SlowMist は、NOFXAI 自動取引システムに重大な脆弱性が見つかったため、早急にアップグレードする必要があると報告しています。

Odaily Planet Dailyによると、SlowMistのセキュリティチームは最近、DeepSeek/Qwenをベースとしたオープンソースの自動先物取引システム「NOFX AI」を分析し、深刻な認証脆弱性をいくつか発見しました。チームは、システムのデフォルト設定で「ゼロ認証」モードが設定されており、管理者モードが直接有効化されているため、すべてのリクエストが検証なしで通過できると指摘しています。攻撃者は/api/exchangesにアクセスし、完全なAPIキーと秘密鍵を入手することが可能となります。

「Authorization Required」モードでJWTが追加されても、デフォルトのjwt_secretは依然として存在します。環境変数が設定されていない場合は、デフォルトのキーに戻ります。さらに、このモードでは機密性の高いフィールドは生のJSONとして出力されるため、トークンが偽造または盗難された場合、キー漏洩につながる可能性があります。

SlowMistは、11月中旬時点で、脆弱な設定を使用している公開インスタンスを1,000件以上特定し、BinanceおよびOKXのセキュリティチームと連携して関連する認証情報を更新したと発表した。チームは、すべてのユーザーに対し、特にAsterまたはHyperliquidでボットを実行しているユーザーに対し、システムの即時アップグレードを強く推奨し、設定を早急に確認するよう呼びかけた。