi có được mã thông báo hợp lệ, tất cả các khóa vẫn sẽ bị lộ hoàn toàn. • Phiên bản "được tăng cường bảo mật" vẫn dễ bị tấn công trên thực tế.
Nó giống như việc khóa cửa nhưng chìa khóa lại để dưới thảm chùi chân, và ai cũng biết điều đó.
Ngày 13 tháng 11 năm 2025 - Nhánh Dev: Các rủi ro tiếp diễn
Ngay cả đến ngày 13 tháng 11, nhánh phát triển vẫn còn một số vấn đề:
• Việc triển khai authMiddleware vẫn còn lỗi (api/server.go:1471–1511)
• /api/exchanges tiếp tục trả về trực tiếp toàn bộ ExchangeConfig (api/server.go:1009–1021).
• Tệp cấu hình vẫn mã hóa cứng admin_mode=true và jwt_secret mặc định.
• Nhánh chính (origin/main) vẫn đang bị kẹt ở phiên bản chưa được chứng nhận kể từ ngày 31 tháng 10.
Đây không phải là sự sơ suất ngẫu nhiên, mà là sự thiếu nhận thức về an ninh một cách có hệ thống.
Khám phá và Phản hồi: Các Hành động Chính của SlowMist
Nguồn thông tin: Nhà nghiên cứu bảo mật @Endlessss20 đã cung cấp cho SlowMist thông tin ban đầu rằng Nofx có các lỗ hổng bảo mật.
Phân tích chuyên sâu: Nhóm bảo mật SlowMist đã tiến hành kiểm tra toàn diện mã nguồn GitHub của Nofx và xác định hai vấn đề xác thực chính được đề cập ở trên.
Quét toàn mạng: Điều đáng kinh ngạc hơn nữa là SlowMist đã tiến hành quét toàn bộ mạng internet và phát hiện hơn 1.000 phiên bản triển khai Nofx có thể truy cập công khai , nhiều trong số đó sử dụng cấu hình mặc định hoặc dễ bị tấn công, khiến thông tin đăng nhập của người dùng bị lộ hoàn toàn.
Đây không phải là rủi ro an ninh lý thuyết, mà là mối đe dọa thực sự đang xảy ra ngay bây giờ.
Phối hợp khẩn cấp: Trước tính cấp bách của rủi ro, SlowMist đã ngay lập tức liên hệ với các sàn giao dịch lớn:
• Cung cấp thông tin tình báo cho đội ngũ bảo mật của Binance và OKX. • Hai sàn giao dịch đã tiến hành xác thực chéo độc lập. • Sử dụng các khóa API thu được để theo dõi người dùng bị ảnh hưởng. • Thông báo cho người dùng và hỗ trợ xoay vòng khóa. • Ngăn chặn các cuộc tấn công giao dịch giả mạo tiềm tàng.
Tiến độ xử lý: Tính đến ngày 17 tháng 11 năm 2025, các khóa bị lộ của tất cả người dùng sàn giao dịch tập trung (CEX) đã được xử lý. Tuy nhiên, một số người dùng Aster và Hyperliquid khó truy cập trực tiếp do tính chất phi tập trung của ví và cần tự kiểm tra.
Phạm vi tác động: Không chỉ là vấn đề kỹ thuật.
Tác động của sự cố an ninh này vượt xa các khía cạnh kỹ thuật:
Nạn nhân trực tiếp:
• Hơn 1000 người dùng sử dụng Nofx để giao dịch tự động • Trên nhiều nền tảng bao gồm Binance, OKX và Hyperliquid • Công khai không chỉ khóa API mà còn cả khóa riêng tư và địa chỉ ví
Những tổn thất tiềm tàng:
• Nếu kẻ tấn công hành động trước khi sàn giao dịch can thiệp, toàn bộ tiền của người dùng có thể bị đánh cắp. • Các hệ thống giao dịch tự động dựa trên trí tuệ nhân tạo có đặc điểm là tần suất giao dịch cao và số tiền lớn, do đó tổn thất có thể rất lớn.
Niềm tin sụp đổ:
• Cộng đồng đã mất niềm tin vào tính bảo mật của dự án Nofx. • Điều này đã làm dấy lên những câu hỏi về toàn bộ hệ sinh thái giao dịch AI mã nguồn mở. • Các nhà phát triển đang trở nên thận trọng hơn khi lựa chọn các dự án mã nguồn mở.
Một câu hỏi sâu sắc hơn: Tại sao lại xảy ra một sai lầm cơ bản như vậy?
Các lỗ hổng bảo mật trong Nofx không phải là những thách thức kỹ thuật cao cấp, mà chỉ là những vấn đề bảo mật cơ bản thông thường:
1. Cơ chế xác thực nên được bật mặc định, chứ không phải tắt mặc định.
2. Khóa mặc định nên được tạo ngẫu nhiên, không được mã hóa cứng.
3. Dữ liệu nhạy cảm nên được mã hóa hoặc ẩn danh, thay vì trả về dưới dạng văn bản thuần.
4. Tệp cấu hình cần phải đưa ra cảnh báo rõ ràng về các rủi ro bảo mật.
Đây là những nguyên tắc mà bất kỳ nhà phát triển có kinh nghiệm nào cũng nên biết. Vậy tại sao Nofx lại mắc phải những sai lầm này?
Nguyên nhân có thể là:
1. Phát triển nhanh chóng là ưu tiên hàng đầu: Trong thời kỳ bùng nổ giao dịch AI, việc nắm bắt thế chủ động quan trọng hơn sự an toàn.
2. Thiếu kinh nghiệm của đội ngũ: Có thể thiếu kinh nghiệm trong việc quản lý tiền của người dùng một cách an toàn.
3. Cấu hình môi trường thử nghiệm sẵn sàng cho sản xuất: Chức năng xác thực đã bị vô hiệu hóa cho mục đích thử nghiệm, nhưng cấu hình này sau đó đã được triển khai trong môi trường sản xuất.
4. Thiếu kiểm tra an ninh: Các dự án mã nguồn mở thường thiếu các cuộc kiểm tra an ninh chuyên nghiệp.
Nhưng lý do cơ bản nhất có lẽ là: mã nguồn mở không đồng nghĩa với bảo mật.
Nhiều người tin rằng mã nguồn mở đồng nghĩa với việc nó luôn được giám sát chặt chẽ, do đó an toàn hơn. Nhưng thực tế là:
• Hầu hết người dùng chỉ là người dùng thông thường, không phải người đánh giá. • Ngay cả khi họ phát hiện ra vấn đề, họ có thể không có khả năng hoặc không sẵn lòng đưa ra bản sửa lỗi. • Kiểm tra an ninh đòi hỏi chuyên môn và thời gian đáng kể. • Các công ty thương mại có đội ngũ bảo mật, trong khi các dự án mã nguồn mở thường không có.
