SlowMist signale une faille critique dans le système de trading automatique NOFX AI nécessitant une mise à niveau urgente

Selon ChainCatcher, l'équipe de sécurité SlowMist a récemment analysé le système de trading automatisé de contrats à terme open source NOFX AI, basé sur DeepSeek/Qwen, et a découvert plusieurs vulnérabilités d'authentification critiques. Ils ont indiqué que, dans la configuration par défaut, le système présente un mode « zéro authentification » où le mode administrateur est activé directement, permettant à toutes les requêtes de passer sans vérification. Un attaquant peut accéder à /api/exchanges et obtenir l'intégralité des clés API et des clés privées. En mode « autorisation requise », bien qu'un JWT soit ajouté, le jwt_secret par défaut subsiste ; si la variable d'environnement n'est pas définie, la clé par défaut sera utilisée. De plus, dans ce mode, les champs sensibles sont toujours affichés dans le JSON brut, et si le jeton est falsifié ou volé, cela entraînera également une fuite des clés.

SlowMist indique qu'à ce jour, plus d'un millier d'instances déployées publiquement utilisant une configuration vulnérable ont été identifiées, et qu'ils ont déjà coordonné avec l'équipe de sécurité d'une bourse pour remplacer les identifiants concernés. L'équipe rappelle à tous les utilisateurs de mettre à jour immédiatement leur système, en particulier ceux qui exécutent des robots sur Aster ou Hyperliquid, qui devraient vérifier leurs paramètres au plus vite.