Bug AI NOFX Mengungkap Kunci API, SlowMist Mengingatkan Risiko Besar

NOFX AI, sebuah sistem perdagangan otomatis sumber terbuka yang dibangun di atas DeepSeek/Qwen AI. Ini menghadapi krisis keamanan serius setelah SlowMist menemukan kerentanan. Kerentanan ini dapat mengekspos kunci API pertukaran dan kunci privat. Masalah ini mempengaruhi pengguna di berbagai pertukaran utama, termasuk Binance, Hyperliquid, dan Aster DEX. SlowMist kini mendesak para penyebar untuk mengambil tindakan segera sebelum penyerang memanfaatkan kelemahan ini untuk menguras dana.

Kelemahan Mode Admin Membuat Kunci Sepenuhnya Terpapar

SlowMist mulai menyelidiki sistem setelah menerima peringatan dari seorang peneliti keamanan komunitas. Tim dengan cepat menemukan bahwa beberapa versi NOFX AI dilengkapi dengan mode admin. Ini diaktifkan secara default dan lebih parahnya, sistem sama sekali tidak melakukan pemeriksaan autentikasi. Karena ini, siapa pun dapat dengan mudah mengunjungi endpoint publik /api/exchanges dan segera mengambil data sensitif. Seperti kunci API, kunci rahasia, dan kunci dompet pribadi.

Masalah ini muncul dari sebuah commit yang dipublikasikan pada 31 Oktober. Yang mengatur mode admin menjadi “true” dalam file konfigurasi dan skrip migrasi basis data. Server kemudian melewatkan semua otorisasi kapan pun mode admin aktif. Dalam istilah sederhana, setiap instance NOFX AI yang berjalan dengan pengaturan default secara efektif tidak terkunci. Artinya, siapa pun yang memiliki tautan bisa masuk dan mengambil kunci, secara harfiah.

Upaya Patch Tidak Memperbaiki Masalah Inti

Pengembang mencoba mengatasi masalah ini pada 5 November dengan menambahkan verifikasi token JWT. Namun, SlowMist menemukan bahwa patch tersebut hampir tidak mengubah situasi. Konfigurasi default masih dikirim dengan rahasia JWT yang diketahui publik. Ini memungkinkan penyerang untuk menghasilkan token yang valid dan terus mengakses titik akhir sensitif. Lebih buruk lagi, selain itu, titik akhir /api/exchanges inti terus mengembalikan bidang sensitif dalam JSON biasa; tidak ada yang disembunyikan atau dienkripsi.

SlowMist juga mengonfirmasi bahwa cabang pengembangan terbaru masih berisi:

• Mode admin diatur ke “true” secara default
• Kunci JWT default dibiarkan tidak tersentuh
• Data sensitif dikembalikan tanpa batasan

Karena cabang utama masih menggunakan versi lama tanpa otentikasi, ribuan penerapan tetap terbuka lebar di internet publik.

Binance dan OKX Langkah Masuk untuk Melindungi Pengguna

Setelah SlowMist menyadari skala paparan tersebut. Mereka menghubungi Binance dan OKX untuk mengoordinasikan langkah-langkah perlindungan darurat. Bersama-sama, tim melakukan tinjauan terhadap kunci API yang terpengaruh dan melakukan reset paksa bagi pengguna yang berisiko. Semua pengguna CEX yang terdampak sekarang telah diberi tahu, dan kunci mereka telah dicabut. Namun, tim tidak dapat menjangkau semua pengguna Aster dan Hyperliquid karena struktur dompet terdesentralisasi. SlowMist sekarang mendesak siapa pun yang menggunakan NOFX AI di platform ini untuk segera meninjau pengaturan mereka.

Pengguna Diberitahu untuk Menonaktifkan Mode Admin dan Mengganti Kunci Sekarang

SlowMist merekomendasikan semua pengembang:

• Nonaktifkan mode admin segera
• Ganti semua kunci API dan kunci pribadi
• Ubah rahasia JWT menjadi nilai yang kuat dan acak
• Batasi titik akhir sensitif
• Hindari mengekspos NOFX AI langsung ke internet publik

Alat perdagangan AI sumber terbuka berkembang pesat. Namun, kasus ini menyoroti risiko menerapkan sistem tahap awal tanpa audit keamanan yang lengkap. Sampai NOFX AI sepenuhnya memperbaiki kekurangan ini, pengguna harus menganggap setiap penerapan publik sebagai berisiko tinggi.