Slow Mist révèle une grave vulnérabilité dans NOFX AI : cela pourrait entraîner la fuite des clés API et des clés privées de la plateforme d'échange.

Wu a rapporté que l'équipe de sécurité SlowMist a publié un rapport indiquant que le système de trading automatique de contrats à terme en Cryptoactifs open source NOFX AI (basé sur DeepSeek/Qwen AI) présente des vulnérabilités de sécurité graves, pouvant entraîner la fuite des clés API et des Clés privées de la plateforme d'échange. Cette vulnérabilité provient du fait que le projet active par défaut le « mode administrateur » dans plusieurs versions sans effectuer de vérification d'authentification, permettant aux attaquants d'accéder directement à /api/exchanges pour obtenir les informations de Clé secrète des plateformes d'échange telles que Binance, Hyperliquid et Aster DEX. Bien qu'une mise à jour le 5 novembre ait introduit un mécanisme de vérification JWT, les clés par défaut peuvent encore être exploitées et la vulnérabilité n'a pas été réellement corrigée. SlowMist conseille aux déployeurs de désactiver immédiatement le mode administrateur, de changer les clés JWT et de minimiser les informations retournées par l'interface, afin de prévenir les risques d'actifs.