Slow Fog annonce une grave vulnérabilité du système de trading automatique NOFX AI qui nécessite une mise à jour rapide.

Selon Mars Finance, l'équipe de Slow Mist a récemment analysé le système de trading à terme automatisé open source NOFX AI basé sur DeepSeek/Qwen et a découvert plusieurs vulnérabilités graves de vérification. Ils ont indiqué que le système présente un mode “zéro vérification” en configuration par défaut, le mode administrateur étant directement activé, permettant à toutes les requêtes de passer sans validation, les attaquants pouvant accéder à /api/exchanges et obtenir la clé API complète et la clé privée. Bien que le mode “nécessite une autorisation” ait ajouté JWT, le jwt_secret par défaut demeure, et si la variable d'environnement n'est pas définie, elle reviendra à la clé par défaut. De plus, dans ce mode, les champs sensibles sont toujours retournés en JSON brut, et si le token est falsifié ou volé, cela peut également entraîner une fuite de clés. Slow Mist a indiqué qu'à ce jour, plus de k instances déployées publiquement utilisant une configuration vulnérable ont été identifiées et a coordonné avec les équipes de sécurité de Binance et OKX pour compléter le remplacement des certificats concernés. L'équipe rappelle à tous les utilisateurs de mettre à jour immédiatement le système, en particulier ceux exécutant des Bots sur Aster ou Hyperliquid, qui devraient vérifier leurs paramètres dès que possible.