SlowMist segnala che il sistema di trading automatico NOFX AI presenta una grave vulnerabilità e necessita di un aggiornamento urgente

Secondo ChainCatcher, il team di sicurezza SlowMist ha recentemente analizzato il sistema di trading automatico di futures open source NOFX AI, basato su DeepSeek/Qwen, scoprendo molteplici gravi vulnerabilità di autenticazione. È stato rilevato che, nella configurazione predefinita, il sistema presenta una modalità “zero autenticazione”, in cui la modalità amministratore è attivata direttamente, consentendo a tutte le richieste di essere accettate senza verifica. Gli attaccanti possono così accedere a /api/exchanges e ottenere le chiavi API e le chiavi private complete. Anche nella modalità “autorizzazione richiesta”, sebbene sia stato aggiunto JWT, il jwt_secret predefinito rimane presente e, se la variabile d'ambiente non viene impostata, si torna alla chiave predefinita. Inoltre, in questa modalità, i campi sensibili vengono ancora restituiti come JSON originale, quindi se il token viene falsificato o rubato, si verifica comunque una fuga di chiavi.

SlowMist ha dichiarato che, fino ad ora, sono stati identificati oltre mille istanze pubbliche distribuite con configurazioni vulnerabili e che, in coordinamento con il team di sicurezza di una piattaforma di trading, sono state sostituite le credenziali interessate. Il team raccomanda a tutti gli utenti di aggiornare immediatamente il sistema, in particolare agli utenti che eseguono bot su Aster o Hyperliquid di controllare al più presto le proprie impostazioni.