SlowMist berichtet, dass im NOFX AI-Autohandelssystem eine schwerwiegende Schwachstelle entdeckt wurde und ein dringendes Upgrade erforderlich ist.

ChainCatcher berichtet, dass das SlowMist-Sicherheitsteam kürzlich das auf DeepSeek/Qwen basierende Open-Source-Automatisierungssystem für Futures-Handel, NOFX AI, analysiert und mehrere schwerwiegende Authentifizierungs-Schwachstellen entdeckt hat. Es wurde festgestellt, dass das System in der Standardkonfiguration einen „Zero-Authentication“-Modus aufweist, in dem der Administrator-Modus direkt aktiviert ist und alle Anfragen ohne Überprüfung akzeptiert werden. Angreifer können dadurch auf /api/exchanges zugreifen und vollständige API-Schlüssel sowie private Schlüssel erhalten. Im „Authorization Required“-Modus wird zwar JWT hinzugefügt, aber das Standard-jwt_secret bleibt bestehen. Wenn keine Umgebungsvariable gesetzt ist, wird auf den Standard-Schlüssel zurückgegriffen. Darüber hinaus werden in diesem Modus sensible Felder weiterhin als Roh-JSON ausgegeben, sodass bei Fälschung oder Diebstahl des Tokens ebenfalls ein Schlüsselleck auftreten kann.

SlowMist gibt an, dass bislang über tausend öffentlich bereitgestellte Instanzen mit unsicherer Konfiguration identifiziert wurden und dass bereits in Zusammenarbeit mit einem Börsen-Sicherheitsteam die entsprechenden Zugangsdaten ausgetauscht wurden. Das Team empfiehlt allen Nutzern, das System umgehend zu aktualisieren, insbesondere Nutzern, die Bots auf Aster oder Hyperliquid betreiben, sollten ihre Einstellungen so schnell wie möglich überprüfen.