Компания Slow Mist объявила о серьезной уязвимости в автоматической торговой системе NOFX AI, которую необходимо срочно обновить.

Согласно сообщениям Mars Finance, команда Slow Mist недавно проанализировала систему автоматизированной торговли фьючерсами NOFX AI на основе DeepSeek/Qwen с открытым исходным кодом и обнаружила несколько серьезных уязвимостей в верификации. В системе в режиме “нулевой верификации” по умолчанию включен администраторский режим, что позволяет всем запросам проходить без проверки, в результате чего злоумышленники могут получить доступ к /api/exchanges и получить полный API Секретный ключ и Закрытый ключ. Хотя в режиме “требуется авторизация” добавлен JWT, по умолчанию все еще присутствует jwt_secret, и если переменная окружения не установлена, она вернется к значению по умолчанию. Кроме того, в этом режиме чувствительные поля все еще выводятся в оригинальном JSON, и если токен будет подделан или украден, это также приведет к утечке Секретного ключа. Slow Mist сообщает, что на данный момент было выявлено более тысячи экземпляров публичного развертывания с уязвимой конфигурацией, и была проведена координация с командами безопасности Binance и OKX для замены соответствующих учетных данных. Команда призывает всех пользователей немедленно обновить систему, особенно пользователей, работающих с Боты на Aster или Hyperliquid, чтобы как можно скорее проверить настройки.