Slow Mist revela que NOFX AI tiene una grave vulnerabilidad: podría causar la filtración de la clave API y la Llave privada del intercambio.

Wu informó que el equipo de seguridad Slow Mist publicó un informe que indica que el sistema automático de trading de futuros de Activos Cripto de código abierto NOFX AI (basado en DeepSeek/Qwen AI) presenta graves vulnerabilidades de seguridad, que podrían llevar a la filtración de la Llave secreta de la API del intercambio y de la Llave privada. Esta vulnerabilidad proviene de la configuración predeterminada del proyecto que activa “modo administrador” en múltiples versiones sin realizar una verificación de autenticación, permitiendo a los atacantes acceder directamente a /api/exchanges para obtener información de las llaves de intercambios como Binance, Hyperliquid, Aster DEX, entre otros. A pesar de que la actualización del 5 de noviembre introdujo un mecanismo de verificación JWT, las llaves predeterminadas aún pueden ser explotadas y la vulnerabilidad en sí no ha sido corregida. Slow Mist sugiere a los implementadores que cierren inmediatamente el modo administrador, cambien las llaves JWT y minimicen la información devuelta por la interfaz para prevenir riesgos de activos.