Giới hạn trách nhiệm: Tác giả mã nguồn mở nên chịu trách nhiệm đến mức nào?
Điều này đặt ra một câu hỏi gây tranh cãi: Khi người dùng chịu thiệt hại do các lỗ hổng trong phần mềm mã nguồn mở, liệu các tác giả của phần mềm mã nguồn mở đó có nên chịu trách nhiệm hay không?
Từ góc độ pháp lý, hầu hết các giấy phép mã nguồn mở (bao gồm MIT và AGPL) đều bao gồm một điều khoản miễn trừ trách nhiệm: "Phần mềm được cung cấp 'nguyên trạng' mà không có bất kỳ bảo đảm rõ ràng hoặc ngầm định nào... Tác giả không chịu trách nhiệm đối với bất kỳ thiệt hại nào."
Nhưng xét về mặt đạo đức, khi bạn biết rằng mã nguồn của mình sẽ được người dùng sử dụng để quản lý tài sản bằng tiền thật, chẳng phải nên có những tiêu chuẩn bảo mật cao hơn sao?
Điểm đặc biệt của ốp lưng Nofx là:
1. Đây là hệ thống giao dịch tự động dựa trên trí tuệ nhân tạo , sử dụng trực tiếp vốn của người dùng.
2. Dự án đã nhận được hơn 9000 lượt đánh giá sao và có một lượng người dùng lớn.
3. Điểm yếu không phải là một cuộc tấn công tinh vi, bí mật, mà là sự thiếu hụt các biện pháp bảo vệ cơ bản.
4. Vấn đề này đã kéo dài nhiều tuần, trong thời gian đó, người dùng mới vẫn tiếp tục triển khai dịch vụ của họ.
Tác động đến ngành: Những rủi ro đặc thù của giao dịch bằng trí tuệ nhân tạo
Cuộc khủng hoảng bảo mật của Nofx cho thấy những rủi ro đặc thù vốn có trong lĩnh vực giao dịch bằng trí tuệ nhân tạo:
Tự động hóa là con dao hai lưỡi:
• Hệ thống giao dịch AI được thiết kế để hoạt động tự động 24/7. • Sau khi bị xâm nhập, kẻ tấn công có thể nhanh chóng thực hiện một lượng lớn giao dịch. • Người dùng có thể không phát hiện ra tài sản của mình đã bị chuyển đi trong nhiều giờ.
Mâu thuẫn giữa mã nguồn mở và bảo mật:
• Mã nguồn mở giúp cộng đồng cải thiện và xem xét lại các hệ thống. • Nhưng nó cũng tạo điều kiện dễ dàng hơn cho kẻ tấn công phát hiện ra các lỗ hổng. • Các lỗ hổng được tiết lộ trước khi các bản vá bảo mật được hoàn thiện.
Thiếu kiến thức cho người dùng:
• Nhiều người dùng không hiểu rõ rủi ro khi triển khai hệ thống giao dịch AI. • Họ trực tiếp sử dụng cấu hình mặc định mà không biết rằng cần phải thay đổi khóa. • Họ để dịch vụ tiếp xúc với internet công cộng mà không có biện pháp bảo vệ an ninh cơ bản.
Ý nghĩa mang tính gương mẫu của SlowMist
Hành động của SlowMist trong vụ việc này rất đáng khen ngợi:
1. Phản ứng nhanh: Phân tích chuyên sâu ngay lập tức khi nhận được thông tin tình báo.
2. Quét chủ động: Chủ động phát hiện các trường hợp bị ảnh hưởng mà không cần chờ báo cáo từ người dùng.
3. Hợp tác với ngành: Làm việc chặt chẽ với các sàn giao dịch, thay vì hoạt động riêng lẻ.
4. Công khai thông tin: Phát hành báo cáo chi tiết sau khi xử lý tình huống khẩn cấp và giáo dục cộng đồng.
5. Làm rõ quan điểm của bạn: Nhấn mạnh rằng đây không phải là lời chỉ trích, mà là một biện pháp để giảm thiểu rủi ro.
Cơ chế công khai trách nhiệm này là nền tảng của an toàn công nghiệp.
Tóm lại: Mã nguồn mở không phải là tấm vé thoát tội.
Sự cố lỗ hổng bảo mật Nofx cho chúng ta biết:
1. Các dự án mã nguồn mở cần được kiểm tra an ninh: Ngay cả những dự án có tốc độ phát triển nhanh cũng không nên bỏ qua việc kiểm tra an ninh.
2. Cấu hình mặc định nên ưu tiên bảo mật: Dễ phát triển và dễ bị tấn công thường là hai mặt của cùng một vấn đề.
3. Tiền của người dùng phải được xử lý đặc biệt: Đối với các hệ thống liên quan đến tiền bạc, bảo mật là nguyên tắc bất khả xâm phạm.
4. Các cộng đồng cần thiết lập các cơ chế ứng phó an ninh: Hành động của SlowMist là một ví dụ điển hình.
5. Kỹ năng kỹ thuật không đồng nghĩa với nhận thức về bảo mật: Có khả năng viết mã chức năng không có nghĩa là bạn có thể viết mã an toàn.
Giữa hàng loạt khủng hoảng của Nofx, có một chi tiết dễ bị bỏ qua, nhưng nó lại hé lộ một vấn đề phổ biến trong ngành công nghiệp tiền điện tử: văn hóa xác nhận.
Sự xuất hiện của sự chứng thực: Được hỗ trợ bởi @amber_ac_
Trước khi sự việc xảy ra, nếu bạn truy cập trang Twitter của Nofx, bạn sẽ thấy dòng sau trong phần tiểu sử: Được hỗ trợ bởi @amber_ac_
Điều này có nghĩa là gì? Trong ngành công nghiệp tiền điện tử,
"Được hỗ trợ bởi" thường có nghĩa là:
• Nhận được đầu tư từ tổ chức • Hoặc ít nhất là hỗ trợ ươm tạo • Có mối quan hệ được công nhận chính thức
Amber Group là một tổ chức nổi tiếng trong ngành công nghiệp tiền điện tử với nguồn vốn và tài nguyên dồi dào. amber.ac là hệ sinh thái thúc đẩy của họ. Đối với một dự án mã nguồn mở mới, việc nhận được sự ủng hộ từ Amber có nghĩa là:
1. Xác nhận độ tin cậy: Giúp dự án trở nên đáng tin cậy hơn và thu hút nhiều người dùng hơn.
2. Tạo điều kiện thuận lợi cho việc huy động vốn: Các nhà đầu tư khác sẽ sẵn lòng làm theo hơn.
3. Hỗ trợ nguồn lực: Khả năng tiếp cận hỗ trợ kỹ thuật, thị trường và pháp lý.
4. Niềm tin cộng đồng: Người dùng sẵn sàng tham gia và đóng góp hơn.
Điều này giống như một doanh nhân nhận được bản đề xuất đầu tư từ một nhà đầu tư mạo hiểm hàng đầu; ngay cả khi họ chưa nhận được vốn đầu tư, chỉ riêng sự chứng thực đó thôi cũng đã mang lại giá trị to lớn.
