NOFX AI помилка викриває API ключі, SlowMist попереджає про великий ризик

NOFX AI, відкрита автоматизована торгова система, побудована на DeepSeek/Qwen AI. Вона стикається з серйозною кризою безпеки після того, як SlowMist виявила вразливості. Це може призвести до витоку API ключів біржі та приватних ключів. Проблема впливає на користувачів на основних біржах, включаючи Binance, Hyperliquid та Aster DEX. SlowMist тепер закликає розробників вжити термінових заходів, перш ніж зловмисники скористаються цими слабкостями для виведення коштів.

Уразливість в режимі адміністратора залишає ключі повністю відкритими

SlowMist почав розслідування системи після отримання попередження від дослідника безпеки з громади. Команда швидко виявила, що кілька версій NOFX AI постачалися з адміністративним режимом. Він увімкнений за замовчуванням і, що гірше, система зовсім не виконувала перевірок автентифікації. Через це будь-хто міг просто відвідати публічний /api/exchanges кінцеву точку і миттєво отримати чутливі дані. Такі як API ключі, секретні ключі та приватні ключі гаманця.

Ця проблема виникла через коміт, опублікований 31 жовтня. Який зафіксував режим адміністратора на “true” у конфігураційному файлі та скриптах міграції бази даних. Сервер тоді пропускав усю авторизацію, коли режим адміністратора був активний. Простими словами, будь-який екземпляр NOFX AI, що працює з налаштуваннями за замовчуванням, був ефективно розблокований. Тобто, будь-хто з посиланням міг зайти і забрати ключі, буквально.

Спроби виправлення не усунули основну проблему

Розробники намагалися вирішити проблему 5 листопада, додавши перевірку JWT токенів. Однак SlowMist виявив, що патч майже не змінив ситуацію. За замовчуванням конфігурація все ще постачалася з публічно відомим секретом JWT. Це дозволяє зловмисникам генерувати дійсні токени та продовжувати доступ до чутливих кінцевих точок. Ще гірше, крім того, основний кінцевий /api/exchanges продовжував повертати чутливі поля у відкритому JSON; нічого не було замасковано або зашифровано.

SlowMist також підтвердив, що найновіша розробницька гілка все ще містила:

• Режим адміністратора встановлено на “істина” за замовчуванням
• Значення ключів JWT за замовчуванням залишено без змін
• Чутливі дані повернені без обмежень

Оскільки основна гілка все ще використовує старішу версію без авторизації, тисячі розгортань залишаються відкритими в публічному інтернеті.

Binance та OKX вступають для захисту користувачів

Щойно SlowMist усвідомили масштаб втрати. Вони зв'язалися з Binance та OKX для координації екстрених заходів захисту. Разом команди переглянули уражені API-ключі та здійснили примусові скидання для користувачів під ризиком. Всі постраждалі користувачі CEX вже були повідомлені, і їхні ключі були анульовані. Однак команди не змогли зв'язатися з усіма користувачами Aster та Hyperliquid через децентралізовані структури гаманців. SlowMist тепер закликає всіх, хто використовує NOFX AI на цих платформах, терміново переглянути свою конфігурацію.

Користувачам рекомендовано вимкнути адміністративний режим та замінити ключі зараз

SlowMist рекомендує всім розробникам:

• Вимкніть режим адміністратора негайно
• Замініть усі ключі API та приватні ключі
• Змініть секрет JWT на сильне, випадкове значення
• Обмежити чутливі кінцеві точки
• Уникайте безпосереднього виставлення NOFX AI в інтернеті.

Інструменти торгівлі на основі штучного інтелекту з відкритим кодом швидко зростають. Але цей випадок підкреслює ризики впровадження систем на ранніх етапах без повних аудитів безпеки. Поки NOFX AI повністю не усуне ці недоліки, користувачі повинні вважати будь-яке публічне впровадження високоризиковим.