SlowMist afirma que o sistema de negociação automática NOFX AI apresenta uma vulnerabilidade grave e precisa ser atualizado urgentemente

De acordo com o ChainCatcher, a equipe de segurança da SlowMist analisou recentemente o sistema automatizado de negociação de futuros open-source NOFX AI, baseado em DeepSeek/Qwen, e identificou várias vulnerabilidades graves de autenticação. Eles apontaram que, na configuração padrão, o sistema possui um modo de “zero autenticação”, onde o modo administrador é ativado diretamente, permitindo que todas as solicitações sejam aprovadas sem verificação. Com isso, um invasor pode acessar /api/exchanges e obter chaves de API e chaves privadas completas. No modo “autorização necessária”, embora o JWT tenha sido adicionado, o jwt_secret padrão ainda existe e, se a variável de ambiente não for definida, o sistema retorna à chave padrão. Além disso, neste modo, campos sensíveis ainda são exibidos em JSON bruto, e se o token for falsificado ou roubado, também pode resultar em vazamento de chaves.

A SlowMist afirmou que, até o momento, já identificou mais de mil instâncias públicas implantadas utilizando configurações vulneráveis e já coordenou com a equipe de segurança de uma exchange para substituir as credenciais relacionadas. A equipe alerta todos os usuários a atualizarem imediatamente o sistema, especialmente aqueles que operam robôs na Aster ou Hyperliquid, que devem verificar suas configurações o quanto antes.