A Slow Mist afirma que o sistema de negociação automática NOFX AI apresenta uma grave vulnerabilidade que precisa de ser atualizado rapidamente.

Segundo notícias da Mars Finance, a equipe de segurança SlowMist analisou recentemente o sistema de negociação automatizado de futuros de código aberto NOFX AI, baseado em DeepSeek/Qwen, e descobriu várias vulnerabilidades graves de verificação. A equipe apontou que, na configuração padrão, o sistema apresenta um modo de “zero verificação”, onde o modo administrador é ativado diretamente, permitindo que todas as solicitações passem sem verificação, e os atacantes podem acessar /api/exchanges e obter a chave API completa e a Chave privada. Embora no modo “autorização necessária” tenha sido adicionado JWT, o jwt_secret padrão ainda está presente e, se a variável de ambiente não for configurada, retornará à chave padrão. Além disso, neste modo, os campos sensíveis ainda são exibidos na saída JSON original, e uma vez que o token seja falsificado ou roubado, isso também poderá levar ao vazamento da Chave Secreta. A SlowMist afirmou que, até o momento, identificou mais de k instâncias de implementação pública utilizando configurações vulneráveis, e já coordenou com as equipes de segurança da Binance e OKX para concluir a substituição dos credenciais relevantes. A equipe alerta todos os usuários a atualizarem imediatamente seus sistemas, especialmente aqueles que executam Bots na Aster ou Hyperliquid, que devem verificar suas configurações o mais rápido possível.