ChainCatcher 消息,慢雾安全团队近日对基于 DeepSeek/Qwen 的开源自动化期货交易系统 NOFX AI 进行分析,发现多个严重认证漏洞。其指出,系统在默认配置下存在“零认证”模式,管理员模式被直接启用,使得所有请求无需验证即可通过,攻击者可访问 /api/exchanges 并获取完整 API 密钥与私钥。在“需授权”模式下虽加入 JWT,但默认 jwt_secret 依然存在,若未设置环境变量将回退为默认密钥。此外,该模式下敏感字段仍以原始 JSON 输出,令牌一旦被伪造或窃取,同样会导致密钥泄露。慢雾表示,截至目前已识别超过千个公开部署实例使用脆弱配置,并已与币安及 OKX 安全团队协调,完成相关凭证替换。团队提醒所有用户立即升级系统,尤其是在 Aster 或 Hyperliquid 上运行机器人的用户应尽快检查设置。
Related Articles & Analysis
Digital Asset Products See $2B Outflows as 3-Week Rout Drains $3.2B
CryptoNews.com
Unregistered Crypto Firms in Canada Fueling Million-Dollar Money Laundering
CryptoNews.com
These Altcoins Bleed Out Heavily, BTC Rebounds From a Drop to $93K: Market Watch
CryptoPotato
XRP Loses $16 Million as Crypto Funds Bleed $2 Billion in Policy Chaos
BeInCrypto
Most institutional investors unaware of Bitcoin Core-Knots software debate
Crypto.News
Blockchain for Good Alliance (BGA) Recognized Groundbreaking Blockchain Projects Advancing the SDGs at 2025 Forum
TheBitCoinNews