Con chip của Zack: Tôi có thể mang Amber đến.
Trở lại với bối cảnh của cuộc xung đột nội bộ, con át chủ bài của Zack trong việc đòi 50% cổ phần là khả năng giới thiệu Amber với hoạt động thương mại hóa của Nofx.
Theo Tinkle, Zack từng là thực tập sinh tại Amber. Trong ngành, kinh nghiệm này giúp anh ta có được một mạng lưới quan hệ nhất định. Zack hứa với Tinkle rằng anh ta có thể mang về nguồn đầu tư hoặc hỗ trợ ươm tạo từ Amber, đổi lại là 50% cổ phần.
Từ góc độ kinh doanh, giao dịch này là hợp lý:
• Nếu Zack thực sự có thể thuyết phục được Amber đầu tư, thì đóng góp này sẽ có giá trị hơn nhiều so với 14 ngày đóng góp mã nguồn. • Đối với một dự án mã nguồn mở, việc nhận được sự ủng hộ từ một tổ chức hàng đầu có thể là một bước tiến quan trọng từ con số không lên con số một. • Việc trao 50% cổ phần cho người giới thiệu tài nguyên trong giai đoạn đầu không phải là chưa từng có tiền lệ.
Nhưng câu hỏi quan trọng là: Cuối cùng Amber có đến không?
Lời giải thích của Amber: Không có hoạt động ươm tạo, đầu tư hay hợp tác kinh doanh chính thức nào.
Vào tháng 12 năm 2025, giữa những mâu thuẫn nội bộ và tranh cãi về mã nguồn mở xung quanh Nofx, amber.ac đã đưa ra một tuyên bố chính thức:
"Chúng tôi không có bất kỳ mối quan hệ hợp tác ươm tạo, đầu tư hay kinh doanh chính thức nào với Nofx. Chúng tôi đã có những cuộc trao đổi thân thiện với Nofx dựa trên những quan sát về ngành, nhưng những cuộc trao đổi này không dẫn đến bất kỳ sự hợp tác chính thức nào. Tất cả các hoạt động hợp tác chính thức của chúng tôi sẽ được thông báo trên trang web chính thức của chúng tôi."
Câu nói này khá tế nhị:
1. Từ chối thiết lập quan hệ chính thức: Không đầu tư, không ươm tạo, không hợp tác kinh doanh.
2. Ghi nhận các liên hệ trước đó: "Trao đổi thân thiện" và "Quan sát ngành".
3. Nhấn mạnh vào thủ tục: Hợp tác chính thức sẽ được công bố chính thức.
4. Vạch ra một ranh giới rõ ràng: Đây là sự chia tách công khai.
Vậy câu hỏi đặt ra là: sự khác biệt giữa "giao tiếp thân thiện" và "được hậu thuẫn bởi" lớn đến mức nào?
Sự biến mất của sự chứng thực: Việc xóa bỏ và lời giải thích
Không lâu sau khi Amber đưa ra tuyên bố của mình, cộng đồng đã phát hiện ra rằng Nofx đã âm thầm xóa cụm từ "Được ủng hộ bởi @amber_ac_" khỏi phần giới thiệu trên Twitter của họ.
Trả lời các câu hỏi từ cư dân mạng, biên tập viên của Nofx cho biết: "Chúng tôi đánh giá cao sự ủng hộ ban đầu của Amber, nhưng do tình hình hiện tại và yêu cầu của cô ấy, chúng tôi tôn trọng nguyện vọng của cô ấy và đã gỡ bỏ nội dung đó."
Câu trả lời này đặt ra một câu hỏi mới:
1. "Hỗ trợ ban đầu" là gì: Hỗ trợ ở đây có nghĩa là gì nếu không có sự hợp tác chính thức?
2. Xóa theo yêu cầu của bên kia: Amber có chủ động yêu cầu xóa không?
3. Tác động của "Sự kiện hiện tại": Liệu yêu cầu xóa nội dung có phải do một vụ bê bối gây ra?
Theo quan điểm của Amber, việc cắt giảm này là cần thiết:
• Nofx đang vướng vào các vấn đề về lỗ hổng bảo mật, tranh chấp vốn chủ sở hữu và xung đột hợp đồng. • Bất kỳ sự liên kết nào với Nofx đều có thể làm tổn hại đến danh tiếng của Amber. • Amber không muốn chịu bất kỳ trách nhiệm nào nếu người dùng bị thiệt hại do sử dụng Nofx.
Từ góc nhìn của Nofx, việc xóa bỏ này khá khó xử:
• Những sự chứng thực mà họ từng rất tự hào bỗng chốc biến mất. • Ấn tượng mà thế giới bên ngoài nhận được là "ngay cả các nhà đầu tư cũng đã bỏ chạy."
• Điều này càng làm tổn hại thêm lòng tin của cộng đồng.
"Công cụ thúc đẩy hệ sinh thái" so với "Đầu tư chính thức": Vùng xám
amber.ac tự định vị mình là một "công cụ thúc đẩy hệ sinh thái", chứ không phải là một quỹ đầu tư trực tiếp. Sự mơ hồ trong định vị này chính là gốc rễ của vấn đề.
Các chương trình tăng tốc hệ sinh thái thường cung cấp:
• Được cố vấn và tư vấn ngành nghề • Nguồn lực cộng đồng và cơ hội kết nối • Tham gia sự kiện và quảng bá thương hiệu • Tuy nhiên, không đảm bảo được tài trợ trực tiếp.
Các mối quan hệ đầu tư chính thức bao gồm:
• Xác định rõ ràng số vốn đầu tư và tỷ lệ vốn chủ sở hữu • Các văn bản pháp lý (thỏa thuận đầu tư, thỏa thuận cổ đông)
• Quyền tham gia hội đồng quản trị hoặc quyền quan sát viên • Báo cáo tài chính và hoạt động định kỳ
Mối quan hệ giữa Nofx và amber.ac có thể nằm trong vùng xám giữa hai bên:
• Chúng tôi đã có một số trao đổi và hướng dẫn (trao đổi thân thiện).
