SlowMist menyatakan bahwa sistem perdagangan otomatis NOFX AI mengungkapkan kerentanan serius dan perlu segera diperbarui

Menurut ChainCatcher, tim keamanan SlowMist baru-baru ini menganalisis sistem perdagangan futures otomatis open source NOFX AI yang berbasis DeepSeek/Qwen, dan menemukan beberapa kerentanan autentikasi serius. Mereka menunjukkan bahwa sistem ini, dalam konfigurasi default, memiliki mode "tanpa autentikasi", di mana mode administrator diaktifkan secara langsung sehingga semua permintaan dapat lolos tanpa verifikasi. Penyerang dapat mengakses /api/exchanges dan memperoleh kunci API serta kunci privat secara lengkap. Dalam mode "memerlukan otorisasi", meskipun telah ditambahkan JWT, namun jwt_secret default tetap ada. Jika variabel lingkungan tidak diatur, maka akan kembali ke kunci default. Selain itu, pada mode ini, field sensitif masih ditampilkan dalam format JSON asli, sehingga jika token dipalsukan atau dicuri, hal ini juga dapat menyebabkan kebocoran kunci.

SlowMist menyatakan bahwa hingga saat ini telah diidentifikasi lebih dari seribu instance deployment publik yang menggunakan konfigurasi rentan, dan telah berkoordinasi dengan tim keamanan salah satu exchange untuk menyelesaikan penggantian kredensial terkait. Tim mengingatkan semua pengguna untuk segera memperbarui sistem, terutama bagi pengguna yang menjalankan bot di Aster atau Hyperliquid agar segera memeriksa pengaturan mereka.