오픈소스의 아킬레스건: Nofx, 두 달 만에 9천 개 스타와 해킹게이트·내분게이트·오픈소스게이트까지

저는 이 이야기를 관찰해 온 분석자입니다. Nofx가 주목받기 시작하던 시기에 저는 nof1의 "Alpha Arena" 트렌드에서 영감을 받아 독립 오픈소스 프로젝트인 nof0를 만들었고, 핵심 기여자인 Tinkle과 Zack과 기술적인 의견을 주고받았습니다. 이런 관점은 이 사건을 더 깊이 이해하는 데 유용합니다. 이는 단지 한 깃허브(GitHub) 저장소가 급부상한 사례가 아니라, 크립토와 AI 프로젝트가 얼마나 빠르게 성장할 수 있으며 동시에 보안과 거버넌스, 라이선스에서 얼마나 쉽게 걸려 넘어질 수 있는지를 보여주는 생생한 사례입니다.

2025년 12월 22일 기준, Nofx의 저장소는 약 9,200개의 스타를 기록하고 있으며, 이는 10월 말 이후 불과 두 달 만에 이루어진 성장입니다 (보안 관련 보고서에서 인용된 초기 커밋 일부는 2025년 10월 31일로 되어 있습니다). 현재 수치는 아래의 저장소에서 확인할 수 있습니다.
GitHub: NoFxAiOS/nofx

Nofx는 다중 거래소에서 작동하는 크립토 자동화 트레이딩을 위한 "에이전트 기반 트레이딩 운영체제"를 표방하고 있으며, AI 모델을 플러그인 형태로 연결해 대시보드에서 통합 관리가 가능합니다. 이는 Hyperliquid 등에서 급격히 확산된 "AI 트레이딩 아레나" 실험과 맥락을 같이합니다. 이 트렌드의 배경을 더 알고 싶다면, Hyperliquid의 아키텍처와 주요 이정표를 참고해 보세요.
IQ.wiki: Hyperliquid milestones

이번 글에서는 Nofx를 둘러싼 세 가지 주요 논란인 해킹게이트(Hackgate, 보안), 내분게이트(Infighting-gate, 커뮤니티와 프로세스), **오픈소스게이트(Open-source-gate, 라이선스와 저작권)**를 기술 중심으로 분석해보겠습니다. 이 과정에서 크립토 개발자와 자가 호스팅 서비스를 운영하는 분들에게 유용한 인사이트를 함께 전합니다.

---

해킹게이트: 기본 관리자 모드, 현실화된 보안 위협이 되다

2025년 11월 17일, 보안 전문 업체 SlowMist는 10월 31일 커밋 중 하나가 "기본 관리자 모드"를 도입했으며, 이로 인해 특정 설정에서 보호된 API 라우트를 우회할 수 있다는 분석을 공개했습니다. 이후 코드가 수정되었음에도 불구하고, JWT 시크릿이 하드코딩되어 있거나 민감한 API 응답이 그대로 노출되는 등, 중앙거래소(CEX)의 API 키와 탈중앙거래소(DEX)의 프라이빗 키가 노출될 가능성이 여전히 존재했습니다. SlowMist는 주요 거래소와 협력해 피해 확산을 사전 차단한 것으로 알려졌습니다. 자세한 분석은 아래에서 확인할 수 있습니다.
SlowMist 분석 리포트 (2025년 11월 17일)

이 사건은 오픈소스 기반의 크립토 도구가 얼마나 빠르게 취약해질 수 있는지를 보여주는 대표적인 사례입니다. 특히 OWASP API 보안 리스트 중 "Broken Function Level Authorization" 및 "Security Misconfiguration"에 정확히 부합하는 문제였습니다. 여러분이 크립토 트레이딩 프레임워크를 운영 중이라면, 배포 전 **OWASP API 보안 체크리스트(2023)**를 꼭 점검하세요.
OWASP API 보안 Top 10 (2023)

거래소 API 보안을 위한 실질적인 행동 수칙 (Nofx 사용 유무와 무관)

