SlowMist cho biết hệ thống giao dịch tự động NOFX AI lộ lỗ hổng nghiêm trọng, cần nâng cấp khẩn cấp

Theo ChainCatcher, nhóm an ninh SlowMist gần đây đã tiến hành phân tích hệ thống giao dịch hợp đồng tương lai tự động mã nguồn mở NOFX AI dựa trên DeepSeek/Qwen và phát hiện nhiều lỗ hổng xác thực nghiêm trọng. Nhóm cho biết, hệ thống ở cấu hình mặc định tồn tại chế độ “không xác thực”, chế độ quản trị viên được kích hoạt trực tiếp, cho phép tất cả các yêu cầu được thông qua mà không cần xác minh, kẻ tấn công có thể truy cập /api/exchanges và lấy toàn bộ khóa API cùng khóa riêng. Ở chế độ “yêu cầu ủy quyền”, dù đã bổ sung JWT nhưng jwt_secret mặc định vẫn tồn tại, nếu không thiết lập biến môi trường sẽ quay lại sử dụng khóa mặc định. Ngoài ra, ở chế độ này các trường nhạy cảm vẫn được xuất ra dưới dạng JSON gốc, nếu token bị giả mạo hoặc đánh cắp cũng sẽ dẫn đến rò rỉ khóa.

SlowMist cho biết, cho đến nay đã xác định được hơn một nghìn trường hợp triển khai công khai sử dụng cấu hình dễ bị tấn công và đã phối hợp với nhóm an ninh của một sàn giao dịch để hoàn tất việc thay thế thông tin xác thực liên quan. Nhóm khuyến nghị tất cả người dùng nâng cấp hệ thống ngay lập tức, đặc biệt những người đang vận hành bot trên Aster hoặc Hyperliquid nên kiểm tra lại cài đặt càng sớm càng tốt.