SlowMist đưa tin rằng hệ thống giao dịch tự động NOFXAI đã được phát hiện có lỗ hổng nghiêm trọng và cần được nâng cấp càng sớm càng tốt.

Tờ Planet Daily đưa tin, nhóm bảo mật SlowMist gần đây đã phân tích NOFX AI, một hệ thống giao dịch tương lai tự động nguồn mở dựa trên DeepSeek/Qwen, và phát hiện ra một số lỗ hổng xác thực nghiêm trọng. Họ chỉ ra rằng hệ thống có chế độ "không xác thực" trong cấu hình mặc định, với chế độ quản trị viên được bật trực tiếp, cho phép tất cả các yêu cầu được thông qua mà không cần xác minh. Kẻ tấn công có thể truy cập /api/exchanges và lấy được toàn bộ khóa API và khóa riêng tư.

Khi JWT được thêm vào ở chế độ "Yêu cầu ủy quyền", khóa jwt_secret mặc định vẫn tồn tại. Nếu biến môi trường không được thiết lập, nó sẽ trở về khóa mặc định. Hơn nữa, các trường nhạy cảm trong chế độ này vẫn được xuất ra dưới dạng JSON thô; nếu mã thông báo bị giả mạo hoặc đánh cắp, điều này cũng sẽ dẫn đến rò rỉ khóa.

SlowMist cho biết tính đến giữa tháng 11, họ đã xác định được hơn một nghìn trường hợp được triển khai công khai sử dụng các cấu hình dễ bị tấn công và đã phối hợp với đội ngũ bảo mật của Binance và OKX để thay thế các thông tin đăng nhập liên quan. Đội ngũ đã nhắc nhở tất cả người dùng nâng cấp hệ thống ngay lập tức, đặc biệt là những người đang chạy bot trên Aster hoặc Hyperliquid, những người nên kiểm tra cài đặt của mình càng sớm càng tốt.