Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, Mastercard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
WCTC S8
Récompenses

Le bug NOFX AI expose les clés API, SlowMist prévient d'un risque majeur

Coinfomania
MAJOR-5,82%

NOFX AI, un système de trading automatisé open-source construit sur DeepSeek/Qwen AI. Il fait face à une crise de sécurité grave après que SlowMist a découvert des vulnérabilités. Cela pourrait exposer les clés API de la plateforme d'échange et les clés privées. Le problème affecte les utilisateurs de grandes plateformes d'échange, y compris Binance, Hyperliquid et Aster DEX. SlowMist exhorte maintenant les déployeurs à agir immédiatement avant que les attaquants n'exploitent ces faiblesses pour vider les fonds.

Le défaut du mode administrateur laisse les clés complètement exposées

SlowMist a commencé à enquêter sur le système après avoir reçu un avertissement d'un chercheur en sécurité de la communauté. L'équipe a rapidement découvert que plusieurs versions de NOFX AI étaient livrées avec le mode administrateur. Il est activé par défaut et, pire encore, le système ne effectuait aucune vérification d'authentification. En raison de cela, n'importe qui pouvait simplement visiter le point d'accès public /api/exchanges et récupérer instantanément des données sensibles. Telles que les clés API, les clés secrètes et les clés de portefeuille privées.

Ce problème est survenu à cause d'un commit publié le 31 octobre. Il a codé en dur le mode administrateur sur “true” dans le fichier de configuration et les scripts de migration de la base de données. Le serveur a ensuite ignoré toute autorisation lorsque le mode administrateur était actif. En termes simples, toute instance NOFX AI fonctionnant avec les paramètres par défaut était effectivement déverrouillée. Autrement dit, quiconque disposant du lien pouvait entrer et prendre les clés, littéralement.

Les tentatives de patch n'ont pas corrigé le problème central

Les développeurs ont essayé de résoudre le problème le 5 novembre en ajoutant la vérification du token JWT. Cependant, SlowMist a constaté que le correctif avait à peine changé la situation. La configuration par défaut était toujours livrée avec un secret JWT connu publiquement. Cela permettait aux attaquants de générer des tokens valides et de continuer à accéder à des points d'accès sensibles. Pire encore, de plus, le point d'accès principal /api/exchanges continuait de renvoyer des champs sensibles en JSON clair ; rien n'était masqué ou crypté.

SlowMist a également confirmé que la branche de développement la plus récente contenait encore :

  • Le mode administrateur est défini sur « vrai » par défaut
  • Les clés JWT par défaut laissées intactes
  • Données sensibles renvoyées sans restriction

Parce que la branche principale utilise toujours l'ancienne version sans authentification, des milliers de déploiements restent largement ouverts sur Internet public.

Binance et OKX interviennent pour protéger les utilisateurs

Une fois que SlowMist a réalisé l'ampleur de l'exposition, ils ont contacté Binance et OKX pour coordonner des mesures de protection d'urgence. Ensemble, les équipes ont examiné les clés API affectées et ont forcé des réinitialisations pour les utilisateurs à risque. Tous les utilisateurs CEX impactés ont maintenant été notifiés et leurs clés ont été révoquées. Cependant, les équipes n'ont pas pu joindre tous les utilisateurs d'Aster et d'Hyperliquid en raison des structures de portefeuille décentralisées. SlowMist exhorte maintenant quiconque utilisant NOFX AI sur ces plateformes à revoir immédiatement leur configuration.

Les utilisateurs sont invités à désactiver le mode administrateur et à remplacer les clés maintenant

SlowMist recommande à tous les déployeurs :

  • Désactiver le mode administrateur immédiatement
  • Remplacez toutes les clés API et les clés privées
  • Changez le secret JWT par une valeur forte et aléatoire
  • Restreindre les points de terminaison sensibles
  • Évitez d'exposer NOFX AI directement à l'internet public

Les outils de trading IA open-source se développent rapidement. Mais ce cas met en évidence les risques de déploiement de systèmes en phase de démarrage sans audits de sécurité complets. Tant que NOFX AI n'a pas entièrement corrigé ces défauts, les utilisateurs doivent considérer tout déploiement public comme à haut risque.

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.
Commentaire
0/400
Aucun commentaire