오픈소스의 발목: 2개월 9000개의 별을 가진 Nofx와 그것의 해커문, 내분문, 오픈소스문

저자: WquGuru

글쓰기 배경

이 이야기를 본격적으로 시작하기 전에, 이 사건에서의 제 위치를 설명할 필요가 있습니다.

저는 관찰자이자 분석가입니다. Nofx 프로젝트가 폭발적으로 인기를 끌던 시기에, 저는 nof0 프로젝트를 개발했습니다. 두 프로젝트 모두 nof1에서 영감을 받았습니다. 개발 과정에서 저는 Nofx의 핵심 멤버인 Tinkle과 Zack과 기술 구현 및 오픈 소스 협업에 대해 소통한 적이 있습니다.

명확히 할 점은: 저는 Nofx 팀과 기술적 교류만 있었고, 상업적 협력 관계는 없었습니다; ChainOpera AI(COAI) 팀과는 직접적인 접촉이 없었습니다. 이 글을 작성할 때, 저는 객관적 중립의 입장을 유지하려고 노력했으며, 모든 분석과 판단은 GitHub 기록, 소셜 미디어 발언, 보안 보고서 등 공개적으로 확인 가능한 자료를 기반으로 하고 있습니다.

사건의 시간 범위:

• 2025년 10월 말: Nofx 프로젝트 시작, 단 2개월 만에 GitHub에서 거의 9000개의 별을 획득

• 2025년 11월: 보안 취약점 노출, SlowMist가 보안 경고 발표(해커 사건)

• 2025년 12월: 오픈 소스 라이선스 분쟁 발생(오픈 소스 사건), 동시에 팀 내 분열이 드러남(내부 갈등 사건)

이 사건은 약 2개월 동안 지속되었지만, Web3 오픈 소스 운동의 여러 모순을 집중적으로 드러냈습니다.

이 글을 쓰는 목적은 어느 한쪽에 편을 들거나 비난하기 위함이 아니라, 다음과 같은 희망을 가지고 있습니다:

• 이 Web3 오픈 소스 운동의 전형적인 사례를 완전하게 기록

• 오픈 소스 정신과 상업적 이익 간의 깊은 갈등을 탐구

• 산업의 미래 규범 구축을 위한 반성과 참고 자료 제공

이제, 복잡한 이야기를 처음부터 정리해 보겠습니다.

서막: AI 거래 프로젝트의 폭발적 인기

2025년 10월 말, Nof1이라는 이름의 AI 자동 거래 프로젝트가 트위터에서 폭발적으로 인기를 끌었습니다. 단 며칠 만에, 여러 개의 오픈 소스 버전—nof0, nofx 등—이 GitHub에서 수천 개의 별을 받았습니다. 그 중 Nofx 프로젝트는 10월 말부터 개발을 시작하여 12월까지 9000개 이상의 별을 축적하며 AI Trading 분야에서 가장 주목받는 오픈 소스 프로젝트 중 하나가 되었습니다.

그러나 단 2개월 후, 이 스타 프로젝트는 세 가지 위기에 빠졌습니다:

해커 사건: 블록체인 보안 회사 SlowMist가 Nofx에 심각한 보안 취약점이 존재한다고 밝혔으며, 이로 인해 전 세계 1000개 이상의 배포 인스턴스의 사용자 거래소 API 키, 개인 키, 지갑 주소가 완전히 노출되었습니다. Binance, OKX 등 주요 거래소가 긴급 개입하여 영향을 받은 사용자에게 자격 증명 교체를 지원했습니다.

내부 갈등 사건: 프로젝트 핵심 멤버 Tinkle이 다른 공동 창립자 Zack을 공개적으로 "14일만 참여하고 몇 줄의 코드만 기여했으면서 50%의 지분과 50만 달러를 요구한다"고 비난했습니다. Zack은 변호사를 통해 공식 법적 문서를 발송하며 Tinkle을 "자산을 착취하고 이익을 전달했다"고 고소하고, 양측이 각각 50%의 지분을 보유하고 있다는 파트너십 등록 문서를 제출했습니다.

