SlowMist advierte que el sistema de trading automático NOFX AI presenta una vulnerabilidad grave y necesita una actualización urgente

Según ChainCatcher, el equipo de seguridad SlowMist analizó recientemente el sistema de trading automatizado de futuros de código abierto NOFX AI, basado en DeepSeek/Qwen, y descubrió múltiples vulnerabilidades graves de autenticación. Señalan que, en la configuración predeterminada, el sistema presenta un modo de “cero autenticación”, donde el modo administrador se activa directamente, permitiendo que todas las solicitudes sean aprobadas sin verificación. Esto permite a los atacantes acceder a /api/exchanges y obtener claves API y claves privadas completas. En el modo “requiere autorización” se añade JWT, pero el jwt_secret predeterminado sigue existiendo, y si no se configura la variable de entorno, se revertirá a la clave predeterminada. Además, en este modo, los campos sensibles aún se muestran en JSON original, por lo que si el token es falsificado o robado, también puede provocar la filtración de claves.

SlowMist indicó que, hasta el momento, se han identificado más de mil instancias públicas desplegadas utilizando configuraciones vulnerables, y ya se ha coordinado con el equipo de seguridad de un exchange para completar el reemplazo de las credenciales correspondientes. El equipo recomienda a todos los usuarios actualizar el sistema de inmediato, especialmente a aquellos que ejecutan bots en Aster o Hyperliquid, quienes deben revisar su configuración lo antes posible.