บั๊กใน NOFX AI ทำให้ API Key รั่วไหล SlowMist เตือนความเสี่ยงร้ายแรง

NOFX AI ระบบเทรดอัตโนมัติแบบโอเพ่นซอร์สที่พัฒนาบน DeepSeek/Qwen AI กำลังเผชิญวิกฤตความปลอดภัยครั้งใหญ่ หลัง SlowMist ตรวจพบช่องโหว่ที่อาจทำให้ API Key ของแพลตฟอร์มซื้อขายและคีย์ส่วนตัวรั่วไหล ปัญหานี้ส่งผลกระทบต่อผู้ใช้งานหลายรายบนแพลตฟอร์มหลักอย่าง Binance, Hyperliquid และ Aster DEX ขณะนี้ SlowMist เตือนผู้ติดตั้งให้ดำเนินการทันที ก่อนที่ผู้ไม่หวังดีจะใช้ช่องโหว่นี้ดูดเงินออกจากบัญชี

ช่องโหว่ใน Admin Mode ทำให้คีย์ถูกเปิดเผยทั้งหมด

SlowMist เริ่มตรวจสอบระบบหลังได้รับการแจ้งเตือนจากนักวิจัยความปลอดภัยในชุมชน ทีมงานพบอย่างรวดเร็วว่าเวอร์ชันหลายรุ่นของ NOFX AI ถูกปล่อยออกมาพร้อมกับการเปิดใช้งาน admin mode เป็นค่าเริ่มต้น และที่หนักกว่านั้น ระบบไม่มีกระบวนการตรวจสอบสิทธิ์ใด ๆ เลย ทำให้ใครก็ตามสามารถเข้าไปยัง endpoint สาธารณะ /api/exchanges และดึงข้อมูลสำคัญได้ทันที ทั้ง API Key, Secret Key และคีย์ส่วนตัวของกระเป๋าเงิน

ปัญหานี้มีต้นตอมาจาก commit เมื่อวันที่ 31 ตุลาคม ซึ่งตั้งค่า admin mode แบบ hardcode ให้เป็น “true” ในไฟล์ config และสคริปต์ migration ของฐานข้อมูล จากนั้นเซิร์ฟเวอร์จะข้ามขั้นตอน authorization ทุกอย่างเมื่อ admin mode ทำงาน กล่าวง่าย ๆ คือ NOFX AI ทุกตัวที่ใช้ค่าเริ่มต้นถูกปล่อยทิ้งไว้อย่างเปิดโล่ง ใครมีลิงก์ก็สามารถเข้ามาและ “หยิบคีย์ออกไป” ได้จริง ๆ

แพตช์ที่ออกมายังไม่แก้ปัญหาหลัก

ทีมพัฒนาพยายามแก้ปัญหาเมื่อวันที่ 5 พฤศจิกายน ด้วยการเพิ่มระบบตรวจสอบโทเคน JWT แต่ SlowMist พบว่าแพตช์ดังกล่าวแทบไม่ช่วยอะไรเลย เพราะการตั้งค่าเริ่มต้นยังคงใช้ JWT secret ที่เป็นที่รู้กันทั่วไป ผู้โจมตีจึงสามารถสร้างโทเคนที่ถูกต้องและเข้าถึง endpoint สำคัญได้ต่อไป

และยิ่งไปกว่านั้น endpoint หลัก /api/exchanges ก็ยังคงส่งคืนข้อมูลสำคัญเป็น JSON แบบชัดเจน ไม่มีการปกปิดหรือเข้ารหัสใด ๆ

SlowMist ยังยืนยันว่า dev branch ล่าสุดยังมีปัญหาเดิมอยู่ ได้แก่:

• admin mode ถูกตั้งเป็น “true” โดยค่าเริ่มต้น
• JWT key ตั้งต้นยังไม่ถูกแก้ไข
• ข้อมูลสำคัญถูกส่งคืนแบบไม่จำกัด

เนื่องจาก main branch ยังคงใช้เวอร์ชันเก่าที่ไม่มีระบบตรวจสอบสิทธิ์ ทำให้ดีพลอยจำนวนมากยังถูกเปิดเผยต่อสาธารณะบนอินเทอร์เน็ต

Binance และ OKX เร่งเข้ามาปกป้องผู้ใช้

เมื่อ SlowMist ตระหนักถึงความรุนแรงของเหตุการณ์ จึงได้ติดต่อ Binance และ OKX เพื่อร่วมกันดำเนินมาตรการฉุกเฉิน ทีมงานได้ตรวจสอบ API Key ที่ได้รับผลกระทบและสั่งรีเซ็ตให้ผู้ใช้ที่มีความเสี่ยง ขณะนี้ผู้ใช้ CEX ที่ถูกกระทบทั้งหมดได้รับการแจ้งเตือนแล้ว และคีย์ของพวกเขาถูกเพิกถอนเรียบร้อย

อย่างไรก็ตาม ทีมงานไม่สามารถแจ้งเตือนผู้ใช้ Aster และ Hyperliquid ได้ทั้งหมด เนื่องจากโครงสร้างกระเป๋าเงินที่เป็นแบบกระจายศูนย์ SlowMist จึงขอให้ผู้ที่ใช้ NOFX AI บนแพลตฟอร์มเหล่านี้ตรวจสอบการตั้งค่าของตนทันที

ผู้ใช้ถูกขอให้ปิด Admin Mode และเปลี่ยนคีย์ทั้งหมดตอนนี้

SlowMist แนะนำให้ผู้ติดตั้งทุกคน:

• ปิด admin mode ทันที
• เปลี่ยน API Key และคีย์ส่วนตัวทั้งหมด
• ตั้ง JWT secret ใหม่เป็นค่าแบบสุ่มและมีความปลอดภัยสูง
• จำกัดการเข้าถึง endpoint ที่มีข้อมูลสำคัญ
• หลีกเลี่ยงการเปิด NOFX AI ให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง

เครื่องมือเทรดด้วย AI แบบโอเพ่นซอร์สกำลังเติบโตอย่างรวดเร็ว แต่กรณีนี้สะท้อนความเสี่ยงของการใช้งานระบบที่ยังอยู่ในช่วงเริ่มต้นโดยไม่มีการตรวจสอบความปลอดภัยเต็มรูปแบบ จนกว่า NOFX AI จะอุดช่องโหว่ทั้งหมดสำเร็จ ผู้ใช้ควรมองว่าการดีพลอยระบบแบบสาธารณะเป็นความเสี่ยงสูงในทุกกรณี