تحذير SlowMist من خطر كبير: خطأ NOFX AI يكشف مفاتيح API

2025-11-17 05:57:02

NOFX AI، نظام تداول آلي مفتوح المصدر يعتمد على DeepSeek/Qwen AI. يواجه أزمة أمان خطيرة بعد أن كشفت SlowMist عن ثغرات. قد تؤدي هذه الثغرات إلى كشف مفاتيح API الخاصة بالتبادل والمفاتيح الخاصة. تؤثر المشكلة على المستخدمين عبر التبادلات الكبرى، بما في ذلك Binance وHyperliquid وAster DEX. الآن، تحث SlowMist المنفذين على اتخاذ إجراءات فورية قبل أن يستغل المهاجمون هذه الثغرات لتفريغ الأموال.

عيب وضع الإدارة يكشف المفاتيح بالكامل

بدأت SlowMist التحقيق في النظام بعد تلقي تحذير من باحث أمني في المجتمع. اكتشفت الفريق بسرعة أن عدة إصدارات من NOFX AI تم شحنها مع وضع الإدارة. إنه مفعل بشكل افتراضي والأسوأ من ذلك، أن النظام لم يقم بأي فحوصات تحقق على الإطلاق. بسبب ذلك، كان بإمكان أي شخص ببساطة زيارة نقطة النهاية العامة /api/exchanges واسترداد بيانات حساسة على الفور. مثل مفاتيح API، مفاتيح سرية ومفاتيح محفظة خاصة.

نشأت هذه المشكلة من الالتزام الذي نُشر في 31 أكتوبر. والذي قام بتشفير وضع المسؤول كـ “true” في ملف التكوين ونصوص ترحيل قاعدة البيانات. ثم تخطى الخادم جميع عمليات التفويض عندما كان وضع المسؤول نشطًا. ببساطة، أي مثيل من NOFX AI يعمل بالإعدادات الافتراضية كان مفتوحًا فعليًا. وهذا يعني أن أي شخص لديه الرابط يمكنه الدخول وأخذ المفاتيح، حرفيًا.

محاولات التصحيح لم تحل المشكلة الأساسية

حاول المطورون معالجة المشكلة في 5 نوفمبر من خلال إضافة تحقق من رمز JWT. ومع ذلك، وجدت SlowMist أن التصحيح بالكاد غيّر الوضع. لا تزال التهيئة الافتراضية تأتي مع سر JWT معروف للجمهور. هذا يسمح للمهاجمين بإنشاء رموز صالحة ومواصلة الوصول إلى نقاط النهاية الحساسة. والأسوأ من ذلك، أن نقطة النهاية الأساسية /api/exchanges استمرت في إرجاع حقول حساسة في JSON عادي؛ لم يتم إخفاء أي شيء أو تشفيره.

أكدت SlowMist أيضًا أن الفرع الأخير من المطور لا يزال يحتوي على:

تم تعيين وضع المسؤول إلى “true” افتراضيًا
مفاتيح JWT الافتراضية لم تمس
البيانات الحساسة عادت دون قيود

لأن الفرع الرئيسي لا يزال يستخدم النسخة القديمة التي لا تتطلب مصادقة، تظل الآلاف من عمليات النشر مفتوحة على الإنترنت العامة.

بينانس و OKX تتدخلان لحماية المستخدمين

عندما أدركت SlowMist حجم التعرض. اتصلوا بـ Binance و OKX لتنسيق تدابير الحماية الطارئة. معًا، قامت الفرق بمراجعة مفاتيح API المتأثرة وإعادة ضبطها بشكل قسري للمستخدمين المعرضين للخطر. تم الآن إبلاغ جميع مستخدمي CEX المتأثرين، وتم إلغاء مفاتيحهم. ومع ذلك، لم تتمكن الفرق من الوصول إلى جميع مستخدمي Aster و Hyperliquid بسبب هياكل المحفظة اللامركزية. تحث SlowMist الآن أي شخص يستخدم NOFX AI على هذه المنصات لمراجعة إعداداته على الفور.

تم إخبار المستخدمين بتعطيل وضع المسؤول واستبدال المفاتيح الآن

SlowMist توصي جميع المنفذين:

تعطيل وضع الإدارة على الفور
استبدل جميع مفاتيح API والمفاتيح الخاصة
قم بتغيير سر JWT إلى قيمة عشوائية قوية
تقييد النقاط النهائية الحساسة
تجنب تعريض NOFX AI مباشرةً للإنترنت العام

تتزايد أدوات التداول بالذكاء الاصطناعي مفتوحة المصدر بسرعة. لكن هذه الحالة توضح المخاطر المرتبطة بنشر الأنظمة في مراحلها المبكرة دون تدقيقات أمان كاملة. حتى تقوم NOFX AI بإصلاح هذه العيوب بالكامل، يجب على المستخدمين اعتبار أي نشر عام على أنه عالي المخاطر.

MAJOR2.25%

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.