오픈 소스 사건: Nofx가 1700만 달러를 조달한 ChainOpera AI(COAI)가 AGPL 오픈 소스 라이선스를 위반하여, 오픈 소스하지 않은 상태에서 자신의 코드를 사용하여 상업 제품을 배포했다고 공개적으로 비난했습니다. COAI는 Nofx가 11월 3일에는 MIT 라이선스를 사용하고 있었고, 11월 4일에 AGPL로 변경되었으며, 그들의 제품은 Python으로 개발되어 Nofx의 Go 구현과는 완전히 다르다고 반박했습니다.

커뮤니티가 열광했던 오픈 소스 프로젝트가 왜 단 2개월 만에 이렇게 복잡한 다중 위기에 빠졌을까요? 그 이면에는 오픈 소스 커뮤니티, 창업 팀, 투자 생태계의 어떤 시스템적 문제가 드러났을까요? 다섯 가지 핵심 질문을 통해 이 소동을 깊이 분석해 보겠습니다.

질문 1: 오픈 소스 라이선스가 정말로 위반되었나요?

MIT와 AGPL: 두 가지 전혀 다른 오픈 소스 철학

Nofx와 COAI의 라이선스 분쟁을 논의하기 전에, 두 가지 오픈 소스 라이선스의 근본적인 차이를 이해할 필요가 있습니다:

MIT 라이선스는 가장 느슨한 오픈 소스 라이선스 중 하나입니다. 이는 다음을 허용합니다:

• 코드의 자유로운 사용, 수정, 배포

• 상업적 목적으로 오픈 소스할 필요 없음

• 유일한 요구 사항: 원 저작자의 저작권 고지를 유지

AGPL v3.0(GNU Affero 일반 공공 라이선스)은 가장 엄격한 오픈 소스 라이선스 중 하나입니다. 이는 다음을 요구합니다:

• 해당 코드를 사용하는 모든 프로젝트는 동일하게 오픈 소스해야 함

• 특히, 네트워크를 통해 서비스를 제공하는 경우(SaaS 등)에도 소스 코드를 공개해야 함

• 원 프로젝트 정보를 눈에 띄는 위치에 명시해야 함

MIT에서 AGPL로의 변화는 "극도로 느슨함"에서 "극도로 엄격함"으로의 180도 전환입니다. 이것이 이번 논쟁의 핵심입니다.

라이선스 변경과 시간 논쟁

Nofx 프로젝트의 오픈 소스 라이선스가 MIT에서 AGPL로 변경되었지만, 구체적인 변경 시점이 논쟁의 초점이 되었습니다. 이 시점은 매우 중요합니다. 왜냐하면 이는 ChainOpera(COAI) 팀이 코드를 포크할 때 준수해야 할 라이선스를 직접 결정하기 때문입니다.

양측의 증거 비교:

• Nofx 팀은 GitHub 커밋 기록을 제공하여 라이선스 파일 수정 시간을 보여줍니다.

• COAI 팀은 그들의 기록과 관찰에 따르면, 라이선스 변경의 공개 시점에 의문이 있다고 지적합니다.

ChainOpera의 "표절" 주장

Nofx 커뮤니티는 1700만 달러를 조달하고 Binance Alpha에 상장된 ChainOpera(COAI) 프로젝트의 코드가 Nofx와 매우 유사하다는 것을 발견했습니다.

Nofx 측의 주장:

• COAI가 출처를 명시하지 않고, 소스 코드를 공개하지 않은 상태에서 Nofx의 코드를 사용했습니다.

• 당시 유효한 AGPL 라이선스에 따르면, COAI는: 코드 출처를 명확히 표기해야 하며, 수정된 소스 코드를 공개해야 하고, 동일한 AGPL 라이선스를 채택해야 합니다.

COAI 측의 반응:

• 자신이 코드를 포크할 당시 Nofx가 여전히 MIT 라이선스를 사용하고 있었다고 주장합니다.

• MIT 라이선스는 상업적 사용을 허용하며 소스 코드를 공개할 필요가 없습니다.

• 라이선스 변경 시점의 논쟁은 사건의 성격 판단에 영향을 미쳤습니다.

