Повільний туман заявляє, що система автоматичної торгівлі NOFX AI має серйозну вразливість, яку необхідно терміново оновити.

За повідомленнями Mars Finance, команда Slow Mist нещодавно проаналізувала відкритий автоматизований ф'ючерсний торговий система NOFX AI на базі DeepSeek/Qwen і виявила кілька серйозних вразливостей у верифікації. Вони вказують, що система в режимі за замовчуванням має “нульову верифікацію”, а режим адміністратора активовано безпосередньо, що дозволяє всім запитам проходити без перевірки, а зловмисники можуть отримати доступ до /api/exchanges і отримати повний API ключ та Закритий ключ. У режимі “необхідна авторизація” хоча й додано JWT, але за замовчуванням jwt_secret все ще існує, якщо змінна середовища не налаштована, вона повернеться до стандартного секретного ключа. Крім того, у цьому режимі чутливі поля все ще виводяться у первісному JSON форматі, і якщо токен буде підроблений або вкрадений, це також призведе до витоку ключа. Slow Mist зазначає, що на сьогоднішній день було виявлено понад k відкритих екземплярів з вразливими конфігураціями, і вже погоджено з командами безпеки Binance та OKX про заміну відповідних облікових даних. Команда закликає всіх користувачів терміново оновити систему, особливо користувачів, які запускають Боти на Aster або Hyperliquid, слід якомога швидше перевірити налаштування.