슬로우 미스트 (SlowMist) NOFX의 AI 기반 자동 거래 시스템에 심각한 취약점이 발견되었으며 즉각적인 업그레이드가 필요하다고 보도했습니다.

Mars Finance에 따르면 슬로우 미스트 (SlowMist) 보안팀은 최근 DeepSeek/Qwen 기반 오픈소스 자동 선물 거래 시스템인 NOFX AI를 분석하여 몇 가지 심각한 인증 취약점을 발견했습니다. 해당 시스템은 기본 구성에서 관리자 모드가 직접 활성화된 "제로 인증" 모드를 사용하고 있어 모든 요청이 검증 없이 통과될 수 있다고 지적했습니다. 공격자는 `/api/exchanges`에 접근하여 전체 API 키와 개인 키를 획득할 수 있습니다. JWT는 "authorized" 모드에서 추가되지만, 기본 `jwt_secret`은 여전히 ​​존재하며, 환경 변수가 설정되지 않으면 기본 키로 돌아갑니다. 또한, 이 모드에서 민감한 필드는 여전히 원시 JSON으로 출력됩니다. 토큰이 위조되거나 도난당할 경우 키 유출로 이어질 수 있습니다. 슬로우 미스트 (SlowMist) 이 취약한 구성을 사용하는 1,000개 이상의 공개 배포 인스턴스를 확인했으며, 바이낸스 및 OKX 보안팀과 협력하여 관련 자격 증명을 교체했다고 밝혔습니다. 해당 팀은 모든 사용자에게, 특히 Aster나 Hyperliquid에서 봇을 실행하는 사용자는 즉시 시스템을 업그레이드하고 가능한 한 빨리 설정을 확인할 것을 촉구합니다.