Actualités

Une faille dans NOFX AI expose des clés API, SlowMist alerte sur un risque majeur

Par

Shweta Chakrawarty

Shweta Chakrawarty

SlowMist a signalé une faille de sécurité critique dans NOFX AI, un système de trading open-source, qui exposait les clés d'échange et de portefeuilles privés.

Une faille dans NOFX AI expose des clés API, SlowMist alerte sur un risque majeur

À retenir

Résumé généré par l'IA, examiné par la rédaction.

  • SlowMist a découvert que NOFX AI était livré avec le « mode administrateur » activé et sans authentification, exposant ainsi des clés sensibles via un point de terminaison public.

  • Ce problème affecte les utilisateurs de Binance, Hyperliquid et Aster DEX, avec un risque de perte totale de leurs fonds.

  • Un correctif pour développeurs n'a pas permis de résoudre le problème principal, car le secret JWT par défaut était connu publiquement, permettant ainsi un accès non autorisé continu.

  • Binance et OKX ont été alertés et ont procédé à une réinitialisation massive des clés API pour les utilisateurs de CEX concernés, mais les utilisateurs de DEX doivent mettre à jour manuellement leurs configurations.

NOFX AI, un système de trading automatisé open source basé sur DeepSeek/Qwen AI, fait face à une grave crise de sécurité après la découverte de vulnérabilités pouvant exposer des clés API d’échange et des clés privées. Le problème touche des utilisateurs sur plusieurs grandes plateformes, dont Binance, Hyperliquid et Aster DEX. SlowMist appelle désormais les déployeurs à agir immédiatement avant que des attaquants n’exploitent ces failles pour vider des fonds.

Une faille dans le mode administrateur expose entièrement les clés

SlowMist a lancé une enquête après l’alerte d’un chercheur en sécurité issu de la communauté. L’équipe a rapidement découvert que plusieurs versions de NOFX AI étaient livrées avec le mode administrateur activé par défaut, sans aucun mécanisme d’authentification. Dans ces conditions, n’importe qui pouvait accéder à l’endpoint public /api/exchanges et récupérer instantanément des données sensibles : clés API, clés secrètes et clés privées de portefeuilles.

La faille provient d’un commit publié le 31 octobre, qui a défini le mode administrateur sur « true » dans le fichier de configuration ainsi que dans les scripts de migration de base de données. Dès lors, le serveur ignorait toute autorisation lorsque le mode administrateur était actif. En pratique, toute instance NOFX AI utilisant les paramètres par défaut était totalement ouverte : un simple lien suffisait pour accéder aux clés.

Les correctifs n’ont pas résolu le problème de fond

Les développeurs ont tenté de corriger la faille le 5 novembre en ajoutant une vérification via jeton JWT. Mais selon SlowMist, le correctif n’a quasiment rien changé. La configuration par défaut incluait toujours un secret JWT public, permettant aux attaquants de générer des jetons valides et de continuer à accéder aux endpoints sensibles. Plus grave encore, l’endpoint central /api/exchanges renvoyait toujours les données sensibles en JSON clair, sans masquage ni chiffrement.

SlowMist a également confirmé que la dernière branche de développement contenait encore :

  • un mode administrateur défini sur « true » par défaut
  • des clés JWT par défaut non modifiées
  • des données sensibles renvoyées sans aucune restriction

Comme la branche principale utilise encore l’ancienne version sans authentification, des milliers de déploiements restent exposés sur Internet.

Binance et OKX interviennent pour protéger les utilisateurs

Face à l’ampleur de l’exposition, SlowMist a contacté Binance et OKX pour mettre en place des mesures d’urgence. Les équipes ont examiné les clés API compromises et procédé à leur réinitialisation pour les utilisateurs à risque. Toutes les personnes concernées sur les CEX ont été averties et leurs clés ont été révoquées. En revanche, les équipes n’ont pas pu contacter l’ensemble des utilisateurs d’Aster et d’Hyperliquid, en raison de leurs portefeuilles décentralisés. SlowMist demande donc à toute personne utilisant NOFX AI sur ces plateformes de vérifier immédiatement sa configuration.

Les utilisateurs appelés à désactiver le mode administrateur et remplacer leurs clés

SlowMist recommande à tous les déployeurs de :

  • désactiver immédiatement le mode administrateur
  • remplacer toutes les clés API et clés privées
  • changer le secret JWT pour une valeur robuste et aléatoire
  • restreindre l’accès aux endpoints sensibles
  • éviter d’exposer NOFX AI directement à Internet

Les outils de trading basés sur l’IA open source se développent rapidement. Mais cette affaire rappelle les risques liés au déploiement de systèmes encore immatures et non audités. Tant que NOFX AI n’aura pas corrigé ces failles en profondeur, toute instance publique doit être considérée comme à haut risque.

Références

Écrit par :
Shweta Chakrawarty
Shweta Chakrawarty
Révision et vérification par :
Shivani Ramrakhyani
Shivani Ramrakhyani
Contributeurs :
吴说区块链
En savoir plus sur nos directives et normes éditoriales ici.
Google News Icon

Suivez-nous sur Google News

Recevez les dernières informations et mises à jour sur la crypto.

Suivre

Articles similaires

Arthur Hayes transfère 700 ETH à B2C2 après d’importantes ventes de jetons
Nouvelles
3 Min read

Arthur Hayes transfère 700 ETH à B2C2 après d’importantes ventes de jetons

Shweta Chakrawarty

Shweta Chakrawarty

Author

L’avertissement de la BCE sur les stablecoins pourrait annoncer des changements de taux d’intérêt
Nouvelles
3 Min read

L’avertissement de la BCE sur les stablecoins pourrait annoncer des changements de taux d’intérêt

Hanan Zuhry

Hanan Zuhry

Author

Peter Thiel surprend les investisseurs en cédant ses actions NVIDIA et secoue le marché
Nouvelles
3 Min read

Peter Thiel surprend les investisseurs en cédant ses actions NVIDIA et secoue le marché

Hanan Zuhry

Hanan Zuhry

Author