SlowMistは、NOFX AI自動取引システムに重大な脆弱性が発見され、早急なアップグレードが必要であると発表

ChainCatcherのニュースによると、SlowMistセキュリティチームは最近、DeepSeek/Qwenベースのオープンソース自動化先物取引システムNOFX AIを分析し、複数の重大な認証脆弱性を発見しました。チームによれば、システムはデフォルト設定で「ゼロ認証」モードが存在し、管理者モードが直接有効化されているため、すべてのリクエストが認証なしで通過でき、攻撃者は/api/exchangesにアクセスして完全なAPIキーと秘密鍵を取得することが可能です。「認可が必要」モードではJWTが追加されていますが、デフォルトのjwt_secretが依然として存在し、環境変数が設定されていない場合はデフォルトキーにフォールバックします。さらに、このモードでも機密フィールドが元のJSONで出力されるため、トークンが偽造または盗まれた場合、同様にキーの漏洩につながります。

SlowMistは、これまでに1,000件を超える公開デプロイメントインスタンスが脆弱な設定で使用されていることを確認しており、ある取引所のセキュリティチームと連携して関連する認証情報の交換を完了したと述べています。チームはすべてのユーザーに対し、システムを直ちにアップグレードするよう呼びかけており、特にAsterまたはHyperliquid上でボットを運用しているユーザーは、速やかに設定を確認するよう注意を促しています。