오픈 소스 라이선스 분쟁: 누가 옳고 누가 그른가?

이 논쟁은 Web3 오픈 소스 생태계의 심층적인 문제를 드러냈습니다:

라이선스 변경의 유효성 문제:

• 소급 효력 논쟁: 오픈 소스 라이선스 변경이 이미 포크된 코드에 구속력이 있는가?

• 시점 인식: 라이선스 변경의 정확한 시점을 완전히 확인하기 어려워 양측이 각기 다른 주장을 하고 있습니다.

• 증거 신뢰성: GitHub 기록은 수정될 수 있으며, 더 권위 있는 제3자의 검증이 필요합니다.

• 라이선스 변경 전달: MIT에서 AGPL로의 변경이 얼마나 커뮤니티에 전달되었는가.

상업적 이익의 충돌:

• COAI는 대규모 자금을 조달하고 Binance에 상장되어 상업적 가치가 큽니다.

• Nofx는 오픈 소스 프로젝트로서 상업화 경로가 불명확합니다.

• 핵심 모순: 오픈 소스 공유 정신과 상업적 이익 보호 간의 균형 문제.

커뮤니티 의견 분화:

• Nofx를 지지하는 사람들은 COAI가 오픈 소스 코드를 이용해 이익을 얻으면서 커뮤니티에 환원하지 않는다고 주장합니다.

• COAI를 지지하는 사람들은 MIT 라이선스가 본래 상업적 사용을 허용하며, 라이선스 변경 시점에 의문이 있다고 주장합니다.

• 중립적인 관찰자들은 시점 논쟁이 핵심이며, 판단을 위한 더 신뢰할 수 있는 증거가 필요하다고 지적합니다.

법률과 기술의 회색 지대:

• 오픈 소스 라이선스의 블록체인 프로젝트 내 법적 효력은 아직 명확하지 않습니다.

• GitHub 기록의 변조 가능성이 증거로서의 신뢰성을 약화시킵니다.

• Web3 산업은 성숙한 오픈 소스 분쟁 해결 메커니즘이 부족합니다.

요약: 논란의 여지가 있는 주장

현재 공개된 증거를 보면, Nofx의 COAI에 대한 오픈 소스 라이선스 침해 주장은 여러 의문점이 존재합니다:

1. 시간 노드에 대한 의문: GitHub 증거는 11월 4일에 AGPL로 변경되었다고 보여줍니다.

2. 기술 구현의 차이: 인터페이스 명칭이 동일하다고 해서 코드가 동일하다는 것은 아닙니다.

3. 로그 해석의 합리성: MIT 단계에서 삽입된 통계 기능은 지속적으로 기록됩니다.

4. 자사도 위반 혐의: 사용자에게 통계 삽입을 알리지 않아 개인정보 보호법을 위반할 수 있습니다.

5. 소통 절차의 성급함: 같은 분에 이메일을 보내고 공개적으로 비난했습니다.

주목할 점은, 라이선스 변경 시점의 논쟁이 사건의 성격 판단에 결정적인 영향을 미친다는 것입니다. 만약 Nofx의 주장이 성립된다면, COAI는 AGPL 라이선스를 위반한 문제가 발생합니다; 그러나 COAI의 주장이 성립된다면, 그들의 행동은 MIT 라이선스의 규정을 완전히 준수하는 것입니다. 이 시점의 인식은 여전히 더 권위 있는 제3자의 검증이 필요합니다.

질문 2: 14일이 50%의 지분 가치가 있나요?

오픈 소스 사건이 Nofx와 외부의 논쟁이라면, 내부 갈등 사건은 이 프로젝트 내부의 모순이 공개된 것입니다—"기여"와 "가치"에 대한 창립 팀 간의 쟁탈전입니다.

