【天明对话】Nofx之殇：AI Trading、web3创业、开源、股权

今天我们要聊的这个案例，简直是 Web3 历史上的一个“标本级”大戏。如果说 Web3 的一天等于人间一年，那 Nofx 项目在 2025 年最后两个月的遭遇，足以写进任何一家商学院的败局教材，或者编入硅谷黑客的“反面反思录”。

这不仅仅是一个项目从爆红到崩盘的过程，它更像是一次** Web3 行业的全身体检**。体检结果不太乐观：我们的安全意识在裸奔，我们的合同精神在缩水，我们的背书文化在通胀。

为了看清这颗洋葱的每一层，今天我请到了我的老搭档、深耕开源技术架构多年的“老 K”。我们将用这一整期节目，彻底拆解 Nofx 事件的始末。

第一章：序幕——AI 交易与“虚荣指标”的狂欢

[云天明]：老 K，咱们先给听众科普一下背景。2025 年 10 月底，Nofx 在 GitHub 上爆红。那个时候，大家都在聊 AI Trading（人工智能自动交易）。简单来说，这就是用 AI 算法替代肉眼看盘，全天候、高频地在交易所买卖。

[老 K]：对。当时的背景是 AI Agent（人工智能智能体）和 Web3 的深度融合。大家都想找一种能“自动躺赚”的工具。Nofx 的前身叫 Nof1，后来演化出 nof0、nofx 等多个分支。

[云天明]：Nofx 最神奇的地方在于，它在短短 2 个月内拿到了 9000 个 GitHub Star。老 K，给不懂技术的朋友解释下，9000 个 Star 是什么概念？

[老 K]：你可以把它理解为 GitHub 上的“点赞”或者“收藏”。通常一个不错的开源工具，一年能拿 1000 个星就很了不起了。9000 个星意味着它在开发者圈子里是顶流中的顶流。

[云天明]：但这就是我常说的**“虚荣指标”**。星多不代表代码稳，甚至不代表代码是原创的。Nofx 就像是一个突然被推上神坛的偶像，还没来得及穿好衣服，台下已经围满了疯狂的粉丝。

第二章：黑客门——“金库大门上的便利贴”

[云天明]：爆红之后的第一个雷，是安全漏洞。2025 年 11 月，著名的安全机构 SlowMist（慢雾科技） 发了一份报告，直接给 Nofx 定了死刑。

[老 K]：这个漏洞低级到什么程度？简直是程序员的耻辱。在 10 月 31 号的一个 Commit（代码提交记录）里，他们把 admin_mode 默认设成了 true。

[云天明]：咱们说人话：这相当于你家装修，装修工在门上装了个指纹锁，但默认设置是“任何人按任何手指都能开门”。更离谱的是，这个接口会把用户的 API Key 和 私钥 明文返回。

[术语百科]

API Key（应用程序编程接口密钥）：你可以把它想象成交易所给你的“远程操控权”。有了它，别人不用登录你的账号，就能在你的账户里买卖资产。

Private Key（私钥）：这是加密货币世界的最高权限。谁掌握了私钥，谁就拥有了钱包里的所有钱。私钥一旦泄露，资产永远无法找回。

Middleware（中间件）：就像是家里的玄关，所有进屋的人都要经过它。Nofx 的玄关漏风，根本没查身份证。

[云天明]：老 K，最骚的操作还在后面。他们后来发现了问题，在 11 月 5 号加了一个 JWT（JSON Web Token） 认证。听起来高端了对吧？

[老 K]：结果他们把加密用的“密钥”直接写死在代码里了。就像是你给大门加了一把顶级防盗锁，但你把备用钥匙用透明胶带贴在门框上，还写了个箭号指着它。

[云天明]：慢雾科技全网一扫描，发现有 1000 多个倒霉蛋已经部署了这个程序。这意味着 1000 多个人的交易所资产，对于黑客来说就是“自助餐”。

第三章：开源门——“跨时空的法律碰瓷”

[云天明]：安全问题还没解决，Nofx 又跟另一家公司 ChainOpera (COAI) 掐起来了。这就是著名的“开源门”。

[老 K]：这场争端的内核是开源协议（License）。

[云天明]：这儿得详细解释下。开源不是“法外之地”，它有两种典型的玩法：

MIT 协议：极其大方。你想怎么用就怎么用，改了卖钱也行，不开源也行。只要你别把原作者的名字删了。

AGPL 协议：极其霸道（也有人说是极其理想主义）。它的核心叫“传染性”。如果你用了我的 AGPL 代码，你的整个项目也必须开源，必须也用 AGPL。

[云天明]：Nofx 指控 COAI 抄袭了他们的代码去搞商业产品，还没开源。COAI 的反击非常精彩。他们说：“哥们儿，我 Fork（克隆）你代码的时候，你还是 MIT 协议，我是合法的。结果你第二天改成 AGPL，然后回过头来告我？”

[老 K]：这里涉及到一个关键时间点：11 月 3 号和 11 月 4 号。

[云天明]：这就是我想说的“法律碰瓷”。在 Web3 这种快速迭代的圈子里，协议变更如果没有清晰的通知机制，那就是在钓鱼。而且 Nofx 自己在 MIT 阶段就偷偷埋了 Google Analytics（谷歌统计），在用户不知情的情况下收集数据。这在开源社区是大忌。