Nofx coi đây là hành động "ủng hộ" và có thể đánh dấu là "được hỗ trợ bởi".
• amber.ac cho rằng đây không phải là một "sự hợp tác chính thức" và không nên được công khai. • Zack có thể đã tạo điều kiện cho những cuộc trao đổi này, nhưng cuối cùng chúng không dẫn đến đầu tư.
Sự lan tràn của văn hóa chứng thực: một vấn đề phổ biến trong ngành công nghiệp tiền điện tử.
Vụ việc Nofx-Amber chỉ là phần nổi của tảng băng chìm. Trong ngành công nghiệp tiền điện tử, văn hóa chứng thực đã trở nên tràn lan.
Các kỹ thuật chứng thực phổ biến:
1. Một tổ chức nhất định được liệt kê là nhà đầu tư chính: Trên thực tế, đó có thể chỉ là một khoản đầu tư nhỏ tiếp theo.
2. Một nhân vật quan trọng xác nhận: Có thể đó chỉ là bài đăng lại.
3. Được ươm mầm bởi một chương trình tăng tốc khởi nghiệp nhất định: Họ có thể chỉ tham gia một hội thảo duy nhất.
4. Hợp tác với một sàn giao dịch nhất định: Điều này có thể đơn giản chỉ là việc nộp đơn đăng ký niêm yết.
Chuỗi giá trị thực sự của việc chứng thực:
• Cấp cao nhất: Thỏa thuận đầu tư chính thức, nêu rõ số tiền và các điều khoản.
• Cấp độ trung cấp: Được chọn tham gia các chương trình tăng tốc với kế hoạch hỗ trợ rõ ràng.
• Lớp dưới cùng: Tham gia các hoạt động để có cơ hội trải nghiệm.
• Ở phần cuối cùng: Tôi đã có một cuộc trò chuyện riêng và đưa ra một số lời khuyên.
Vấn đề là nhiều dự án cố tình ngụy trang các mối quan hệ ở cấp dưới thành sự chứng thực từ cấp trên.
Tại sao các tổ chức đầu tư lại ngầm chấp nhận sự mơ hồ này?
1. Mở rộng tầm ảnh hưởng: Càng nhiều dự án đề cập đến thương hiệu của bạn, phạm vi tiếp cận thương hiệu càng được mở rộng.
2. Tư duy lựa chọn: Trước tiên hãy thiết lập các mối liên hệ yếu, sau đó có thể chuyển đổi thành các khoản đầu tư.
3. Một sự giúp đỡ nhỏ: Chi phí cho mỗi lần trao đổi rất thấp, nhưng giá trị mà nó mang lại cho nhóm dự án lại rất đáng kể.
4. Thu nhập không chính thức: Một số tổ chức có thể tính phí "tư vấn" hoặc "phí sử dụng thương hiệu".
Tại sao các nhóm dự án lại hào hứng với điều này đến vậy?
1. Nhu cầu tài trợ: Có được sự chứng thực sẽ giúp dễ dàng hơn trong việc đảm bảo nguồn tài trợ tiếp theo.
2. Niềm tin của người dùng: Cộng đồng sẵn sàng tin tưởng hơn vào các dự án được các tổ chức chứng thực.
3. Áp lực cạnh tranh: Các dự án khác đang tự quảng bá và chứng thực bản thân; nếu bạn không làm vậy, bạn sẽ bị tụt lại phía sau.
4. Sự tự tôn: Những người sáng lập cũng cần được công nhận theo cách này.
Suy ngẫm: Phạm vi trách nhiệm trong việc chứng thực nằm ở đâu?
Vụ việc Nofx-Amber đặt ra một câu hỏi sâu sắc: một tổ chức nên chịu trách nhiệm đến mức nào khi tên của mình được sử dụng để quảng bá sản phẩm?
Nếu Amber thực sự đã đầu tư vào Nofx:
• Là cổ đông, nhà đầu tư có trách nhiệm giám sát và quản trị. • Nhà đầu tư nên can thiệp nếu có vấn đề lớn phát sinh trong dự án. • Nhà đầu tư có thể phải chịu một số trách nhiệm đạo đức đối với thiệt hại của người dùng.
Nếu chỉ là " cuộc trao đổi thân thiện " :
• Amber không có nghĩa vụ pháp lý nào. • Tuy nhiên, nếu dự án sử dụng tên cô ấy như một hình thức chứng thực, Amber nên sửa chữa ngay lập tức. • Nếu cô ấy biết về việc sử dụng sai mục đích và không ngăn chặn nó, liệu điều đó có được coi là sự đồng lõa?
Trong trường hợp của Nofx:
1. Nofx đã gắn thẻ "Được Amber hậu thuẫn" trên Twitter trong nhiều tuần (và có thể là nhiều tháng).
2. Là một tổ chức chuyên nghiệp, Amber có khả năng giám sát mạng xã hội.
3. Nếu họ thực sự không có sự hợp tác chính thức, tại sao họ không làm rõ điều đó sớm hơn?
4. Chúng ta có nên chờ đến khi Nofx gặp rắc rối rồi mới vội vàng cắt đứt quan hệ không?
Mô hình "mơ hồ trước rồi chia rẽ sau" này làm tổn hại nền tảng niềm tin trong toàn ngành.
Tóm lại: Học thuộc lòng không phải là chuyện dễ dàng.
Những bài học rút ra từ vụ việc Amber-Nofx:
1. Gửi các chủ dự án: Đừng phóng đại mối quan hệ của mình với các tổ chức; những lời chứng thực sai sự thật sớm muộn gì cũng sẽ bị vạch trần.
2. Đối với các tổ chức đầu tư: Xác định rõ ràng phạm vi chứng thực, nhanh chóng khắc phục mọi hành vi lạm dụng và buộc họ chịu trách nhiệm.
3. Dành cho người dùng: Hãy học cách phân biệt giữa các chứng thực thật và giả, và xác minh các kênh chính thức của các tổ chức đầu tư.
4. Đối với ngành công nghiệp: Thiết lập các tiêu chuẩn và quy tắc chứng thực để giảm thiểu các trường hợp không rõ ràng.
Trong ngành công nghiệp tiền điện tử, sự chứng thực là một hình thức vốn xã hội. Nhưng giống như mọi loại vốn khác, nó đòi hỏi các quy tắc và trách nhiệm giải trình. Khi mọi người lạm dụng lòng tin này, kết quả cuối cùng là sự sụp đổ uy tín trên toàn ngành.
