NOFX AI Bug Expone Claves API, SlowMist Advierte de un Riesgo Mayor

NOFX AI, un sistema de intercambio automatizado de código abierto construido sobre DeepSeek/Qwen AI. Está enfrentando una grave crisis de seguridad después de que SlowMist descubriera vulnerabilidades. Esto podría exponer las claves API del intercambio y las claves privadas. El problema afecta a usuarios en los principales intercambios, incluidos Binance, Hyperliquid y Aster DEX. SlowMist ahora insta a los implementadores a tomar medidas inmediatas antes de que los atacantes exploten estas debilidades para drenar fondos.

El fallo en el modo administrador deja las claves completamente expuestas

SlowMist comenzó a investigar el sistema después de recibir una advertencia de un investigador de seguridad de la comunidad. El equipo descubrió rápidamente que varias versiones de NOFX AI se enviaron con el modo de administrador. Está habilitado por defecto y, lo que es peor, el sistema no realizó ninguna verificación de autenticación. Debido a esto, cualquiera podría simplemente visitar el endpoint público /api/exchanges y recuperar instantáneamente datos sensibles. Como claves API, claves secretas y claves de billetera privada.

Este problema surgió de un commit publicado el 31 de octubre. Que codificó el modo administrador en “true” en el archivo de configuración y en los scripts de migración de la base de datos. El servidor luego ignoró toda autorización siempre que el modo administrador estuviera activo. En términos simples, cualquier instancia de NOFX AI que funcionara con la configuración predeterminada estaba efectivamente desbloqueada. Es decir, cualquiera con el enlace podría entrar y tomar las llaves, literalmente.

Los intentos de parche no solucionaron el problema central

Los desarrolladores intentaron abordar el problema el 5 de noviembre agregando verificación de tokens JWT. Sin embargo, SlowMist encontró que el parche apenas cambió la situación. La configuración predeterminada todavía se enviaba con un secreto JWT de conocimiento público. Esto permite a los atacantes generar tokens válidos y continuar accediendo a puntos finales sensibles. Aún peor, además, el punto final /api/exchanges continuó devolviendo campos sensibles en JSON plano; nada fue enmascarado o cifrado.

SlowMist también confirmó que la rama de desarrollo más reciente aún contenía:

• Modo administrador configurado como “true” por defecto
• Claves JWT predeterminadas sin tocar
• Datos sensibles devueltos sin restricción

Porque la rama principal todavía utiliza la versión anterior, sin autenticación, miles de implementaciones permanecen completamente abiertas en Internet público.

Binance y OKX intervienen para proteger a los usuarios

Una vez que SlowMist se dio cuenta de la magnitud de la exposición. Contactaron a Binance y OKX para coordinar medidas de protección de emergencia. Juntas, las equipos revisaron las claves API afectadas y forzaron restablecimientos para los usuarios en riesgo. Todos los usuarios de CEX afectados han sido notificados, y sus claves han sido revocadas. Sin embargo, los equipos no pudieron comunicarse con todos los usuarios de Aster y Hyperliquid debido a las estructuras de billetera descentralizadas. SlowMist ahora insta a cualquier persona que use NOFX AI en estas plataformas a revisar su configuración de inmediato.

Usuarios aconsejados a desactivar el modo administrador y reemplazar las claves ahora

SlowMist recomienda a todos los desplegadores:

• Desactivar el modo administrador inmediatamente
• Reemplace todas las claves API y claves privadas
• Cambia el secreto JWT a un valor fuerte y aleatorio
• Restringir puntos finales sensibles
• Evitar exponer NOFX AI directamente a Internet público

Las herramientas de trading de IA de código abierto están creciendo rápidamente. Pero este caso resalta los riesgos de implementar sistemas en etapas tempranas sin auditorías de seguridad completas. Hasta que NOFX AI solucione completamente estos fallos, los usuarios deben tratar cualquier implementación pública como de alto riesgo.