Slow Fog cho biết hệ thống giao dịch tự động NOFX AI đã phát hiện lỗ hổng nghiêm trọng cần được nâng cấp gấp.

Theo tin tức từ Mars Finance, đội ngũ bảo mật Slow Mist gần đây đã phân tích hệ thống giao dịch tương lai tự động mã nguồn mở NOFX AI dựa trên DeepSeek/Qwen và phát hiện nhiều lỗ hổng xác minh nghiêm trọng. Họ chỉ ra rằng hệ thống có chế độ “không xác minh” trong cấu hình mặc định, chế độ quản trị đã được kích hoạt trực tiếp, khiến mọi yêu cầu đều không cần xác thực có thể thông qua, kẻ tấn công có thể truy cập /api/exchanges và lấy được đầy đủ khóa API và khóa riêng. Mặc dù chế độ “cần ủy quyền” đã thêm JWT, nhưng jwt_secret mặc định vẫn tồn tại, nếu không đặt biến môi trường sẽ quay lại khóa mặc định. Hơn nữa, trong chế độ này, các trường nhạy cảm vẫn được xuất ra ở định dạng JSON nguyên bản, nếu token bị giả mạo hoặc đánh cắp, cũng sẽ dẫn đến việc lộ khóa. Slow Mist cho biết, tính đến thời điểm hiện tại đã xác định hơn k instance công khai sử dụng cấu hình yếu và đã phối hợp với đội ngũ bảo mật của Binance và OKX để hoàn tất việc thay thế giấy tờ liên quan. Đội ngũ nhắc nhở tất cả người dùng ngay lập tức nâng cấp hệ thống, đặc biệt là những người đang chạy Bots trên Aster hoặc Hyperliquid cần nhanh chóng kiểm tra cài đặt.