Khi chúng ta loại bỏ những cáo buộc và phản bác cụ thể, và nhìn nhận vấn đề từ bên ngoài, chúng ta thấy rằng sự hỗn loạn này chỉ ra năm vấn đề hệ thống sâu xa—những vấn đề không chỉ tồn tại ở Nofx, mà còn là "gót chân Achilles" của toàn bộ hệ sinh thái tiền điện tử mã nguồn mở.
Câu hỏi 1: Sự tha hóa của tinh thần mã nguồn mở trong làn sóng thương mại hóa
Việc Nofx thay đổi giấy phép từ MIT sang AGPL, dù bề ngoài là một quyết định kỹ thuật, thực chất phản ánh một xung đột cơ bản giữa tinh thần mã nguồn mở và lợi ích thương mại.
Mục đích ban đầu của mã nguồn mở:
• Chia sẻ mã nguồn thúc đẩy sự hợp tác. • Học hỏi từ những thành tựu của người khác giúp tránh việc phải làm lại từ đầu. • Dựa trên cộng đồng, tận dụng trí tuệ tập thể.
Thực tế của thương mại hóa:
• Cần bảo vệ lợi ích kinh doanh • Ngăn chặn đối thủ cạnh tranh "kiếm lời" từ hoạt động kinh doanh
• Tìm kiếm các phương thức kiếm tiền
Giấy phép MIT thể hiện lý tưởng của mã nguồn mở: sử dụng tự do, miễn là bạn ghi nhận nguồn gốc. Sự hào phóng này đã thu hút một lượng lớn nhà phát triển và sự chú ý của cộng đồng, cho phép Nofx nhanh chóng tích lũy được hơn 9000 lượt đánh dấu sao.
Nhưng khi Nofx thấy rằng các dự án như COAI, dự án đã huy động được 17 triệu đô la, có thể sử dụng mã nguồn của họ, họ đã thay đổi ý định. Giấy phép AGPL là "tường lửa" nghiêm ngặt nhất trong thế giới mã nguồn mở: Sử dụng mã của tôi? Vậy thì bạn cũng phải công khai mã nguồn của nó, và bạn không thể sử dụng nó cho mục đích thương mại theo cách thức mã nguồn đóng.
Từ góc nhìn của Nofx, sự thay đổi này là hợp lý:
• Quyền lựa chọn giấy phép: Các tác giả mã nguồn mở có quyền xem xét lại việc lựa chọn giấy phép trong quá trình phát triển dự án. Bản thân AGPL là một giấy phép mã nguồn mở hợp pháp và được sử dụng rộng rãi.
• Lợi ích không đồng đều: Các nhóm mã nguồn mở nhỏ cảm thấy đóng góp của họ không tương xứng với phần thưởng khi thấy mã nguồn của họ được sử dụng rộng rãi trong các dự án thương mại được đầu tư mạnh.
• Bảo vệ hệ sinh thái: Bản chất "lan truyền" của AGPL được thiết kế để ngăn chặn việc "chiếm đoạt" mã nguồn mở và bảo vệ sự phát triển bền vững của hệ sinh thái mã nguồn mở.
• Vị thế bất lợi: Đối mặt với các đối thủ cạnh tranh có nguồn vốn đầu tư 17 triệu đô la, các dự án mã nguồn mở đang gặp bất lợi đáng kể về nguồn lực, hỗ trợ pháp lý và khả năng tiếp cận thị trường.
Sự thay đổi này tự nó là điều dễ hiểu — các tác giả mã nguồn mở có quyền lựa chọn giấy phép của họ. Tuy nhiên, vấn đề khách quan nằm ở chỗ:
1. Không có thông báo cộng đồng: Việc thay đổi giấy phép không được thông báo trong cộng đồng, và các nhà phát triển hiện đang sử dụng phiên bản MIT có thể không biết về điều này.
2. Thi hành hồi tố: Sử dụng thỏa thuận đã được sửa đổi vào ngày 4 tháng 11 để điều tra các hành động được thực hiện vào ngày 3 tháng 11.
3. Những cáo buộc có chọn lọc: Tại sao lại chỉ cáo buộc COAI thay vì các dự án khác sử dụng phiên bản MIT?
4. Thu thập dữ liệu cá nhân: Google Analytics được tích hợp trong giai đoạn thử nghiệm MIT, thu thập dữ liệu người dùng mà không tiết lộ.
Nhìn từ một góc độ khác, một số hoạt động của Nofx có thể bắt nguồn từ những lý do riêng:
• Bảo vệ mục đích ban đầu: Mục đích cơ bản của việc thay đổi thỏa thuận có thể là để bảo vệ lợi ích của những người đóng góp cho cộng đồng, chứ không phải nhắm vào các đối thủ cạnh tranh cụ thể.
• Hạn chế: Là một nhóm nhỏ, chúng tôi có thể đã bỏ qua các quy trình giao tiếp cộng đồng tiêu chuẩn trong giai đoạn phát triển nhanh chóng của dự án.
• Yêu cầu kỹ thuật: Google Analytics chủ yếu được sử dụng để hiểu hành vi người dùng, xác định vấn đề và cải thiện sản phẩm, chứ không phải để thu thập dữ liệu bất hợp pháp.
• Hạn chế về nguồn lực: Trước sự cạnh tranh gay gắt từ các dự án thương mại được đầu tư mạnh, các dự án mã nguồn mở thực sự thiếu các nguồn lực pháp lý và thị trường tương đương.
Tuy nhiên, ngay cả khi đã hiểu rõ bối cảnh này, vấn đề triển khai vẫn còn đó . Đây không còn đơn thuần là việc duy trì tinh thần của mã nguồn mở, mà là tìm ra sự cân bằng giữa việc bảo vệ lợi ích của chính mình và duy trì niềm tin trong hệ sinh thái mã nguồn mở.
Sự xa lánh đối với mã nguồn mở thể hiện ở những khía cạnh sau:
• Công cụ : Mã nguồn mở trở thành một công cụ để thu hút người dùng và sự chú ý, chứ không phải là mục đích tự thân.
• Vũ khí hóa: Các giao thức mã nguồn mở được sử dụng như vũ khí để tấn công đối thủ, thay vì làm cơ sở cho sự hợp tác.
• Cách tiếp cận một chiều: yêu cầu người khác công khai mã nguồn sản phẩm của họ trong khi tự ý thay đổi các quy tắc.
