O Calcanhar de Aquiles do Código Aberto: 9.000 estrelas em 2 meses com o Nofx — e seus escândalos Hackgate, Infighting‑gate e Open‑source‑gate

Sou um observador e analista dessa trajetória. Durante a ascensão meteórica do Nofx, desenvolvi um projeto open-source paralelo chamado nof0, inspirado pela tendência “Alpha Arena” do nof1, e troquei insights técnicos com dois dos principais colaboradores do Nofx, Tinkle e Zack. Essa experiência me dá uma perspectiva privilegiada — afinal, esta não é apenas a história de um repositório que bombou no GitHub, mas um estudo de caso sobre como projetos na interseção entre cripto e IA podem escalar da noite para o dia — e tropeçar em segurança, governança e licenciamento na mesma velocidade.

Em 22 de dezembro de 2025, o repositório Nofx já contava com cerca de 9,2 mil estrelas — crescimento conquistado em apenas dois meses desde o final de outubro (um dos primeiros commits citados em análises de segurança data de 31 de outubro de 2025). Veja os números atualizados no repositório.
GitHub: NoFxAiOS/nofx
O Nofx se apresenta como um "Sistema Operacional de Trading Agente", voltado para operações multi‑exchange no universo cripto, com modelos de IA plugáveis e um painel de controle. Esse posicionamento se alinha à onda de experimentos com “arenas de trading com IA” que explodiram no ecossistema do Hyperliquid e similares. Para entender melhor essa tendência, vale conferir o histórico e arquitetura do Hyperliquid, base para muitas dessas iniciativas.
IQ.wiki: Hyperliquid milestones

A seguir, faço uma análise objetiva e voltada para praticantes dos três pontos críticos deste caso: Hackgate (segurança), Infighting‑gate (comunidade/processo) e Open-source‑gate (licenciamento e atribuição). Ao longo do caminho, extraio os aprendizados mais relevantes para builders cripto e operadores self‑hosted.

Hackgate: quando um modo admin padrão virou risco real de vazamento de credenciais

Em 17 de novembro de 2025, a SlowMist publicou uma análise técnica demonstrando que um commit de 31 de outubro introduziu um "modo admin padrão", que permitia a usuários contornar rotas protegidas da API em certas implantações. Mesmo após alterações posteriores, a SlowMist alertou que segredos JWT hard‑coded e respostas sensíveis da API ainda poderiam expor chaves de APIs de exchanges centralizadas (CEX) e até chaves privadas de DEXs, caso o operador usasse ​​as configurações padrão. Relatos indicam que houve notificação coordenada com grandes exchanges para mitigar os riscos. Veja os detalhes do código afetado e dos commits na análise completa da SlowMist.
SlowMist analysis (17 nov 2025)

Este é um caso de livro-texto das falhas de segurança da OWASP em APIs — como quebras de autorização de função e má configuração de segurança — atingindo uma ferramenta open-source de cripto em rápida evolução. Se você opera alguma stack de trading self‑hosted, use o checklist da OWASP 2023 como passo essencial antes da implantação.
OWASP API Security Top 10: 2023

Boas práticas para proteger APIs de exchanges (use Nofx ou não):

• Faça rotação frequente de chaves; nunca armazene segredos no código; e prefira chaves assimétricas, se possível.
  Binance.US: boas práticas com chaves de API
  Tipos de chave na Binance
• Use listas de IPs autorizados em todas as chaves; separe chaves por função (somente leitura vs trading) para limitar impacto de comprometimento.
  Guia de segurança da conta Binance Academy
• Sempre que possível, prefira fluxos “Fast API” com estilo broker/OAuth, que já vêm com IPs whitelisted na própria exchange por padrão.
  OKX: visão geral do Fast API
• Audite sua implantação à luz do guia OWASP 2023 — autorização, gestão de segredos e APIs “menos sensíveis por padrão” são requisitos básicos.
  OWASP API Security: introdução

Se sua stack interage com o Hyperliquid ou outros mercados perpétuos on‑chain, leve em conta também riscos de estrutura de mercado, salvaguardas operacionais e comportamento do oráculo em eventos extremos.
IQ.wiki: Histórico do Hyperliquid

Infighting‑gate: crescimento da comunidade sem estrutura de governança

À medida que um projeto cresce rapidamente, também crescem as tensões sobre crédito, direção e processo. No caso do Nofx, surgiram atritos visíveis sobre quem deveria tomar decisões de roadmap e como mudanças rápidas deveriam ser comunicadas a forks e integradores. Esses momentos de atrito apareceram tanto em issues públicas quanto em postagens de colaboradores nas redes sociais.

A lição aqui não é descobrir “quem estava certo”, mas sim como evitar gargalos baseados em ego e informalidade:

• Defina cedo um modelo de contribuição (ex: maintainers vs revisores), registrando decisões em issues/PRs e não só em bate-papos.
• Trate correções de segurança como prioridade máxima; publique alertas e instruções de migração mesmo sem versões formais.
• Se busca adoção de fundos ou corretoras, seu changelog e políticas de segurança são parte do produto.

