Slow Mist, NOFX AI otomatik ticaret sisteminde ciddi bir güvenlik açığı tespit edildi, acilen güncellenmesi gerekiyor.

Mars Finance haberine göre, SlowMist güvenlik ekibi, DeepSeek/Qwen tabanlı açık kaynaklı otomatik vadeli işlem ticaret sistemi NOFX AI üzerinde yaptığı analizde, birden fazla ciddi doğrulama açığı tespit etti. Sistem varsayılan yapılandırmada “sıfır doğrulama” moduna sahip olduğunu ve yönetici modunun doğrudan etkinleştirildiğini, bu nedenle tüm taleplerin doğrulama olmadan geçebileceğini belirtti. Saldırganlar /api/exchanges'e erişerek tam API Gizli Anahtar ve Özel Anahtar alabilir. “Yetkilendirme gerektirir” modunda JWT eklenmiş olsa da, varsayılan jwt_secret hala mevcut, eğer ortam değişkeni ayarlanmamışsa varsayılan anahtara geri dönecektir. Ayrıca, bu modda hassas alanlar hala orijinal JSON çıktısı olarak sunulmakta, token bir kez sahte olarak üretildiğinde veya çalındığında, yine de anahtar sızıntısına neden olacaktır. SlowMist, şu ana kadar 1000'den fazla kamuya açık dağıtım örneğinin zayıf yapılandırma ile kullanıldığını tespit etti ve Binance ile OKX güvenlik ekipleriyle koordinasyon sağladı, ilgili belgelerin değiştirilmesini tamamladı. Ekip, tüm kullanıcılara sistemlerini hemen güncellemeleri, özellikle Aster veya Hyperliquid üzerinde botları bulunan kullanıcıların ayarlarını bir an önce kontrol etmeleri gerektiğini hatırlatıyor.