타임라인: 참여에서 대립까지

2025년 10월 28일: Nofx 개발 시작;

2025년 10월 29일: Zack이 프로젝트에 참여(이때 프로젝트는 하루밖에 오픈 소스되지 않았습니다);

2025년 11월 초: Zack이 50%의 지분을 요구하며 Amber Group을 상업화에 참여시킬 수 있다고 주장합니다;

2025년 11월 초: Tinkle이 50%의 지분을 주지 않겠다고 거부하며, 자신이 팀의 CEO 겸 CTO이고 Zack의 기여가 부족하다고 주장합니다;

2025년 11월 19일: Zack의 변호사(君合律师事务所 홍콩 사무소)가 공식 "손실 없는 권리와 합의 제안"(Without Prejudice Save as to Costs)을 발송하며, Zack이 보유한 50%의 지분을 되사기 위해 50만 달러를 요구합니다;

2025년 12월: 갈등이 공개되며 양측이 소셜 미디어에서 서로를 비난합니다;

시간적으로 보면, Zack이 참여한 후 변호사 편지를 보낼 때까지 한 달도 안 되는 짧은 시간입니다.

대립: 두 가지 전혀 다른 증거

Tinkle의 서사:

• Zack은 단 14일만 참여했습니다.

• 몇 줄의 코드만 기여했습니다("확인 가능").

• 프로젝트가 이미 오픈 소스되고 수천 명의 TG 그룹 멤버가 있을 때 참여했습니다.

• Amber 투자를 소개하는 것을 담보로 거액의 지분을 요구했습니다.

• 거부당한 후 프로젝트의 트위터 계정을 압수했습니다.

• 변호사 편지를 통해 50만 달러를 요구하며, 이는 협박으로 간주됩니다.

• Zack은 Amber의 인턴이었지만 정규직으로 전환되지 않고 떠났습니다.

• 결국 Amber 투자를 유치하지 못했습니다.

Zack의 반격:

• APEIRON LABS PTE. LTD.의 회사 등록 문서를 제공합니다.

• 문서에 따르면: Tinkle과 Zack은 각각 50%의 지분을 보유하고 있습니다.

• 이는 싱가포르 회사 등록 시스템의 공개 정보로, 누구나 검증할 수 있습니다.

• 변호사 편지는 표준 "손실 없는 권리와 합의 제안"으로, 상업 법률 절차에 부합합니다.

• 주체는 Demand Letter로, Tinkle의 "자산 착취 및 이익 전달" 행위를 상세히 기록하고 있습니다.

• 50만 달러는 협박이 아니라, 저평가된 가격으로 Zack의 합법적인 권리를 되사기 위한 것입니다.

• 반문: 만약 회사에 가치가 있다면, 100만 달러로 50%의 지분을 되사기는 합리적이지 않나요? 만약 가치가 없다면, Tinkle은 왜 이것을 "협박"이라고 말했을까요?

핵심 모순: 기여는 어떻게 정량화할 것인가?

이 논쟁의 본질은 고전적인 창업 문제입니다: 기술 기여 vs 자원 추천, 어떤 것이 더 가치가 있나요?

코드 기여 관점에서 Tinkle의 주장은 어느 정도 타당성이 있을 수 있습니다. GitHub의 커밋 기록은 공개되어 있으며, Zack이 실제로 적은 양의 코드만 제출했다면, 이는 기술 분야에서 쉽게 검증할 수 있는 사실입니다. 60일 동안 개발된 프로젝트와 14일 참여한 다른 사람의 기여 차이는 시간과 코드 양에서 확실히 큽니다.

그러나 지분 관점에서 Zack은 법적 문서를 제시했습니다. APEIRON LABS PTE. LTD.의 등록 정보는 양측이 50-50의 지분 분배 계약을 체결했음을 보여줍니다. 이는 다음을 의미합니다:

1. 양측은 공식적인 법적 계약을 체결한 적이 있습니다.

2. 계약은 Zack이 50%의 권리를 보유하고 있음을 인정합니다.

3. 이는 구두 약속이 아니라 정부 부서에 등록된 법적 사실입니다.

그렇다면 질문이 생깁니다: 왜 Tinkle이 이러한 지분 분배에 동의했을까요?

Amber라는 카드의 가치는 얼마나 될까요?

핵심 변수는 Amber Group입니다—혹은 더 정확히 말하면, Amber의 생태계 가속기인 amber.ac입니다.

