慢雾はNOFX AI自動取引システムに深刻な脆弱性があると発表し、早急なアップグレードが必要であるとしています。

慢雾セキュリティチームは最近、DeepSeek/Qwenに基づくオープンソースの自動化先物取引システムNOFX AIを分析し、複数の深刻な認証の脆弱性を発見しました。システムはデフォルト設定で「ゼロ認証」モードが存在し、管理者モードが直接有効になっているため、すべてのリクエストが検証なしで通過でき、攻撃者は/api/exchangesにアクセスして完全なAPIキーと秘密鍵を取得できます。「認証が必要」モードではJWTが追加されていますが、デフォルトのjwt_secretが依然として存在し、環境変数が設定されていない場合はデフォルトキーに戻ります。さらに、このモードでは敏感なフィールドが元のJSON形式で出力されるため、トークンが偽造または盗まれた場合、同様にキーが漏洩する可能性があります。

慢雾は、現在までに千を超える公開デプロイメントインスタンスが脆弱な設定を使用していることを確認しており、バイナンスおよびOKXのセキュリティチームと調整し、関連する認証情報の交換を完了しました。チームはすべてのユーザーに対し、特にAsterまたはHyperliquid上でロボットを運用しているユーザーは設定を早急に確認するように、システムを直ちにアップグレードするように警告しています。