• API 키 정기 교체, 시크릿은 절대 코드에 저장하지 말 것, 가능하면 비대칭 키 사용
  • Binance.US API 키 보안 수칙
  • Binance 개발자 가이드: 키 종류 비교
• IP 허용 목록 필수, 읽기용과 거래용 API 키를 구분해 사용 범위 최소화
  • Binance Academy 보안 가이드
• Broker/OAuth 스타일 "빠른 API 구성" 활용 — 기본적으로 거래소 측에서 IP 화이트리스트가 적용되도록 설정
  • OKX Fast API 설명
• 배포 전 반드시 보안 항목 점검: 권한관리, 시크릿 자동화, 응답 최소화 등
  • OWASP API 보안 입문 가이드

특히 Hyperliquid나 기타 온체인 파생시장과 연계된 스택이라면, 마켓 구조의 리스크, 운영 가드레일, 오라클 동작 등을 유념해야 합니다. 아래 참고 자료에서 더 자세한 내용을 확인하세요.
IQ.wiki: Hyperliquid milestones

---

내분게이트: 커뮤니티는 커졌지만 거버넌스는 없었다

프로젝트가 급성장하면 기여자 간 공로 배분, 계획 수립, 커뮤니케이션에서 불협화음이 쉽게 터집니다. Nofx의 경우에도 누가 로드맵을 주도하는지, 그리고 빠른 릴리스가 하위 포크와 통합자에게 어떻게 공유되는지가 이슈화됐습니다. 커뮤니티 스레드와 기여자의 공지글을 통해 이러한 갈등의 흔적을 확인할 수 있습니다.

그리고 여기서 중요한 교훈은 ‘누가 옳냐’가 아니라, 사람 중심이 아닌 시스템 중심의 운영 프로세스를 어떻게 구축하느냐입니다.

• 기여 모델을 명확히 정하자 — 유지관리자와 리뷰어 역할 구분, 모든 결정은 이슈/PR로 기록
• 보안 수정은 최우선 — 공식 릴리스가 없어도 보안 공지·업데이트 로그는 반드시 남길 것
• 기관 사용자 대상이면 보안정책과 변경이력도 제품의 일부로 간주해야

Nofx 저장소와 이슈 트래커를 보면 흔히 보는 오픈소스 크립토 도구의 급성장 패턴과 유사합니다. 스케일업 과정의 거버넌스 구축 사례로 삼을 수 있습니다.
GitHub: NoFxAiOS/nofx

---

오픈소스게이트: AGPL, 저작권, 그리고 ChainOpera 논란

2025년 12월 중순, 여러 미디어는 Nofx의 핵심 기여자인 Tinkle이 ChainOpera AI 재단이 UI만 약간 수정한 Nofx 초기 버전을 그대로 테스트넷에 배포하고, 브랜드도 유지한 채 적절한 출처 표기를 하지 않았다고 비판했다는 내용을 전했습니다. 이에 Nofx 측은 해당 프로젝트가 AGPL 라이선스 하에 배포된 것이며, 코드에 대한 주도권을 포기한 적이 없다고 반박하며, 네트워크 상에서 서비스 형태로 사용되면 코드 공개 의무가 발생한다는 점을 강조했습니다. 관련 기사 링크는 아래와 같습니다.

• Odaily 보도
• ChainCatcher 기사
• PANews 간략 정리

AGPL의 핵심 요점 정리

• AGPL 소프트웨어를 수정한 뒤 서비스형태(예: SaaS)로 공개한 경우, 소스코드 전체와 저작자 정보를 사용자에게 명시적으로 제공해야 합니다.
• 공식 라이선스 전문 및 배경은 다음을 참조하세요.
  FSF: GNU AGPLv3 · FSF의 AGPL 발표문

크립토 프로젝트에 AGPL이 의미하는 바

• 포크한 코드를 수정해 서비스에 적용했으면, 변경된 소스코드와 명확한 저자 정보 공개 필요
• 상용 확장을 비공개로 유지하고 싶다면, AGPL 예외를 협상하거나 비의존형 구조로 리팩토링 필요 (법률 자문 권장)
• 보안 및 안정성 개선이 포함된 경우는 상위 프로젝트에 병합 요청도 고려 가능

Web3 진영에서 AGPL의 상호조건을 존중하는 것은 단순한 법적 의무를 넘어서, 레퓨테이션 관리와 생태계 신뢰를 위한 필수 조건입니다.

