NOFX AI ошибка раскрывает ключи API, SlowMist предупреждает о серьезном риске

NOFX AI, открытая автоматизированная торговая система, построенная на DeepSeek/Qwen AI. Она столкнулась с серьезным кризисом безопасности после того, как SlowMist обнаружила уязвимости. Это может привести к раскрытию ключей API биржи и частных ключей. Проблема затрагивает пользователей на основных биржах, включая Binance, Hyperliquid и Aster DEX. SlowMist теперь призывает развертывателей принять срочные меры, прежде чем злоумышленники воспользуются этими слабостями для вывода средств.

Уязвимость режима администратора оставляет ключи полностью открытыми

SlowMist начала расследование системы после получения предупреждения от исследователя безопасности сообщества. Команда быстро обнаружила, что несколько версий NOFX AI были выпущены с администраторским режимом. Он включен по умолчанию и, что еще хуже, система вообще не выполняла проверку подлинности. Из-за этого любой мог просто посетить публичный /api/exchanges конечный пункт и мгновенно получить доступ к конфиденциальным данным. Таким как API ключи, секретные ключи и ключи частного кошелька.

Эта проблема возникла из-за коммита, опубликованного 31 октября. В котором администраторский режим был жестко закодирован на “true” в конфигурационном файле и скриптах миграции базы данных. Сервер затем пропускал всю авторизацию, когда администраторский режим был активен. Проще говоря, любой экземпляр NOFX AI, работающий с настройками по умолчанию, был фактически разблокирован. То есть, любой, у кого была ссылка, мог зайти и забрать ключи, буквально.

Попытки патча не исправили основную проблему

Разработчики попытались решить проблему 5 ноября, добавив проверку токенов JWT. Однако SlowMist обнаружил, что патч едва изменил ситуацию. Конфигурация по умолчанию все еще поставлялась с общедоступным секретом JWT. Это позволяет злоумышленникам генерировать действительные токены и продолжать доступ к конфиденциальным конечным точкам. Что еще хуже, основной конечный пункт /api/exchanges продолжал возвращать конфиденциальные поля в открытом JSON; ничего не было замаскировано или зашифровано.

SlowMist также подтвердил, что в самом последнем dev-ветке все еще содержалось:

• Режим администратора установлен на “true” по умолчанию
• Ключи JWT по умолчанию остались нетронутыми
• Чувствительные данные возвращены без ограничений

Поскольку основная ветка все еще использует старую версию без аутентификации, тысячи развертываний остаются открытыми в публичном интернете.

Binance и OKX вмешиваются, чтобы защитить пользователей

Как только SlowMist осознала масштаб угрозы, они связались с Binance и OKX для координации мер экстренной защиты. Вместе команды проверили затронутые ключи API и принудительно сбросили их для пользователей, находящихся под угрозой. Все пострадавшие пользователи CEX теперь уведомлены, и их ключи были аннулированы. Однако командам не удалось связаться со всеми пользователями Aster и Hyperliquid из-за децентрализованных структур кошельков. SlowMist теперь призывает всех, кто использует NOFX AI на этих платформах, немедленно проверить свои настройки.

Пользователей призвали отключить режим администратора и заменить ключи сейчас

SlowMist рекомендует всем разработчикам:

• Немедленно отключите режим администратора
• Замените все ключи API и приватные ключи
• Измените секретный ключ JWT на сильное, случайное значение
• Ограничить чувствительные конечные точки
• Избегайте прямого exposing NOFX AI в интернет

Инструменты AI для торговли с открытым исходным кодом быстро развиваются. Но этот случай подчеркивает риски развертывания систем на ранней стадии без полного аудита безопасности. Пока NOFX AI полностью не исправит эти недостатки, пользователи должны рассматривать любое публичное развертывание как высокорисковое.