Việc đánh giá này cần thận trọng. Từ bên ngoài, rất khó để hiểu đầy đủ quy trình ra quyết định nội bộ và động cơ thực sự của nhóm Nofx. Thay đổi giấy phép mã nguồn mở là một quyền hợp pháp; vấn đề cốt lõi là:
1. Phương pháp triển khai: Cách thức thực hiện thay đổi, cách thông báo cho người dùng và cách xử lý người dùng hiện có.
2. Tính minh bạch: Quá trình ra quyết định có được công khai và các lý do có được giải thích đầy đủ hay không?
3. Tính nhất quán: Liệu tất cả các tình huống tương tự có được đối xử bình đẳng hay không.
Vụ việc này phơi bày một vấn đề mang tính hệ thống trong hệ sinh thái mã nguồn mở Web3: thiếu các tiêu chuẩn hoàn thiện , chứ không chỉ đơn thuần là hành vi xấu của một bên.
Cả hai bên đều có những yêu cầu hợp lý:
Yêu cầu của Nofx: Công sức của những người đóng góp cho mã nguồn mở không nên bị các dự án thương mại chiếm đoạt mà không có sự đền bù; họ cần được công nhận và tưởng thưởng xứng đáng.
• Quan điểm của COAI: Mã nguồn được sử dụng hợp pháp theo giấy phép MIT không nên bị yêu cầu phải tuân thủ các nghĩa vụ của AGPL một cách hồi tố.
• Tình thế khó xử của ngành: Làm thế nào để cân bằng giữa việc khuyến khích chia sẻ mã nguồn mở và bảo vệ quyền của người sáng tạo
Sự xuyên tạc này làm tổn hại đến nền tảng niềm tin trong toàn bộ hệ sinh thái mã nguồn mở. Khi các nhà phát triển không chắc chắn liệu một dự án của MIT có đột nhiên bị phân loại lại thành AGPL và phải chịu sự truy tố của cơ quan thực thi pháp luật hay không, liệu họ còn dám sử dụng mã nguồn mở nữa không? Khi các tác giả mã nguồn mở thấy đóng góp của mình bị thương mại hóa mà không được bồi thường, liệu họ còn sẵn lòng tiếp tục sử dụng mã nguồn mở nữa không?
Đây là một tình huống tiến thoái lưỡng nan; điều thực sự cần thiết là thiết lập các tiêu chuẩn chung cho toàn ngành.
Câu hỏi 2: Thiếu nhận thức về rủi ro pháp lý trong các nhóm khởi nghiệp
Vụ tranh chấp cổ phần giữa Tinkle và Zack đã phơi bày những vấn đề tuân thủ pháp luật phổ biến trong giới khởi nghiệp tiền điện tử.
Sự hỗn loạn trong phân phối vốn chủ sở hữu:
• Các tài liệu pháp lý chứng minh Zack nắm giữ 50% cổ phần (giấy đăng ký APEIRON LABS)
• Tinkle tin rằng Zack chỉ xứng đáng được hưởng 10-20% cổ phần (dựa trên đóng góp mã nguồn).
• Khoảng cách nhận thức này không nên tồn tại — việc phân bổ vốn chủ sở hữu cần được xác định rõ ràng và ghi chép lại ngay từ đầu.
Hồ sơ quyết định bị thiếu:
• Zack nói rằng anh ta được cấp 50% cổ phần dựa trên cam kết mang lại khoản đầu tư từ Amber. • Tinkle nói rằng Zack đã phóng đại khả năng của mình và cuối cùng không có khoản đầu tư nào được mang lại. • Không có văn bản ghi lại các điều khoản của thỏa thuận vào thời điểm đó: liệu đó có phải là cam kết nỗ lực tối đa hay cổ phần chỉ được cấp sau khi hoàn thành?
Sự hỗn loạn trong quy trình giao tiếp:
• Sau khi Zack gửi thư của luật sư, Tinkle đã không trả lời trong một tháng. • Chỉ sau khi Tinkle công khai buộc tội anh ta tống tiền, Zack mới không còn lựa chọn nào khác ngoài việc phản hồi công khai. • Tại sao họ không thể đàm phán riêng trước, thay vì phát động một cuộc chiến truyền thông trực tiếp?
Lạm dụng các công cụ pháp lý:
• Tinkle cho rằng bức thư của luật sư cấu thành hành vi tống tiền, một tội danh hình sự nghiêm trọng. • Zack cung cấp các tài liệu dàn xếp thương mại tiêu chuẩn để chứng minh đó là một quy trình hợp pháp.
Những vấn đề này cực kỳ phổ biến trong các nhóm khởi nghiệp tiền điện tử:
1. Hành động nhanh chóng tốt hơn là tuân theo các quy trình đã được thiết lập: Văn hóa "làm trước, nói sau" dẫn đến việc nhiều tài liệu pháp lý bị thất lạc.
2. Tư duy chú trọng công nghệ: Các công ty do kỹ sư sáng lập thường bỏ qua các vấn đề pháp lý và tuân thủ quy định.
3. Ảo tưởng về phi tập trung hóa: tin rằng các luật lệ truyền thống có thể bị bỏ qua trong thế giới tiền điện tử.
4. Vấn đề chi phí: Các dự án giai đoạn đầu có thể không đủ khả năng chi trả cho luật sư chuyên nghiệp.
Tuy nhiên, khi dự án phát triển lớn mạnh hoặc nảy sinh tranh chấp, những "thiếu sót" ban đầu này có thể trở thành những mối nguy hiểm tiềm tàng rất lớn.
Cần phải làm gì:
• Nhóm sáng lập nên có một thỏa thuận bằng văn bản giữa các thành viên sáng lập ngay từ ngày đầu tiên.
• Xác định rõ ràng loại đóng góp, tỷ lệ cổ phần và lịch trình phân bổ cổ phần của mỗi người.
• Các quyết định quan trọng cần được ghi lại bằng văn bản (email, văn bản có chữ ký).
• Thường xuyên nhờ luật sư chuyên nghiệp xem xét cấu trúc và việc tuân thủ pháp luật của công ty. • Trong trường hợp tranh chấp, hãy tìm đến biện pháp pháp lý trước, thay vì tham gia vào các cuộc chiến truyền thông.
Câu hỏi 3: Sự thiếu liên kết nghiêm trọng giữa năng lực kỹ thuật và nhận thức về an ninh.
Lỗ hổng bảo mật Nofx đã phơi bày một sự thật phũ phàng: trong ngành công nghiệp tiền điện tử, kỹ năng kỹ thuật không đồng nghĩa với nhận thức về bảo mật.