Zack의 카드: 그는 Amber를 Nofx의 상업화에 참여시킬 수 있습니다.

Tinkle의 말에 따르면, Zack은 Amber의 인턴이었습니다(비록 정규직으로 전환되지 않고 떠났습니다). 암호화폐 산업에서, 최고의 기관의 보증과 자금을 유치할 수 있는 것은 확실히 큰 가치입니다.

그러나 최종 결과는:

1. Amber는 Nofx에 공식적으로 투자하지 않았습니다.

2. Amber의 공식 성명: Nofx와 "정식 인큐베이션, 투자 또는 상업적 협력 관계가 없다"고 밝혔습니다.

3. Amber는 "우호적인 소통"이 있었지만, 공식적인 협력으로 이어지지 않았다고 인정했습니다.

이로 인해 두 가지 가능한 설명이 생깁니다:

설명 A(지지 Tinkle): Zack은 자신의 자원 능력을 과장하여, 공허한 수표로 지분을 얻으려 했고, 결국 약속을 이행하지 못했으며, 지분을 양도하지 않으려 변호사 편지로 협박했습니다.

설명 B(지지 Zack): 양측은 실제로 지분 계약을 체결했으며, Zack은 Amber를 유치하기 위해 최선을 다했지만, Tinkle 측의 문제(아마도 "자산 착취 및 이익 전달"을 포함하여)로 인해 투자가 이루어지지 않았습니다. Zack은 합법적인 주주로서 퇴출을 요구하고 보상을 받을 권리가 있습니다.

어떤 설명이 진실에 더 가까운가? 이는 더 많은 내부 자료가 필요합니다.

법적 절차인가, 협박인가?

Tinkle은 소셜 미디어에서 Zack의 변호사 편지를 공개하며 이를 "협박"이라고 주장했습니다. 이 주장은 매우 심각합니다. 왜냐하면 협박은 형사 범죄이기 때문입니다.

그러나 Zack의 반응은 법적 절차의 전문성을 드러냅니다:

"손실 없는 권리와 합의 제안"(Without Prejudice Save as to Costs)은 영미법계에서 상업 분쟁의 합의 협상에 사용되는 표준 법적 절차입니다. 그 특징은:

1. 법적으로 보호받으며, 소송 증거로 사용될 수 없습니다(소송 비용과 관련된 경우 제외).

2. 양측이 평화롭게 분쟁을 해결하도록 장려하는 것이 목적입니다.

3. 합의 조건을 제시하는 것은 협박이 아닙니다.

4. 주체는 Demand Letter로, 상대방의 위반 또는 침해 행위를 명시합니다.

Zack의 변호사 편지는 50만 달러를 요구하지만, 이 금액은 다음에 기반합니다:

• Zack이 회사의 50% 지분을 보유하고 있다는 법적 사실.

• 회사의 100만 달러의 보수적 가치 평가에 따라 계산된 것입니다.

• Tinkle이 Zack의 지분을 매입하도록 요구하는 회수 가격으로 요구한 것입니다.

법적 관점에서, 이는 완전히 합법적인 합의 협상 전략입니다. 만약 Tinkle이 진짜로 이것을 "협박"이라고 생각한다면, 올바른 방법은 경찰에 신고하는 것이지, 트위터에 글을 올리는 것이 아닙니다.

Zack의 "최후 통첩"도 매우 강력합니다:

"만약 여러분이 진짜로 이것이 협박이라고 생각한다면, 즉시 경찰에 신고하십시오. 신고할 용기가 없다면, 이런 어리석은 연극을 그만두십시오."

숨겨진 주장: 자산 착취와 이익 전달

이 공개적인 대립에서 주목할 만한 세부 사항이 있습니다: Zack은 변호사 편지의 주체가 Tinkle의 "파트너 자산 착취 및 불법 수단 공모" 행위를 기록한 상세한 Demand Letter라고 언급했습니다.

이 Letter의 전체 내용은 공개되지 않았지만, 이 주장은 매우 심각합니다. 만약 사실이라면, 이는 다음을 포함할 수 있습니다:

1. 회사 자금을 개인 용도로 유용한 경우.

