火星财经の報告によると、Slow Mistセキュリティチームは最近、DeepSeek/Qwenに基づくオープンソースの自動化先物取引システムNOFX AIを分析し、複数の深刻な確認の脆弱性を発見しました。システムはデフォルト設定で「ゼロ確認」モードが存在し、管理者モードが直接有効化されているため、すべてのリクエストは検証なしで通過可能で、攻撃者は /api/exchanges にアクセスし、完全なAPI秘密鍵と秘密鍵を取得できます。「承認が必要な」モードではJWTが追加されていますが、デフォルトのjwt_secretが依然として存在し、環境変数が設定されていない場合はデフォルトの秘密鍵に戻ります。さらに、このモードでは敏感なフィールドが依然として生のJSONで出力され、トークンが偽造または盗まれた場合、同様に秘密鍵が漏洩する可能性があります。Slow Mistは、現時点で脆弱な設定を使用している公開デプロイメントインスタンスが千を超えていることを特定し、BinanceおよびOKXセキュリティチームと調整して、関連する証明書の交換を完了しました。チームはすべてのユーザーにシステムの即時アップグレードを強く推奨しており、特にAsterまたはHyperliquid上でボットを運営しているユーザーは設定を早急に確認するように呼びかけています。
