SlowMist ta'kidlashicha, NOFX AI avtomatik savdo tizimida jiddiy zaiflik aniqlandi va tezda yangilanishi kerak

ChainCatcher xabariga ko‘ra, SlowMist xavfsizlik jamoasi yaqinda DeepSeek/Qwen asosidagi ochiq manbali avtomatlashtirilgan fyuchers savdo tizimi NOFX AI ni tahlil qilib, bir nechta jiddiy autentifikatsiya zaifliklarini aniqladi. Ular ta’kidlashicha, tizim standart sozlamalarda “nol autentifikatsiya” rejimiga ega bo‘lib, administrator rejimi to‘g‘ridan-to‘g‘ri yoqilgan, natijada barcha so‘rovlar tekshirilmasdan o‘tadi va hujumchilar /api/exchanges orqali to‘liq API kalitlari va maxfiy kalitlarni qo‘lga kiritishi mumkin. “Ruxsat talab qilinadigan” rejimda JWT qo‘shilgan bo‘lsa-da, standart jwt_secret hali ham mavjud, agar muhit o‘zgaruvchisi o‘rnatilmagan bo‘lsa, u standart kalitga qaytadi. Bundan tashqari, ushbu rejimda ham sezgir maydonlar asl JSON ko‘rinishida chiqariladi, token soxtalashtirilsa yoki o‘g‘irlanib qolsa, kalitlar oshkor bo‘lishi xavfi saqlanib qoladi.

SlowMist shuni ma’lum qildiki, hozirgacha mingdan ortiq ochiq joylashtirilgan instansiyalarda zaif konfiguratsiya ishlatilayotgani aniqlangan va birja xavfsizlik jamoasi bilan hamkorlikda tegishli ma’lumotlarni almashtirish yakunlangan. Jamoa barcha foydalanuvchilarga tizimni zudlik bilan yangilashni, ayniqsa Aster yoki Hyperliquid platformalarida robot ishlatayotgan foydalanuvchilar sozlamalarni tezda tekshirishlarini tavsiya qiladi.