2. 투자 기관과 개인 간의 이익 교환.

3. 파트너십의 신의 의무를 위반한 경우.

Tinkle은 이 부분의 주장에 대해 정면으로 응답하지 않고, "더 이상 이 문제에 응답하지 않고 제품에 집중하겠다"고만 말했습니다.

이런 회피 태도는 오히려 궁금증을 불러일으킵니다: Demand Letter에는 도대체 무엇이 적혀 있었던 것일까요?

요약: 해결할 수 없는 난제

창립 팀의 지분 분쟁은 창업계에서 흔히 발생하는 일입니다. Nofx의 사례가 주목받는 이유는 이와 같은 분쟁의 전형적인 모순을 압축하고 있기 때문입니다:

1. 구두 약속 vs 서면 계약: 서면 지분 계약이 없다면, 기여는 어떻게 인정할 것인가?

2. 기술 기여 vs 자원 추천: 두 가지 가치는 어떻게 측정할 것인가?

3. 기대의 실현 책임: 자금 유치 실패는 누구의 책임인가?

4. 법적 절차 vs 도덕적 판단: 합의 협상이 협박과 동일한가?

현재 증거를 보면:

• Zack은 50% 지분을 지지하는 법적 문서가 있습니다.

• Tinkle은 코드 기여 기록으로 자신의 주도적 지위를 지지합니다.

• 양측 모두 각자의 내러티브를 가지고 있지만, 모두 완전한 증거 체계가 부족합니다.

최종적인 답은 법원에서만 나올 수 있을 것입니다. 그러나 이 사례가 모든 창업 팀에 주는 경고는:

• 지분 분배는 조기에, 서면으로, 명확하게 해야 합니다.

• 기여 정량화는 객관적인 기준(코드 양, 작업 시간, 자원 가치)이 있어야 합니다.

• 중요한 결정은 기록을 남겨야 합니다.

• 분쟁 발생 시에는 우선 법적 경로를 선택해야 하며, 여론전이 아닙니다.

질문 3: 오픈 소스 프로젝트가 왜 보안의 재앙 지역이 되었나요?

Nofx와 COAI의 라이선스 분쟁 및 내부 지분 갈등 이전에, 더 심각한 위기가 조용히 발효되었습니다: 보안 취약점.

2025년 11월, 블록체인 보안 회사 SlowMist는 Nofx 프로젝트에 심각한 보안 위험이 존재한다는 상세한 보안 분석 보고서를 발표했습니다. 이는 일반적인 의미의 "작은 버그"가 아니라, 사용자 자금이 전면적으로 도난당할 수 있는 중대한 취약점입니다.

취약점 타임라인: 제로 인증에서 기본 키로

2025년 10월 31일 - Commit 517d0c: 제로 인증의 원죄

이 커밋에서 Nofx의 코드에는 치명적인 결함이 존재합니다:

• admin_mode가 기본값으로 true로 설정되어 있습니다.

• 미들웨어가 모든 요청을 검증 없이 통과하도록 허용합니다.

• /api/exchanges 인터페이스가 완전히 개방되어 있습니다.

이것은 무엇을 의미할까요? 누구든지 Nofx가 배포된 서버 주소를 알고 있다면, 직접 /api/exchanges 인터페이스에 접근하여 다음을 얻을 수 있습니다:

• api_key: 사용자의 거래소 API 키

• secret_key: 거래소 키

• hyperliquidwalletaddr: Hyperliquid 지갑 주소

• asterprivatekey: Aster 플랫폼의 개인 키

이 정보를 얻은 공격자는:

1. 사용자의 거래소 계정을 완전히 제어할 수 있습니다.

2. 허위 거래(wash trading)를 수행할 수 있습니다.

3. 자금을 직접 인출할 수 있습니다.

4. 시장 가격을 조작할 수 있습니다.

이는 제로 방어의 노출이며, 보안 설계의 기본적인 실수입니다.

2025년 11월 5일 - Commit be768d9: "강화"의 환상

아마도 보안 문제를 인식했는지, Nofx 팀은 이 커밋에서 JWT(JSON Web Token) 인증 메커니즘을 추가했습니다. 표면적으로는 보안 강화로 보입니다.

