SlowMist twierdzi, że system automatycznego handlu NOFX AI ujawnił poważną lukę i wymaga pilnej aktualizacji.

Według ChainCatcher, zespół bezpieczeństwa SlowMist niedawno przeanalizował oparty na DeepSeek/Qwen otwartoźródłowy zautomatyzowany system handlu kontraktami terminowymi NOFX AI i odkrył wiele poważnych luk w uwierzytelnianiu. Zespół wskazał, że system w domyślnej konfiguracji posiada tryb „zero uwierzytelniania”, w którym tryb administratora jest bezpośrednio aktywowany, co pozwala na przejście wszystkich żądań bez weryfikacji. Atakujący mogą uzyskać dostęp do /api/exchanges i zdobyć pełne klucze API oraz klucze prywatne. W trybie „wymagającym autoryzacji” dodano co prawda JWT, ale domyślny jwt_secret nadal istnieje i jeśli zmienna środowiskowa nie zostanie ustawiona, system wraca do domyślnego klucza. Ponadto w tym trybie wrażliwe pola nadal są wyświetlane jako surowy JSON, więc jeśli token zostanie sfałszowany lub skradziony, również dojdzie do wycieku kluczy.

SlowMist poinformował, że do tej pory zidentyfikowano ponad tysiąc publicznie wdrożonych instancji korzystających z podatnej konfiguracji i we współpracy z zespołem bezpieczeństwa jednej z giełd wymieniono odpowiednie dane uwierzytelniające. Zespół przypomina wszystkim użytkownikom o natychmiastowej aktualizacji systemu, zwłaszcza tym, którzy uruchamiają boty na Aster lub Hyperliquid, aby jak najszybciej sprawdzili swoje ustawienia.