SlowMist, un'azienda di sicurezza blockchain, ha condotto un'indagine che ha portato alla luce vulnerabilità critiche in NOFX AI, un sistema open source di trading di futures su criptovalute basato sull'architettura a linguaggio di grandi dimensioni di DeepSeek e Qwen.
Secondo i risultati pubblicati su Web3Caff , alcune falle presenti in diverse versioni del sistema hanno esposto alcuni utenti al rischio di perdite di credenziali, consentendo agli aggressori, in alcuni casi, di ottenere le chiavi private del portafoglio e le credenziali API di exchange centralizzate e decentralizzate.
Dopo aver fatto queste scoperte, il team di SlowMist ha contattato i team di sicurezza di Binance e OKX, che hanno collaborato con il team per identificare gli utenti interessati e revocare le chiavi compromesse.
Difetti di autenticazione esposti in più versioni
L'indagine su SlowMist è iniziata dopo che il team ha ricevuto informazioni da un ricercatore della comunità che opera con lo pseudonimo @Endlessss20, il quale sospettava che NOFX AI potesse divulgare le chiavi API di scambio.
Cos, il fondatore di SlowMist , che usa l'handle X @evilcos, inizialmente ha elogiato gli sforzi open source di NOFX AI, definendoli encomiabili.
Tuttavia, ha poi affermato che i rischi da loro "divulgati hanno già portato a veri e propri furti, in seguito ai quali sono trapelate le chiavi private dei portafogli di alcuni utenti e le chiavi API CEX/DEX".
Cos ha aggiunto che l'iniziale sforzo di divulgazione di SlowMist è stato deliberatamente coordinato con i team di sicurezza degli exchange per garantire che le persone interessate fossero avvisate prima che i dettagli venissero resi pubblici.
L'analisi successiva di SlowMist ha individuato due problemi di autenticazione fondamentali che interessano diverse generazioni di commit del repository open source.
Si dice che questo problema fosse presente sia nelle versioni precedenti che in quelle più recenti della piattaforma open source; il sistema veniva eseguito in uno stato "Autorizzazione richiesta" che tuttavia non prevedeva controlli di accesso effettivi, lasciando aperte le funzioni amministrative sensibili (admin) senza autenticazione.
In questo modo, gli aggressori potrebbero interagire con le API di amministrazione senza bisogno di credenziali.
Ad aggravare queste debolezze di autenticazione, uno degli endpoint API del sistema restituiva per impostazione predefinita dati di connessione sensibili, tra cui chiavi API e segreti associati per exchange quali Binance, Hyperliquid e Aster DEX .
Risposta di sicurezza coordinata con gli scambi
Dopo aver confermato la gravità dei problemi, SlowMist ha contattato le divisioni di sicurezza di Binance e OKX.
Secondo quanto riferito, hanno allestito una sala operativa di sicurezza congiunta in cui SlowMist ha fornito informazioni e una valutazione dell'impatto, mentre i team di scambio hanno analizzato e verificato in modo indipendente i dati API compromessi.
I gruppi hanno quindi proceduto a ritroso, partendo dalle chiavi esposte, per identificare gli account a rischio sulle loro piattaforme.
Gli exchange hanno avviato contromisure, informando ciascun utente interessato e revocando immediatamente le loro chiavi API, le chiavi segrete e tutte le credenziali di automazione collegate. "Al 17 novembre, tutti gli utenti CEX interessati sono stati avvisati, le loro chiavi sono state revocate e i loro asset sono al sicuro", ha dichiarato SlowMist nel suo rapporto.
Tuttavia, ha ammesso che raggiungere gli utenti sugli exchange decentralizzati era relativamente più difficile. SlowMist ha affermato che loro e il team di Binance hanno cercato di contattare direttamente un piccolo numero di utenti di Aster e Hyperliquid , ma non ci sono riusciti "a causa degli indirizzi dei wallet decentralizzati".
"Se utilizzate sistemi di trading automatizzati su Aster o Hyperliquid, vi preghiamo di controllare e affrontare tempestivamente eventuali rischi correlati", ha avvertito gli utenti l'azienda di sicurezza.
Avvertenze per l'ecosistema del trading basato sull'intelligenza artificiale
SlowMist ha anche sottolineato che si sta verificando un aumento dei progetti di quantizzazione dei modelli di intelligenza artificiale su larga scala; tuttavia, la maggior parte delle implementazioni open source è ancora nelle fasi iniziali.
Pertanto, si consiglia a coloro che implementano tali sistemi open source emergenti di "effettuare audit approfonditi della sicurezza del codice e rafforzare le misure di controllo del rischio per evitare perdite finanziarie".
L'azienda di sicurezza ha inoltre fornito delle raccomandazioni al team e agli utenti di NOFX AI, consigliando loro di rifiutarsi di eseguire il programma se viene rilevata una chiave modello, di disabilitare la modalità amministratore a meno che non sia esplicitamente configurata e protetta con una password complessa e un'autenticazione OTP e di riprogettare gli endpoint sensibili in modo che restituiscano solo metadati non critici, richiedendo al contempo una verifica secondaria per l'accesso tramite chiave privata o chiave API, tra gli altri.
L'azienda ha avvertito che "finché il team di sviluppo non avrà completato queste correzioni, qualsiasi distribuzione sulla rete Internet pubblica dovrà essere considerata ad alto rischio".
Fatti notare dove conta. Pubblicizza su Cryptopolitan Research e raggiungi gli investitori e gli sviluppatori di criptovalute più abili.