NOFX AI漏洞暴露API密鑰，SlowMist警告重大風險

2025-11-17 05:57:02

NOFX AI，一個基於DeepSeek/Qwen AI的開源自動化交易系統。在SlowMist揭露漏洞後，它面臨嚴重的安全危機。這可能會暴露交易所API密鑰和私鑰。該問題影響了包括Binance、Hyperliquid和Aster DEX在內的主要交易所的用戶。SlowMist現在敦促部署者立即採取行動，以防攻擊者利用這些弱點來抽取資金。

管理模式漏洞使密鑰完全暴露

SlowMist 在收到社區安全研究人員的警告後，開始調查該系統。團隊迅速發現多個版本的 NOFX AI 帶有管理員模式。該模式默認啓用，更糟糕的是，系統根本沒有進行身分驗證檢查。因此，任何人都可以簡單地訪問公共 /api/exchanges 端點，並立即檢索敏感數據。例如 API 密鑰、私密密鑰和私有錢包密鑰。

此問題源於10月31日發布的一次提交。該提交在配置文件和數據庫遷移腳本中將硬編碼的管理員模式設置爲“true”。然後，服務器在管理員模式激活時跳過了所有授權。簡單來說，任何使用默認設置運行的NOFX AI實例實際上都是解鎖的。也就是說，任何擁有連結的人都可以進入並拿走鑰匙，字面意義上。

修補嘗試未能解決核心問題

開發者們試圖在11月5日通過添加JWT令牌驗證來解決這個問題。然而，SlowMist發現這個補丁幾乎沒有改變情況。默認配置仍然使用一個公開已知的JWT密鑰。它允許攻擊者生成有效的令牌並繼續訪問敏感端點。更糟糕的是，核心/api/exchanges端點仍然以明文JSON返回敏感字段；沒有任何內容被掩蓋或加密。

SlowMist還確認最近的開發分支仍然包含：

管理員模式默認設置爲“真”
默認JWT密鑰保持不變
敏感數據無任何限制返回

因爲主分支仍然使用較舊的零認證版本，成千上萬的部署在公共互聯網中仍然開放。

幣安和OKX介入保護用戶

一旦SlowMist意識到暴露的規模，他們聯繫了Binance和OKX以協調緊急保護措施。團隊一起審核了受影響的API密鑰，並強制重置了處於風險中的用戶。所有受影響的CEX用戶現在已被通知，他們的密鑰已被撤銷。然而，由於去中心化錢包結構，團隊無法聯繫到所有Aster和Hyperliquid用戶。SlowMist現在敦促在這些平台上使用NOFX AI的任何人立即檢查他們的設置。