慢雾称 NOFX AI نظام التداول الآلي يعاني من ثغرة خطيرة ويحتاج إلى تحديث سريع

أفادت أخبار مارز المالية أن فريق SlowMist قام مؤخرًا بتحليل نظام التداول الآلي المفتوح المصدر NOFX AI القائم على DeepSeek/Qwen، واكتشف العديد من ثغرات التحقق الخطيرة. وأشار إلى أن النظام في التكوين الافتراضي يحتوي على وضع “عدم التحقق”، حيث يتم تمكين وضع المسؤول مباشرة، مما يسمح بجميع الطلبات بالمرور دون تحقق، ويمكن للمهاجمين الوصول إلى /api/exchanges والحصول على مفتاح API والمفتاح الخاص بالكامل. رغم أنه تم إضافة JWT في وضع “يحتاج إلى تفويض”، إلا أن jwt_secret الافتراضي لا يزال موجودًا، وإذا لم يتم تعيين متغير البيئة، فسيتم التراجع إلى المفتاح الافتراضي. علاوة على ذلك، لا يزال الحقل الحساس يتم إخراجه بصيغة JSON الأصلية في هذا الوضع، مما يؤدي إلى تسرب المفتاح إذا تم تزوير أو سرقة الرمز. وأفادت SlowMist أنه حتى الآن تم تحديد أكثر من k حالة نشر عامة تستخدم تكوينات ضعيفة، وتم التنسيق مع فرق الأمان في Binance و OKX لاستبدال الشهادات ذات الصلة. وحذرت الفريق جميع المستخدمين بضرورة ترقية النظام على الفور، خاصةً أولئك الذين يقومون بتشغيل بوتات على Aster أو Hyperliquid يجب عليهم فحص الإعدادات بسرعة.