하지만 문제는:

1. 기본 jwt_secret이 변경되지 않았습니다.

2. 사용자가 환경 변수를 설정하지 않으면 시스템은 하드코딩된 기본 키로 되돌아갑니다.

3. /api/exchanges는 여전히 원래 JSON 형식으로 모든 민감한 필드를 반환합니다.

이는 다음을 의미합니다:

• 공격자는 기본 키를 사용하여 JWT 토큰을 위조할 수 있습니다.

• 유효한 토큰을 얻으면 모든 키가 여전히 완전히 노출됩니다.

• "강화"된 버전은 실제로 여전히 취약합니다.

이는 마치 문에 자물쇠를 추가했지만, 열쇠를 문 앞의 매트 아래에 두어 모든 사람이 아는 것과 같습니다.

2025년 11월 13일 - Dev 분기: 지속적인 위험

11월 13일에도 dev 분기의 코드에는 여러 가지 문제가 여전히 존재합니다:

• authMiddleware의 구현에 결함이 있습니다(api/server.go:1471--1511).

• /api/exchanges는 여전히 전체 ExchangeConfig를 직접 반환합니다(api/server.go:1009--1021).

• 구성 파일에는 여전히 adminmode=true와 기본 jwtsecret이 하드코딩되어 있습니다.

• 주 분기(origin/main)는 심지어 10월 31일의 제로 인증 버전에서 멈춰 있습니다.

이는 우연한 실수가 아니라, 시스템적인 보안 의식 결여입니다.

발견 및 대응: SlowMist의 주요 행동

정보 출처: 보안 연구자 @Endlessss20가 SlowMist에 Nofx의 보안 위험에 대한 초기 정보를 제공했습니다.

심층 분석: SlowMist 보안 팀은 Nofx의 GitHub 코드를 완전하게 감사하여 위의 두 가지 주요 인증 문제를 식별했습니다.

전국 스캔: 더 놀라운 것은, SlowMist가 인터넷 범위의 스캔을 수행하여 1000개 이상의 공개적으로 접근 가능한 Nofx 배포 인스턴스를 발견했으며, 그 중 많은 수가 기본 또는 취약한 구성으로 설정되어 있어 사용자 자격 증명이 완전히 노출되었습니다.

이는 이론적인 보안 위험이 아니라, 실제로 발생하고 있는 위협입니다.

긴급 조정: 위험의 긴급성을 감안하여, SlowMist는 즉시 주요 거래소에 연락했습니다:

• Binance와 OKX 보안 팀에 정보를 제공했습니다.

• 두 거래소는 독립적으로 교차 검증을 수행했습니다.

• 확보된 API 키를 사용하여 영향을 받은 사용자를 추적했습니다.

• 사용자에게 알리고 키 교체를 지원했습니다.

• 잠재적인 wash trading 공격을 차단했습니다.

처리 진행 상황: 2025년 11월 17일 기준, 모든 중앙화 거래소(CEX) 사용자의 노출된 키는 처리되었습니다. 그러나 일부 Aster와 Hyperliquid 사용자는 지갑이 분산되어 있어 직접적으로 연락하기 어려워, 사용자 스스로 점검해야 합니다.

영향 범위: 단순한 기술 문제가 아니다

이번 보안 사건의 영향은 기술적 차원을 넘어섭니다:

직접적인 피해자:

• Nofx를 사용하여 자동 거래를 수행한 1000명 이상의 사용자

• Binance, OKX, Hyperliquid 등 여러 플랫폼이 관련되어 있습니다.

• 노출된 것은 API 키뿐만 아니라 개인 키와 지갑 주소도 포함됩니다.

잠재적 손실:

• 공격자가 거래소 개입 전에 행동을 취하면, 사용자 자금이 전면적으로 도난당할 수 있습니다.

• AI 자동 거래 시스템의 특징은 고빈도, 대규모 거래로, 손실이 매우 클 수 있습니다.

신뢰 붕괴:

• 커뮤니티는 Nofx 프로젝트의 보안성에 대한 신뢰를 잃었습니다.