---

왜 이렇게 빠르게 터졌을까: AI x 크립토의 완벽한 시장 적합성

Nofx는 자가 호스팅 AI 에이전트, 거래소 연결성, 최신 파생시장 UI가 교차하는 지점에 있습니다. "에이전트 기반 트레이딩 운영체제"라는 개념은 데이터 → 추론 → 실행 → 모니터링의 완전한 루프를 통제하고 싶어 하는 개발자들에게 매우 잘 맞았습니다. README에는 이 약속과 설계 방향이 잘 담겨 있습니다.
Nofx README

"Alpha Arena" 실험에서 탄생한 이러한 트렌드는 수많은 오픈 포크와 유사 구현을 낳았고, 그 중 일부는 제 프로젝트인 nof0에서도 활용되었습니다. 중립적인 구조 설명은 여기서 확인하세요.
Datawallet: Alpha Arena 개요

---

자가 호스팅 트레이딩 시스템을 위한 보안 체크리스트

• 시크릿 및 키 관리

  • 기본 시크릿 없이 배포; 최초 실행 시 무작위 JWT/키 생성 필수
  • CEX 자격증명은 시크릿 매니저에 보관, API 응답엔 민감정보 마스킹
  • 출금 권한 분리, 서브 계정 이용
    • Binance.US API 보안 수칙

• 권한 관리 및 네트워크 정책

  • 관리자와 운영자 권한 분리
  • "시크릿 내보내기" 엔드포인트는 2차 인증 필요
  • IP 제한 필수, 관리자/API는 내부망이나 제로트러스트 환경에서만 노출
    • OWASP API Top 10 (2023)

• 운영 리스크

  • 계정별 리스크 한도, 거래소 연결 이상 시 세이프 모드/킬스위치 구현
  • 모든 의사결정에 고유 ID 부여 후 로그 기록

• 라이선스 및 저작권 명시

  • AGPL 포크를 서비스 중이면 소스코드 공개 및 UI/문서상 명확한 출처 표시
    • FSF: AGPLv3 라이선스

---

OneKey와 온체인 자산 보안에 대하여

오픈소스 트레이딩 프레임워크는 CEX API 키와 온체인 프라이빗 키, 두 보안 영역을 다룹니다. 이 둘은 반드시 논리적·물리적으로 분리해야 합니다. 온체인 프라이빗 키는 오픈소스 펌웨어 기반의 하드웨어 월렛, 예를 들어 OneKey를 사용하면 서버에 생키(raw keys)를 보관하지 않는 구조가 가능합니다. PSBT나 에어갭 서명 방식과 매우 잘 호환됩니다. CEX API 키는 서브 계정, 출금 제한, IP 제한 등을 통해 통제하며 서버에서 평문으로 저장하지 마세요.

---

마무리하며

• 해킹게이트는 보안 설정 없이 급성장하면 실제 손실을 야기할 수 있음을 보여줬습니다.

  • SlowMist 분석

• 내분게이트는 가벼운 문서화 및 의사결정 구조가 기술만큼 중요하다는 점을 시사합니다.

• 오픈소스게이트는 2025년의 AI x 크립토 붐 속에서 AGPL의 상호주의가 선택이 아니란 것을 보여줍니다.

  • Odaily 보도 · ChainCatcher · PANews

Nofx를 도입하거나 포크하려는 분들은 보안 공지와 거래소 키 관리를 철저하게 확인하고, 저작권과 라이선스 명시는 제품 구성의 일부로 간주하세요. nof0처럼 자신만의 아레나나 OS를 개발한다면, 첫날부터 보안 중심 템플릿과 정책을 함께 제공하는 것이 필수입니다.

참고 자료

• Nofx 저장소 및 문서: GitHub: NoFxAiOS/nofx
• SlowMist 보안 보고서: Nofx 취약점 기술 분석
• AGPL 라이선스 안내: FSF: GNU AGPLv3
• OWASP API 보안 2023: Top 10 위험 요소
• Hyperliquid 배경 정보: IQ.wiki: Hyperliquid milestones

공개사항: 저는 Nofx의 인기를 계기로 nof0 프로젝트를 제작한 제3자이며, 핵심 기여자인 Tinkle 및 Zack과 오픈소스 협업에 대해 논의한 바 있습니다.