Slow Mist menyebutkan sistem perdagangan otomatis NOFX AI memiliki kerentanan serius yang perlu segera diperbarui.

Berita dari Mars Finance, tim keamanan Slow Mist baru-baru ini menganalisis sistem perdagangan berjangka otomatis sumber terbuka NOFX AI yang berbasis DeepSeek/Qwen, dan menemukan beberapa celah verifikasi yang serius. Mereka menunjukkan bahwa sistem dalam konfigurasi default memiliki mode “nol verifikasi”, di mana mode administrator diaktifkan langsung, sehingga semua permintaan dapat diterima tanpa verifikasi, dan penyerang dapat mengakses /api/exchanges dan mendapatkan kunci API lengkap serta kunci pribadi. Meskipun dalam mode “perlu otorisasi” telah ditambahkan JWT, jwt_secret default masih ada, jika variabel lingkungan tidak diatur, itu akan kembali ke kunci default. Selain itu, dalam mode ini, field sensitif masih diekspor dalam JSON asli, sehingga jika token dipalsukan atau dicuri, itu juga dapat menyebabkan kebocoran kunci. Slow Mist menyatakan bahwa hingga saat ini telah mengidentifikasi lebih dari 1k instance publik yang menggunakan konfigurasi rentan, dan telah berkoordinasi dengan tim keamanan Binance dan OKX untuk menyelesaikan penggantian kredensial terkait. Tim mengingatkan semua pengguna untuk segera memperbarui sistem, terutama pengguna yang menjalankan bot di Aster atau Hyperliquid harus segera memeriksa pengaturannya.