• 전체 오픈 소스 AI Trading 생태계에 의문을 제기하게 되었습니다.

• 개발자들은 오픈 소스 프로젝트를 선택할 때 더욱 신중해질 것입니다.

심층 질문: 왜 이렇게 저급한 실수가 발생했을까?

Nofx의 보안 취약점은 고도의 기술적 도전이 아니라 기본적인 보안 상식의 결여입니다:

1. 인증 메커니즘은 기본적으로 켜져 있어야 하며, 기본적으로 꺼져 있어서는 안 됩니다.

2. 기본 키는 무작위로 생성되어야 하며, 하드코딩되어서는 안 됩니다.

3. 민감한 데이터는 암호화되거나 비식별화되어야 하며, 평문으로 반환되어서는 안 됩니다.

4. 구성 파일은 보안 위험에 대한 명확한 경고를 포함해야 합니다.

이것들은 경험이 있는 개발자가 반드시 알아야 할 원칙입니다. 그렇다면 왜 Nofx는 이러한 실수를 범했을까요?

가능한 원인:

1. 빠른 개발 우선: AI Trading 열풍 속에서, 기회를 선점하는 것이 보안보다 더 중요했습니다.

2. 팀 경험 부족: 사용자 자금을 처리하는 보안 경험이 부족했을 수 있습니다.

3. 테스트 환경 구성의 생산화: 테스트를 편리하게 하기 위해 인증을 끄고, 이 설정이 생산 환경에 들어갔습니다.

4. 보안 감사의 결여: 오픈 소스 프로젝트는 종종 전문적인 보안 감사가 부족합니다.

그러나 가장 근본적인 원인은: 오픈 소스 ≠ 안전입니다.

많은 사람들은 오픈 소스 코드가 "수많은 눈"에 의해 검토되므로 더 안전하다고 생각합니다. 그러나 현실은:

• 대부분의 사용자는 사용자가이지, 검토자가 아닙니다.

• 문제가 발견되더라도, 반드시 수정할 능력이나 의지가 있는 것은 아닙니다.

• 보안 감사는 전문 지식과 많은 시간을 필요로 하며, 자동으로 발생하지 않습니다.

• 상업 회사는 보안 팀이 있지만, 오픈 소스 프로젝트는 종종 그렇지 않습니다.

책임 경계: 오픈 소스 저자는 얼마나 많은 책임을 져야 할까?

여기서 논란의 여지가 있는 질문이 제기됩니다: 사용자가 오픈 소스 소프트웨어의 취약점으로 인해 손실을 입었을 때, 오픈 소스 저자가 책임을 져야 할까요?

법적 관점에서, 대부분의 오픈 소스 라이선스(예: MIT 및 AGPL)는 면책 조항을 포함하고 있습니다:

"소프트웨어는 '있는 그대로' 제공되며, 명시적 또는 암시적인 보증을 제공하지 않습니다… 저자는 어떤 손해에 대해서도 책임을 지지 않습니다."

그러나 도의적 관점에서, 자신의 코드가 사용자가 실제 자산을 관리하는 데 사용될 것이라는 것을 알 때, 더 높은 보안 기준을 가져야 하지 않을까요?

Nofx의 사례는 특별한 점이 있습니다:

1. 이는 AI 자동 거래 시스템으로, 사용자 자금에 직접적으로 관련됩니다.

2. 프로젝트는 9000개 이상의 별을 얻어 많은 사용자가 있습니다.

3. 취약점은 숨겨진 고급 공격이 아니라 기본 방어의 결여입니다.

4. 문제는 수주 동안 존재했으며, 그 사이에 새로운 사용자가 지속적으로 배포되었습니다.

산업의 교훈: AI Trading의 특별한 위험

Nofx의 보안 위기는 AI Trading 분야의 특별한 위험을 드러냅니다:

자동화의 양날의 검:

• AI 거래 시스템은 7x24시간 자동으로 운영되도록 설계되었습니다.

• 일단 공격을 받으면, 공격자는 빠르게 대량의 거래를 실행할 수 있습니다.

• 사용자는