Bug de IA da NOFX expõe chaves de API, SlowMist alerta para risco maior

NOFX AI, um sistema de negociação automatizado de código aberto construído em DeepSeek/Qwen AI. Está enfrentando uma grave crise de segurança após a SlowMist descobrir vulnerabilidades. Isso poderia expor chaves API de exchange e chaves privadas. O problema afeta usuários em grandes exchanges, incluindo Binance, Hyperliquid e Aster DEX. A SlowMist agora insta os implementadores a tomarem medidas imediatas antes que os atacantes explorem essas fraquezas para drenar fundos.

Falha no Modo Admin Deixa Chaves Totalmente Expostas

A SlowMist começou a investigar o sistema após receber um aviso de um pesquisador de segurança da comunidade. A equipe rapidamente descobriu que várias versões do NOFX AI foram enviadas com o modo de administrador. Ele está ativado por padrão e, pior, o sistema não realizava nenhuma verificação de autenticação. Por causa disso, qualquer pessoa poderia simplesmente visitar o endpoint público /api/exchanges e recuperar instantaneamente dados sensíveis. Como chaves de API, chaves secretas e chaves de carteira privada.

Este problema surgiu de um commit publicado a 31 de outubro. Que codificou o modo de administrador como “true” no arquivo de configuração e nos scripts de migração de base de dados. O servidor então ignorou toda a autorização sempre que o modo de administrador estava ativo. Em termos simples, qualquer instância do NOFX AI a correr com as definições padrão estava efetivamente desbloqueada. Ou seja, qualquer pessoa com o link poderia entrar e levar as chaves, literalmente.

As Tentativas de Patch Não Resolveram o Problema Central

Os desenvolvedores tentaram resolver o problema em 5 de novembro, adicionando a verificação do token JWT. No entanto, a SlowMist descobriu que o patch mal alterou a situação. A configuração padrão ainda vinha com um segredo JWT publicamente conhecido. Isso permite que os atacantes gerem tokens válidos e continuem a acessar pontos finais sensíveis. Pior ainda, além disso, o endpoint core /api/exchanges continuou a retornar campos sensíveis em JSON simples; nada foi mascarado ou encriptado.

A SlowMist também confirmou que a branch de desenvolvimento mais recente ainda continha:

• Modo de administrador definido como “true” por default
• Chaves JWT padrão deixadas inalteradas
• Dados sensíveis retornados sem restrição

Porque a branch principal ainda utiliza a versão mais antiga, sem autenticação, milhares de implementações permanecem amplamente abertas na internet pública.

Binance e OKX Intervêm para Proteger os Usuários

Assim que a SlowMist percebeu a magnitude da exposição, contactou a Binance e a OKX para coordenar medidas de proteção de emergência. Juntas, as equipas analisaram as chaves API afetadas e forçaram redefinições para os utilizadores em risco. Todos os utilizadores CEX impactados foram agora notificados e as suas chaves foram revogadas. No entanto, as equipas não conseguiram alcançar todos os utilizadores da Aster e da Hyperliquid devido às estruturas de carteiras descentralizadas. A SlowMist agora exorta qualquer pessoa que utilize a NOFX AI nestas plataformas a rever a sua configuração imediatamente.

Utilizadores avisados para desativar o Modo Administrador e substituir as Chaves agora

A SlowMist recomenda a todos os implementadores:

• Desativar o modo de administrador imediatamente
• Substitua todas as chaves API e chaves privadas
• Altere o segredo JWT para um valor forte e aleatório
• Restringir pontos finais sensíveis
• Evite expor o NOFX AI diretamente à internet pública

As ferramentas de negociação de IA de código aberto estão a crescer rapidamente. Mas este caso destaca os riscos de implementar sistemas em fase inicial sem auditorias de segurança completas. Até que a NOFX AI corrija completamente estas falhas, os utilizadores devem tratar qualquer implementação pública como de alto risco.