⏱️ Čas čítania: 5 min (895 slov) V rýchlo sa rozvíjajúcom svete kryptomien, kde umelá inteligencia (AI) čoraz častejšie ovláda automatizované obchodovanie, sa objavila vážna hrozba. Bezpečnostná firma SlowMist vydala urgentné varovanie pred systémom NOFX AI, open-source platformou pre futures obchodovanie na kryptoburzách. Podľa ich analýzy tento systém obsahuje kritické zraniteľnosti, ktoré môžu viesť k […]
Menej ako 1 min.
min.
⏱️ Čas čítania: 5 min (895 slov)
V rýchlo sa rozvíjajúcom svete kryptomien, kde umelá inteligencia (AI) čoraz častejšie ovláda automatizované obchodovanie, sa objavila vážna hrozba. Bezpečnostná firma SlowMist vydala urgentné varovanie pred systémom NOFX AI, open-source platformou pre futures obchodovanie na kryptoburzách. Podľa ich analýzy tento systém obsahuje kritické zraniteľnosti, ktoré môžu viesť k úniku API kľúčov a súkromných kľúčov používateľov. SlowMist vyzýva na okamžité bezpečnostné audity a opravy, pričom zdôrazňuje, že nasadenia NOFX zostávajú vysoko rizikové, kým sa problémy nevyriešia.
NOFX AI je open-source systém postavený na AI modeloch DeepSeek a Qwen, ktorý podporuje obchodovanie na centralizovaných burzách ako Binance a OKX, ako aj na decentralizovaných platformách ako Aster DEX a Hyperliquid. Projekt, dostupný na GitHube, sľubuje pokročilé funkcie ako súťaž AI modelov, samo-evolúciu stratégií a real-time dashboard. Avšak, ako odhalila analýza SlowMist, jeho bezpečnostné nedostatky ohrozujú tisíce používateľov. Podľa správy firmy identifikovali viac ako 1 000 verejných nasadení systému, ktoré bežia s predvolenými alebo zraniteľnými konfiguráciami, čím sa stávajú ľahkou korisťou pre hackerov.
Kritické zraniteľnosti: Od „nulovej autentifikácie“ po falošnú ochranu
SlowMist identifikoval dve hlavné autentifikačné chyby v rôznych verziách kódu NOFX:
- Režim „nulovej autentifikácie“ (commit z 31. októbra 2025): Admin mód je štandardne zapnutý a middleware umožňuje všetky požiadavky bez overenia. Útočník tak môže jednoducho pristupovať k endpointu
/api/exchangesa získať plný prístup k citlivým údajom, vrátane API kľúčov pre Binance, adries peňaženiek Hyperliquid a súkromných kľúčov Aster. - Režim „vyžadujúci autorizáciu“ (commit z 5. novembra 2025): Hoci bol pridaný JWT token, systém používa predvolený
jwt_secret. Ak nie sú nastavené environment premenné, klesne späť na túto slabú konfiguráciu. Navyše, endpoint/api/exchangesnaďalej vracia citlivé polia v surovom JSON formáte, čo umožňuje falšovanie tokenov a únik kľúčov.
Aj v najnovšom vývoji (dev branch z 13. novembra) pretrvávajú tieto problémy: admin mód je stále štandardne aktívny a citlivé dáta sa nefiltrujú. Hlavná vetva (main) zostáva na starom, nechránenom commite. SlowMist zdôrazňuje, že tieto chyby umožňujú hackerom plnú administratívnu kontrolu len jediným GET požiadavkami, čo by mohlo viesť k masívnym stratám prostredníctvom wash tradingu alebo priamemu vykradnutiu peňaženiek.
Analýza bola spustená po tip-off od používateľa @Endlessss20 na X (bývalý Twitter), ktorý podozrieval únik citlivých informácií. SlowMist potvrdzuje, že tieto zraniteľnosti už viedli k reálnym krádežiam, hoci presné škody ešte nie sú kvantifikované.
Spolupráca s burzami: Rýchla reakcia na CEX, výzva pre DEX
SlowMist okamžite reagoval vytvorením spoločného tímu s bezpečnostnými oddeleniami Binance a OKX. Na základe získaných API kľúčov identifikovali postihnutých používateľov, upozornili ich a koordinovali zrušenie kompromitovaných kľúčov. K 17. novembru boli všetci používatelia centralizovaných búrz (CEX) notifikovaní a ich kľúče revidované, čím sa zabránilo potenciálnym útokom.
Problém nastáva pri decentralizovaných burzách (DEX) ako Aster a Hyperliquid. Tieto platformy používajú decentralizované peňaženky, kde nie je možné priamo kontaktovať používateľov. „Niektorí používatelia Aster a Hyperliquid sú ťažko dostupní kvôli decentralizácii peňaženiek,“ uvádza sa v správe SlowMist. Firma preto vydala verejné varovanie: Ak používate boty na týchto DEX platformách cez NOFX, okamžite skontrolujte konfiguráciu, rotujte kľúče a pozastavte obchodovanie.
Aster, Binance-kompatibilná DEX s podporou až 1001x pákového efektu, a Hyperliquid, vysokovýkonná perpetual futures platforma, sú obe populárne medzi degen obchodníkmi. Ich decentralizovaný charakter však komplikuje reakciu na incidenty, čo zdôrazňuje riziká open-source projektov v DeFi ekosystéme.
Odporúčania a pohľad do budúcnosti
SlowMist poskytne NOFX AI tímu podrobné odporúčania na opravu: náhodná generácia JWT secretu, vypnutie štandardného admin módu a obmedzenie citlivých dát v API odpovediach. Kým sa to nestane, odporúča sa nepoužívať verejné nasadenia systému. „Toto nie je kritika, ale redukcia rizík,“ zdôrazňuje firma, ktorá pokračuje v spolupráci s burzami, developermi a komunitou.
Tento incident poukazuje na rastúce riziká integrácie AI do kryptoburzy. Zatiaľ čo open-source projekty ako NOFX urýchľujú inovácie, bez dôkladných bezpečnostných auditov môžu viesť k katastrofálnym stratám. Používatelia by mali vždy rotovať kľúče, používať hardvérové peňaženky a sledovať oficiálne varovania. SlowMist, založená v roku 2018, opäť dokázala svoju úlohu ako líder v blockchainovej bezpečnosti, chrániac ekosystém pred skrytými hrozbami.
Pre ďalšie detaily sledujte oficiálnu analýzu SlowMist na Medium alebo ich upozornenia .
Príspevok Bezpečnostná kríza v AI obchodovaní je zobrazený ako prvý na Kryptoblog24.