Biểu hiện của sự không phù hợp về khả năng:
• Nofx có khả năng phát triển các hệ thống giao dịch tự động dựa trên trí tuệ nhân tạo, điều này đòi hỏi chuyên môn kỹ thuật đáng kể. • Tuy nhiên, họ đã mắc phải những lỗi bảo mật cơ bản như "không xác thực" và "khóa mặc định". • Việc có thể viết mã chức năng không đồng nghĩa với việc có thể viết mã an toàn.
Khả năng tài chính không đồng nghĩa với sức mạnh công nghệ:
• COAI huy động được 17 triệu đô la, nhưng vấp phải chỉ trích về khả năng lập trình. • Nofx nhận được nhiều đánh giá tích cực từ cộng đồng, nhưng lại bị ảnh hưởng bởi các lỗ hổng bảo mật. • Trong ngành công nghiệp tiền điện tử, khả năng kể chuyện thường mang lại nhiều vốn hơn là năng lực kỹ thuật.
Sự gạt bỏ vai trò của an ninh:
• Dưới áp lực phải phát triển nhanh chóng, bảo mật được coi là vấn đề "sau khi tiếp xúc". • Tính năng được ưu tiên hơn bảo mật, và tốc độ triển khai được ưu tiên hơn việc kiểm tra mã nguồn. • Mức độ nghiêm trọng của vấn đề chỉ được nhận ra khi xảy ra thiệt hại thực tế.
Quan niệm sai lầm rằng mã nguồn mở không đồng nghĩa với bảo mật:
• Nhiều người tin rằng mã nguồn mở tự nhiên an toàn hơn ("hàng triệu con mắt đang theo dõi")
• Tuy nhiên, trên thực tế, hầu hết người dùng không xem mã nguồn mà chỉ xem số sao đánh giá. • Kiểm tra an ninh đòi hỏi kiến thức chuyên môn và một lượng thời gian đáng kể; chúng không diễn ra tự động.
Rủi ro đặc biệt của giao dịch bằng AI:
• Liên quan đến tiền thật của người dùng, tổn thất không thể khắc phục. • Thực hiện tự động, thời gian tấn công ngắn, thường thì đã quá muộn để phát hiện. • Hoạt động 24/7 làm tăng thêm tác động của các vấn đề bảo mật.
Những bài học rút ra từ vụ Nofx:
1. Bảo mật là yếu tố cốt lõi, không phải là tùy chọn: Các hệ thống liên quan đến tiền của người dùng phải trải qua các cuộc kiểm toán bảo mật chuyên nghiệp.
2. Ưu tiên bảo mật trong cấu hình mặc định: Thà gây bất tiện cho người dùng còn hơn là tạo điều kiện dễ dàng cho kẻ tấn công.
3. Lặp lại nhanh chóng không phải là lý do bào chữa: Một sản phẩm tối thiểu khả thi (MVP) có thể đơn giản về chức năng, nhưng nó không thể an toàn và dễ bị lỗi.
4. Cộng đồng cần một cơ chế phản hồi về an ninh: các vai trò như SlowMist cần được thể chế hóa.
Câu hỏi 4: Văn hóa quảng cáo tràn lan trong ngành công nghiệp tiền điện tử
Vụ việc Nofx-Amber đã phơi bày bức màn che đậy văn hóa chứng thực trong ngành công nghiệp tiền điện tử.
Lạm phát do sự chứng thực:
• Hầu hết mọi dự án đều tự nhận là được "hỗ trợ bởi một tổ chức nhất định".
• Nhưng ý nghĩa của sự "ủng hộ" này rất khác nhau. • Từ một khoản đầu tư chính thức đến một cuộc trò chuyện thông thường, tất cả đều có thể được diễn đạt dưới dạng "được hậu thuẫn bởi".
Sự gia tăng các vùng xám:
• Quan hệ đối tác chiến lược: Có thể chỉ là các giao dịch kinh doanh. • Đối tác hệ sinh thái: Có thể chỉ đơn giản là chia sẻ bài đăng của nhau. • Nhóm cố vấn: Có thể chỉ là các đối tác trên danh nghĩa. • Tổ chức đầu tư: Có thể chỉ đơn giản là đã mua một số token.
Tại sao nền văn hóa này lại có thị trường?
1. Sự bất đối xứng thông tin : Người dùng thông thường khó xác minh tính xác thực của các lời chứng thực.
2. Tâm lý đám đông: "Người này đã đầu tư, vậy chắc chắn nó phải đáng tin cậy."
3. Áp lực cạnh tranh: Nếu không có quảng bá và tài trợ, bạn sẽ thua ngay từ vạch xuất phát.
4. Khoảng trống pháp lý: Tính xác thực của sản phẩm thiếu sự chứng thực từ các cơ quan chức năng.
Vòng luẩn quẩn:
• Các nhóm dự án phóng đại các lời chứng thực để thu hút nhiều sự chú ý và nguồn tài trợ hơn. • Thấy những ví dụ thành công, nhiều dự án khác cũng làm theo. • Các tổ chức đầu tư, vì lợi ích ảnh hưởng, ngầm chấp nhận các mối quan hệ mập mờ. • Khi một dự án gặp khó khăn, các tổ chức rất muốn tránh xa. • Người dùng và ngành công nghiệp chịu tổn thất.
Cách phá vỡ vòng luẩn quẩn:
1. Các tổ chức đầu tư: Lập danh mục đầu tư chính thức, ghi rõ số tiền đầu tư và ngày đầu tư.
2. Bên tham gia dự án: Chỉ thúc đẩy các mối quan hệ chính thức, có thể kiểm chứng và cung cấp tài liệu chứng minh.
3. Truyền thông và người có ảnh hưởng (KOL): Xác minh tính xác thực của các thông tin chứng thực trước khi đưa tin.
4. Người dùng: Hãy học cách xác minh thông tin và tránh tin tưởng một cách mù quáng vào những lời chứng thực.
5. Quy định: Hình phạt đối với việc xác nhận sai sự thật (đã được áp dụng ở một số khu vực pháp lý).
Câu hỏi 5: Sự thiếu vắng hoàn toàn các cơ chế quản trị cộng đồng
Vấn đề sâu xa nhất xuất phát từ cuộc khủng hoảng kép của Nofx là sự thiếu hụt các cơ chế quản trị hiệu quả trong cộng đồng mã nguồn mở.
Không có cơ chế trọng tài nào để giải quyết các tranh chấp phát sinh từ thỏa thuận này.
Tranh chấp giữa Nofx và COAI được đặc trưng bởi những lời khai mâu thuẫn từ cả hai phía. Không có bên thứ ba nào được công nhận rộng rãi để xác định ai đúng ai sai. Cách duy nhất là dựa vào dư luận và pháp luật; nhưng cách thứ nhất thì không công bằng, còn cách thứ hai thì tốn kém.
