區塊鏈安全公司 SlowMist 進行了一項調查,發現 NOFX AI 有嚴重漏洞。 NOFX AI 是一個基於 DeepSeek 和 Qwen 的大型語言架構的開源加密貨幣期貨交易系統。
根據Web3Caff上發布的調查結果,該系統的幾個版本存在缺陷,使一些用戶面臨憑證洩露的風險,在某些情況下,攻擊者可以利用這些缺陷獲取錢包私鑰以及中心化和去中心化交易所的 API 憑證。
在發現這些問題後,SlowMist 團隊聯繫了幣安和 OKX 的安全團隊,他們與該團隊合作,確定了受影響的用戶並撤銷了洩露的金鑰。
多個版本暴露出身份驗證缺陷
對 SlowMist 的調查始於該團隊收到一位化名為 @Endlessss20 的社區研究員提供的信息,該研究員懷疑 NOFX AI 可能正在洩露交易所 API 密鑰。
SlowMist 的創始人Cos(網名 X @evilcos)最初稱讚了 NOFX AI 的開源努力,稱其值得稱讚。
然而,他後來表示,他們「披露的風險已經導致了實際的盜竊,導致一些用戶的錢包私鑰和 CEX/DEX API 密鑰洩露」。
Cos補充說,SlowMist最初的披露工作是特意與交易所安全團隊協調進行的,以確保在細節公開之前通知受影響的個人。
SlowMist 的後續分析發現了影響幾代開源儲存庫提交的兩個基本驗證問題。
據說該問題在開源平台的舊版本和新版本中都存在;系統運作在「需要授權」狀態,但沒有有效的存取控制,導致敏感的管理(admin)功能在未經身份驗證的情況下保持開放。
這樣一來,攻擊者無需憑證即可與管理 API 互動。
雪上加霜的是,該系統的一個 API 端點預設會傳回敏感的連接數據,包括 Binance、Hyperliquid 和Aster DEX等交易所的 API 金鑰和相關金鑰。
與交易所協調安全應變措施
在確認問題的嚴重性後,SlowMist 聯繫了幣安和 OKX 的安全部門。
據報道,他們設立了一個聯合安全營運室,SlowMist 提供情報和影響評估,而交易所團隊則獨立分析和驗證了被洩露的 API 資料。
然後,這些小組從洩漏的密鑰入手,反向推算,以識別其平台上存在風險的帳戶。
交易所立即啟動了應對措施,通知了所有受影響的用戶,並立即撤銷了他們的API金鑰、私鑰以及所有相關的自動化憑證。 SlowMist在其報告中指出:“截至11月17日,所有受影響的中心化交易所用戶均已收到通知,他們的密鑰已被撤銷,他們的資產安全無虞。”
然而,他承認,聯繫去中心化交易所的用戶相對來說更加困難。 SlowMist表示,他們和幣安團隊曾嘗試直接聯繫少量Aster和Hyperliquid用戶,但由於「錢包地址去中心化」而未能成功。
「如果您在 Aster 或 Hyperliquid 上使用自動交易系統,請及時審查並解決任何相關風險,」該安全公司警告用戶。
對人工智慧驅動的交易生態系統的警告
SlowMist 也指出,大規模 AI 模型量化專案正在增加;然而,大多數開源實作仍處於早期階段。
因此,建議那些實施此類新興開源系統的人員「進行徹底的程式碼安全審計,並加強風險控制措施,以避免經濟損失」。
該安全公司還向 NOFX AI 團隊和用戶提供了建議,建議他們在檢測到模板密鑰時拒絕運行該程序,除非明確配置並使用強密碼和一次性密碼 (OTP) 身份驗證進行保護,否則禁用管理員模式,並重新設計敏感端點,使其僅返回非關鍵元數據,同時要求通過私鑰或 API 密鑰進行二次驗證才能訪問,等等。
該公司警告說,“在開發團隊完成這些修復之前,任何部署到公共互聯網的行為都應被視為高風險。”
在關鍵領域中脫穎而出。 在 Cryptopolitan Research 上投放廣告,觸達最具才華的加密貨幣投資者和開發者。