Sinabi ng SlowMist na ang NOFX AI automated trading system ay may seryosong kahinaan at kailangang agad na i-upgrade.

Ayon sa ChainCatcher, kamakailan ay nagsagawa ng pagsusuri ang SlowMist security team sa NOFX AI, isang open-source automated futures trading system na nakabase sa DeepSeek/Qwen, at natuklasan ang ilang seryosong authentication vulnerabilities. Tinukoy nila na sa default na configuration ng sistema, mayroong "zero authentication" mode kung saan direktang naka-enable ang admin mode, kaya't lahat ng request ay maaaring makalusot nang walang beripikasyon. Dahil dito, maaaring ma-access ng attacker ang /api/exchanges at makuha ang buong API key at private key. Sa "authorization required" mode, bagaman may idinagdag na JWT, ang default na jwt_secret ay nananatili pa rin, at kung hindi ito na-set sa environment variable ay babalik ito sa default key. Bukod dito, sa mode na ito, ang mga sensitibong field ay naka-output pa rin bilang raw JSON, kaya't kapag na-fake o nanakaw ang token, maaari pa ring magdulot ng key leakage.

Ipinahayag ng SlowMist na hanggang sa kasalukuyan, mahigit isang libong public deployment instances ang natukoy na gumagamit ng mahina o vulnerable na configuration, at nakipag-ugnayan na sila sa security team ng isang exchange upang palitan ang mga kaugnay na credentials. Pinapaalalahanan ng team ang lahat ng user na agad na i-upgrade ang kanilang system, lalo na yaong mga nagpapatakbo ng robot sa Aster o Hyperliquid, na dapat suriin agad ang kanilang mga setting.