[云天明时刻]： 这里的商业模式冲突很明显。Nofx 是个“穷小子”开源项目，商业化路径模糊；COAI 是融了 1700 万美金的“富二代”。穷小子觉得富二代白嫖了自己的劳动成果，于是把原本赠送的“免费午餐”临时改成了“天价菜单”。开源精神在利益面前，有时候只是博弈的筹码。

第四章：内斗门——“14 天与 50 万美金的豪赌”

[云天明]：如果说对外撕逼是“外患”，那 Nofx 的创始人内斗就是“自焚”。主要角色是 CEO Tinkle 和联合创始人 Zack。

[老 K]：Tinkle 的说法是：Zack 就来了 14 天，写了几行代码，屁事没干，居然要 50% 股份和 50 万美金回购费？这不是敲诈是什么？

[云天明]：但 Zack 反手甩出了一份新加坡公司（APEIRON LABS）的注册文件。上面黑纸白字写着：两人各持股 50%。

[老 K]：这就牵扯到 Web3 创业的一个潜规则：“资源入股” vs “技术入股”。

[云天明]：Zack 的筹码不是代码，是他的“背景”。他声称能引入顶级机构 Amber Group 的投资。对于一个初创项目，一个顶级背书比一万行代码都值钱。

[老 K]：但关键是，这个背书兑现了吗？

[云天明]：没有。这就是最狗血的地方。Zack 发了一封 Demand Letter（要求函）。

[术语百科]

Without Prejudice（无损权益）：这是法律文书里常见的一个词。意思是在和解谈判中说的话，不能作为日后法庭上的证据。它是为了鼓励大家私下解决问题。

Vesting（股份兑现）：正常的创业公司，股份是分几年给的。干满一年给一点。Nofx 显然没做这个，上来就给 50%，结果人走了，股份收不回来。

[云天明]：Zack 觉得我值 50 万，因为公司值 100 万；Tinkle 觉得你值 0，因为你只干了 14 天。这种“认知鸿沟”，本质上是因为** Web3 团队缺乏基本的治理意识**。

第五章：背书门——“被透支的社交资本”
[云天明]：最后咱们聊聊那句消失的简介：Backed by @amber_ac_。

[老 K]：Amber Group 后来发声明了，语气很冷淡：没正式合作，只是“友好交流”。

[云天明]：这太讽刺了。在 Web3 圈，“友好交流”被翻译成“战略投资”，“吃个午饭”被翻译成“深度孵化”。 这是一种普遍的背书通胀。

[老 K]：Amber 为什么不早点澄清？非要等到项目出事了才切割？

[云天明]：这就是投资机构的“期权思维”。如果你火了，我就顺水推舟认了这门亲事；如果你砸了，我立马掏出声明说咱们只是路人。这种**“事前模糊、事后切割”**的做法，让多少韭菜被那句 Backed by 骗进了坑？

第六章：反思——Web3 开源运动的系统性崩溃

[云天明]：复盘完这 60 天，我感受到一种深深的荒诞。

安全已死：在追求“上线速度”的压力下，程序员连最基本的认证逻辑都敢省。

法律缺失：股权分配靠“画饼”，出了事靠推特喊冤，而不是靠合约和律师。

信任崩塌：开源协议成了进攻的武器，投资机构成了临时演员。

[老 K]：那你觉得未来的开源项目该怎么办？

[云天明]：我们需要建立一套**“Web3 开源治理规范”**。比如：

链上协议存证：你改协议的时间点必须写在链上，不能事后篡改。

强制安全审计：涉及用户资金的项目，如果没有专业机构的审计报告，就不允许进入主流视野。

去中心化仲裁：像 Kleros 这种争议解决机制，应该引入到开源社区中。

云天明时刻 (The Yun Moment)

听众朋友们，Nofx 的故事告诉我们一个残酷的真相：在 Web3，速度往往是掩盖腐败的最好手段。

当你看到一个项目在 GitHub 上星星闪烁、推特上大咖云集、代码里号称 AI 驱动时，请先别急着充钱。去看看它的代码有没有锁门，去问问它的创始人是不是已经开始在律师函里互问祖宗了。

开源不是免死金牌，也不是白嫖的乐园。如果代码是法律（Code is Law），那目前的 Web3 法律，可能还停留在中世纪的丛林时代。

[结语]

Nofx 的 9000 个 Star 最终会消失在互联网的尘埃里，但它留下的这三个“门”——黑客门、开源门、内斗门，将永远提醒后来者：没有治理的去中心化，只是混乱的代名词。

感谢收听今天的《天明解构》。如果你对 Nofx 内部那份神秘的 Demand Letter 里的“利益输送”细节感兴趣，或者想看我们深度扒一扒 COAI 那 1700 万美金是怎么融到的，请在评论区留言。

内容来源：

https://x.com/wquguru/status/2002895764746645985

https://x.com/dajingou1/status/2002997550597783796

https://x.com/Web3Tinkle/status/2002623174018830652

https://x.com/Web3Tinkle/status/2002583066154557699

https://x.com/0x_ZackH/status/2002749504576237842

https://x.com/Web3Tinkle/status/2001256530591859120