SlowMist заявляє, що в автоматизованій торговій системі NOFX AI виявлено серйозну уразливість, яку необхідно якнайшвидше усунути шляхом оновлення

ChainCatcher повідомляє, що команда безпеки SlowMist нещодавно проаналізувала відкриту автоматизовану систему ф'ючерсної торгівлі NOFX AI, засновану на DeepSeek/Qwen, і виявила кілька серйозних вразливостей автентифікації. Зокрема, система у стандартній конфігурації має режим "нульової автентифікації", коли адміністративний режим активується безпосередньо, що дозволяє проходити всі запити без перевірки. Атакуючі можуть отримати доступ до /api/exchanges і отримати повні API-ключі та приватні ключі. У режимі "потрібна авторизація" додано JWT, але стандартний jwt_secret все ще існує, і якщо змінна середовища не встановлена, система повертається до стандартного ключа. Крім того, у цьому режимі чутливі поля все ще виводяться у вигляді сирого JSON, тому якщо токен буде підроблений або викрадений, це також призведе до витоку ключів.

SlowMist зазначає, що наразі ідентифіковано понад тисячу публічно розгорнутих інстанцій із вразливою конфігурацією, і вже проведено координацію з командою безпеки однієї з бірж для заміни відповідних облікових даних. Команда закликає всіх користувачів негайно оновити систему, особливо тих, хто запускає роботів на Aster або Hyperliquid, і якнайшвидше перевірити налаштування.