SlowMist đưa tin rằng hệ thống giao dịch tự động hỗ trợ AI của NOFX đã được phát hiện có lỗ hổng nghiêm trọng và cần phải nâng cấp.

Theo Mars Finance, đội ngũ bảo mật SlowMist gần đây đã phân tích NOFX AI, một hệ thống giao dịch tương lai tự động mã nguồn mở dựa trên DeepSeek/Qwen, và phát hiện ra một số lỗ hổng xác thực nghiêm trọng. Họ chỉ ra rằng hệ thống có chế độ "không xác thực" trong cấu hình mặc định, với chế độ quản trị viên được bật trực tiếp, cho phép tất cả các yêu cầu được thông qua mà không cần xác minh. Kẻ tấn công có thể truy cập `/api/exchanges` và lấy toàn bộ khóa API và private key. Mặc dù JWT được thêm vào ở chế độ "ủy quyền", `jwt_secret` mặc định vẫn tồn tại và nếu biến hoàn cảnh không được thiết lập, nó sẽ trở về khóa mặc định. Hơn nữa, các trường nhạy cảm trong chế độ này vẫn được xuất ra dưới dạng JSON thô; nếu mã thông báo bị ngụy tạo hoặc đánh cắp, điều này cũng sẽ dẫn đến rò rỉ khóa. SlowMist tuyên bố tính đến họ đã xác định được hơn một nghìn trường hợp được triển khai công khai sử dụng cấu hình dễ bị tấn công này và đã phối hợp với đội ngũ bảo mật Binance và OKX để thay thế các thông tin đăng nhập liên quan. Đội ngũ khuyến khích tất cả người dùng nâng cấp hệ thống của mình ngay lập tức, đặc biệt là những người chạy bot trên Aster hoặc Hyperliquid, hãy kiểm tra cài đặt của mình càng sớm càng tốt.