SlowMist는 NOFXAI 자동 거래 시스템에 심각한 취약점이 발견되었으며 가능한 한 빨리 업그레이드가 필요하다고 보고했습니다.

Odaily Planet Daily에 따르면 SlowMist 보안팀은 최근 DeepSeek/Qwen 기반 오픈소스 자동 선물 거래 시스템인 NOFX AI를 분석하여 몇 가지 심각한 인증 취약점을 발견했습니다. 해당 시스템은 기본 설정에서 "제로 인증" 모드를 사용하고 있으며, 관리자 모드가 직접 활성화되어 있어 모든 요청이 검증 없이 통과될 수 있다고 지적했습니다. 공격자는 /api/exchanges에 접근하여 전체 API 키와 개인 키를 획득할 수 있습니다.

JWT가 "인증 필요" 모드에서 추가되더라도 기본 jwt_secret은 여전히 존재합니다. 환경 변수가 설정되지 않으면 기본 키로 돌아갑니다. 또한, 이 모드에서 민감한 필드는 여전히 원시 JSON으로 출력됩니다. 토큰이 위조되거나 도난당할 경우 키 유출로 이어질 수 있습니다.

SlowMist는 11월 중순 기준으로 취약한 구성을 사용하는 1,000개 이상의 공개 배포 인스턴스를 확인했으며, 바이낸스 및 OKX 보안팀과 협력하여 관련 자격 증명을 교체했다고 밝혔습니다. 해당 팀은 모든 사용자, 특히 Aster 또는 Hyperliquid에서 봇을 실행하는 사용자는 즉시 시스템을 업그레이드하고 설정을 점검할 것을 당부했습니다.