SlowMist afirma que o sistema de negociação automática NOFX AI apresenta uma vulnerabilidade grave e precisa ser atualizado urgentemente.

De acordo com a ChainCatcher, a equipe de segurança da SlowMist analisou recentemente o sistema de negociação automatizada de futuros open-source NOFX AI, baseado em DeepSeek/Qwen, e identificou várias vulnerabilidades graves de autenticação. A equipe apontou que, na configuração padrão, o sistema opera em modo "zero autenticação", com o modo administrador ativado diretamente, permitindo que todas as solicitações sejam aprovadas sem verificação. Assim, um atacante pode acessar /api/exchanges e obter as chaves API e privadas completas. No modo "autorização necessária", embora tenha sido adicionado JWT, o jwt_secret padrão ainda existe e, caso a variável de ambiente não seja definida, o sistema retorna à chave padrão. Além disso, neste modo, campos sensíveis ainda são exibidos em JSON bruto; se o token for falsificado ou roubado, também resultará em vazamento das chaves.

A SlowMist afirmou que, até o momento, já identificou mais de mil instâncias públicas implantadas com configurações vulneráveis e já coordenou com a equipe de segurança de uma exchange para substituir as credenciais afetadas. A equipe alerta todos os usuários a atualizarem imediatamente o sistema, especialmente aqueles que operam robôs na Aster ou Hyperliquid, que devem verificar suas configurações o quanto antes.