Thiếu các quy trình tiêu chuẩn cho các vấn đề an ninh:
• Phản hồi kịp thời của SlowMist là ngoại lệ, không phải là quy luật. • Hầu hết các dự án mã nguồn mở đều thiếu đội ngũ phản hồi về bảo mật. • Việc công bố lỗ hổng, thông báo cho người dùng và khắc phục sự cố khẩn cấp đều thiếu các tiêu chuẩn.
Không có nơi nào để kháng cáo trong các tranh chấp về quyền lợi công bằng:
• Mâu thuẫn giữa Tinkle và Zack chỉ có thể được giải quyết thông qua các biện pháp pháp lý hoặc dư luận. • Cộng đồng mã nguồn mở thiếu cơ chế giải quyết tranh chấp. • Mô hình quản trị DAO đã được đề xuất từ lâu, nhưng việc thực hiện trên thực tế rất hiếm.
Thiếu động lực khuyến khích sự tham gia của cộng đồng:
Kiểm tra an ninh và rà soát mã nguồn đòi hỏi một lượng thời gian đáng kể.
• Nhưng những người đóng góp cho mã nguồn mở thường là tình nguyện viên. • Các công ty thương mại có các nhóm chuyên trách, trong khi các dự án mã nguồn mở được thúc đẩy bởi niềm đam mê.
Các nỗ lực dựa trên các thông lệ quản trị hiện có:
1. OpenSSF (Open Source Security Foundation): Thúc đẩy các thực tiễn tốt nhất trong lĩnh vực bảo mật mã nguồn mở.
2. CVE ( Các lỗ hổng và điểm yếu thường gặp): Hệ thống nhận dạng và theo dõi lỗ hổng.
3. Chương trình Thưởng Tìm Lỗi Bảo Mật : Khuyến khích các nhà nghiên cứu bảo mật bằng tiền thưởng
4. Quy tắc ứng xử : Quy tắc ứng xử cộng đồng
5. Mô hình nền tảng : Thiết lập một nền tảng để quản lý các dự án (ví dụ: Quỹ Linux)
Tuy nhiên, việc ứng dụng các cơ chế này trong lĩnh vực mã hóa nguồn mở vẫn còn rất hạn chế.
Một cơ chế quản trị lý tưởng cho mã nguồn mở, các phương pháp tiếp cận cân bằng và các nhóm người dùng nên bao gồm:
1. Tiêu chuẩn kiểm toán an ninh: Xác định rõ ràng những loại dự án nào phải vượt qua cuộc kiểm toán trước khi được đề xuất.
2. Tổ chức trọng tài giải quyết tranh chấp: Một bên thứ ba trung lập để xử lý các thỏa thuận và tranh chấp về vốn chủ sở hữu.
3. Quy trình công bố trách nhiệm: Cách thông báo, cách khắc phục và cách đưa ra thông báo sau khi phát hiện lỗ hổng.
4. Các biện pháp khuyến khích sự tham gia của cộng đồng: Thưởng cho những người đóng góp thông qua token, NFT hoặc các phương tiện khác.
5. Yêu cầu về tính minh bạch: Bắt buộc công khai các thông tin quan trọng như nguồn tài chính, sự bảo trợ và cơ cấu vốn chủ sở hữu.
Nguồn gốc của các vấn đề mang tính hệ thống: sự đánh đổi giữa tốc độ và chất lượng.
Nguồn gốc chung của năm vấn đề này là việc ngành công nghiệp tiền điện tử theo đuổi tốc độ một cách cực đoan:
• Phát triển nhanh chóng: Nắm bắt các chủ đề đang thịnh hành, cải tiến nhanh chóng và giành lợi thế người tiên phong. • Huy động vốn nhanh chóng: Gọi vốn với mức định giá cao khi thị trường đang sôi động, bỏ qua các chi tiết tuân thủ. • Tăng trưởng nhanh chóng: Cuộc đua đo lường các chỉ số như số lượng người dùng, số sao và quy mô cộng đồng. • Kiếm tiền nhanh chóng: Phát hành token, niêm yết trên sàn giao dịch và thu tiền.
Trong nền văn hóa này:
• An ninh là một gánh nặng, làm chậm mọi việc. • Luật pháp là một khoản chi phí, hãy cắt giảm chi phí bất cứ khi nào có thể. • Quản trị là một trở ngại, cản trở việc ra quyết định. • Tư duy dài hạn là một trò đùa; thị trường tăng giá không chờ đợi ai.
Nhưng khi tốc độ được ưu tiên hàng đầu, chất lượng sẽ bị ảnh hưởng. Nofx đã nhận được 9.000 lượt đánh giá sao trong hai tháng, nhưng cũng đánh mất đáng kể uy tín trong cùng khoảng thời gian đó.
Từ sự phát triển nhanh chóng đến cuộc khủng hoảng kép, câu chuyện của Nofx là một bức tranh thu nhỏ của phong trào mã nguồn mở Web3. Nó chứng minh cả sức mạnh của sự hợp tác mã nguồn mở và phơi bày những thách thức khác nhau mà mô hình này phải đối mặt trong thực tế.
Vụ bê bối hack nhắc nhở chúng ta rằng phân quyền không đồng nghĩa với an ninh; vụ bê bối xung đột nội bộ cho thấy những bất đồng giữa những người theo chủ nghĩa lý tưởng có thể gây ra hậu quả tàn phá hơn cả các cuộc tấn công từ bên ngoài; và vụ bê bối mã nguồn mở đưa ra một câu hỏi đã tồn tại từ lâu: làm thế nào để bảo vệ quyền lợi của những người đóng góp mã nguồn mở trong thế giới Web3 đầy rẫy hoạt động thương mại?
Điều đáng quan tâm đặc biệt là cần làm rõ hơn về việc xác định thời hạn trong các tranh chấp về giấy phép mã nguồn mở. Điều này không chỉ liên quan đến giá trị của từng trường hợp cụ thể mà còn liên quan đến việc tiêu chuẩn hóa toàn bộ hệ sinh thái mã nguồn mở Web3. Trong tương lai, có thể cần một cơ chế đáng tin cậy hơn để ghi nhận các thay đổi về giấy phép và một hệ thống trọng tài bên thứ ba có thẩm quyền hơn.
Bài viết này dựa trên thông tin công khai và không thể hiện sự ủng hộ hay phản đối bất kỳ bên nào. Tất cả các chi tiết kỹ thuật, mốc thời gian và tài liệu pháp lý được đề cập trong bài viết này đều có thể được xác minh thông qua các kênh công khai như GitHub và Twitter.
Liên kết gốc