O repositório público e o volume de issues do Nofx são típicos de ferramentas cripto que viralizam no open source. Um bom estudo vivo sobre como escalar governança.
GitHub: NoFxAiOS/nofx

Open‑source‑gate: AGPL, atribuição e o caso ChainOpera

Em dezembro de 2025, foi noticiado que Tinkle, colaborador do Nofx, acusou a ChainOpera AI Foundation de ter utilizado uma versão anterior do código do projeto sem atribuição adequada — com poucas alterações da interface, marca mantida e ausência de transparência no testnet da fundação. O time do Nofx reforçou que o projeto está licenciado sob AGPL e que “não renunciou ao controle do código”, salientando o princípio de reciprocidade ao executar código AGPL como serviço de rede.
Cobertura deste caso: Odaily, ChainCatcher, PANews

O que a AGPL exige, em termos simples:

• Se você modifica um software AGPL e o disponibiliza por uma rede, deve oferecer o código correspondente aos usuários e manter a atribuição original.
  FSF: GNU AGPLv3
  Anúncio da AGPL pela FSF

Para times cripto, isso significa:

• Se você opera uma versão adaptada do Nofx, publique seu código e atribua a base corretamente.
• Se precisa manter partes proprietárias, busque uma licença comercial ou isole bem os trechos fechados para não virarem obras derivadas (consulte advogado).
• Documente suas alterações — isso ajuda o upstream a reintegrar melhorias de segurança e confiabilidade.

Independentemente do desfecho da disputa, respeitar a reciprocidade da AGPL é uma obrigação jurídica e de reputação no ecossistema Web3.

Por que isso explodiu tão rápido: product‑market fit na fronteira entre IA e cripto

O Nofx ocupa uma interseção potente: agentes de IA self‑hosted, conexão com exchanges e mercados perpétuos descentralizados. O crescimento de estrelas no GitHub mostra como a proposta de um “sistema operacional de trading com agentes” ressoou entre desenvolvedores que querem controlar todo o ciclo: dados → raciocínio → execução → monitoramento. Essa promessa está condensada no README.
Nofx README

O conceito mais amplo da “arena” — IAs competindo em mercados reais — surgiu do projeto nof1 e sua Alpha Arena, que inspirou uma onda de forks, clones e implementações, incluindo o meu nof0. Para um resumo neutro de como esses experimentos funcionam, veja este artigo da comunidade:
Datawallet: Alpha Arena explicada

Checklist prático de segurança para stacks de trading self‑hosted

• Segredos e chaves

  • Nunca use segredos padrão; garanta geração aleatória no primeiro uso.
  • Armazene credenciais de API de CEX em um gerenciador de segredos; esconda ou hasheie campos sensíveis nas respostas.
  • Restrinja permissões de saque e use subcontas.
    Boas práticas da Binance.US

• Autorização e políticas de rede

  • Separe claramente os papéis de admin e operador.
  • Proteja endpoints como “exportar segredos” com verificação secundária.
  • Use listas de IPs permitidos; exponha APIs/admins apenas em redes privadas ou perímetros de zero-trust.
    OWASP API Top 10: 2023

• Risco operacional

  • Implemente limites por conta, “modo seguro” para falhas em exchanges e botões de pânico.
  • Registre cada decisão com identificadores estáveis para facilitar auditoria posterior.

• Licenciamento e atribuição

  • Se você faz fork de código AGPL e o hospeda, deve publicar o código e exibir atribuição visível na UI e na documentação.
    FSF: AGPLv3

Uma nota sobre OneKey e boas práticas de autocustódia

Stacks de trading open-source tratam de dois segredos distintos: chaves privadas on‑chain e credenciais de API de exchanges. Mantenha esses mundos separados — lógica e fisicamente. Para ativos on‑chain, use uma carteira de hardware com firmware open-source e cadeia de suprimentos segura, garantindo que nunca haja exposição de chaves cruas no servidor. Dispositivos OneKey foram feitos para essa segmentação, e funcionam bem com fluxos como PSBTs ou assinaturas offline em operações de tesouraria.
Já para APIs de exchanges, siga controles de lado servidor: subcontas, proibição de saques, whitelists de IP — e nunca armazene chaves em texto claro no mesmo host que roda agentes de IA.

Considerações finais

• Hackgate nos lembra que crescer sem padrões seguros é convite a prejuízos.
  Análise SlowMist
• Infighting‑gate mostra o quanto a governança leve e documentada importa tanto quanto o código.
• Open‑source‑gate reforça que, no boom cripto x IA de 2025, reciprocidade da AGPL é essencial.
  Odaily · ChainCatcher · PANews

Se você está adotando ou fazendo fork do Nofx, acompanhe atentamente os alertas de segurança e boas práticas com as chaves de exchanges — e trate licenciamento e atribuição como parte central do seu produto. Se estiver construindo sua própria arena ou OS (como o nof0), entregue templates seguros por padrão e uma política de segurança clara desde o início.

Leitura complementar:

• Repositório e documentação do Nofx: GitHub: NoFxAiOS/nofx
• Análise técnica da SlowMist: Threat Intelligence no Nofx
• Requisitos da AGPL: FSF: GNU AGPLv3
• Segurança de APIs segundo a OWASP: Top 10 de 2023
• Contexto do Hyperliquid: IQ.wiki: Hyperliquid milestones

Divulgação: Sou um observador independente, criei o projeto nof0 durante o hype do Nofx e discuti aspectos técnicos e de colaboração open-source com Tinkle e Zack.