NOFX AI Hatası API Anahtarlarını Ortaya Çıkardı, SlowMist Ciddi Risk Uyarısı Yaptı

DeepSeek/Qwen AI üzerine kurulu açık kaynaklı otomatik alım satım sistemi NOFX AI, SlowMist’in kritik bir güvenlik açığını ortaya çıkarmasının ardından ciddi bir krizle karşı karşıya. Bu zafiyet, kripto para borsalarına ait API anahtarlarının ve özel anahtarların ifşa olmasına yol açabiliyor. Sorun; Binance, Hyperliquid ve Aster DEX dahil büyük borsalardaki kullanıcıları etkiliyor. SlowMist, saldırganların bu açıkları kullanarak fonları boşaltmadan önce dağıtımı yapanlara acilen önlem alma çağrısı yaptı.

Admin Modundaki Açık Anahtarları Tamamen Savunmasız Bırakıyor

SlowMist, bir topluluk güvenlik araştırmacısından uyarı aldıktan sonra sistemi incelemeye başladı. Ekip kısa süre içinde NOFX AI’ın bazı sürümlerinin varsayılan olarak etkin admin moduyla sunulduğunu keşfetti. Daha da kötüsü, sistem hiçbir kimlik doğrulama kontrolü yapmıyordu. Bu nedenle herhangi biri, doğrudan açık /api/exchanges uç noktasına erişip API anahtarları, gizli anahtarlar ve özel cüzdan anahtarları gibi hassas verilere anında ulaşabiliyordu.

Sorun, 31 Ekim’de paylaşılan bir commit’ten kaynaklanıyordu. Bu commit’te admin modu hem konfigürasyon dosyasında hem de veritabanı geçiş skriptlerinde “true” olarak sabitlenmişti. Sunucu, admin modu aktif olduğu sürece tüm yetkilendirme adımlarını atlıyordu. Basitçe ifade etmek gerekirse: Varsayılan ayarlarla çalışan herhangi bir NOFX AI dağıtımı fiilen kilidi açık şekilde çalışıyordu. Yani bağlantıyı bilen herkes içeri girip “anahtarları” alabiliyordu.

Yama Girişimleri Sorunun Temelini Çözmedi

Geliştiriciler, 5 Kasım’da JWT token doğrulaması ekleyerek sorunu düzeltmeye çalıştı. Ancak SlowMist’in incelemesine göre bu yama durumu neredeyse hiç değiştirmedi. Varsayılan yapılandırma hâlâ kamuya açık bir JWT sırrıyla dağıtılıyordu. Bu da saldırganların geçerli token üretmesine ve hassas uç noktalara erişmeye devam etmesine izin veriyordu. Dahası, çekirdek /api/exchanges uç noktası hassas verileri hâlâ düz JSON formatında döndürüyordu; hiçbir maskeleme veya şifreleme yoktu.

SlowMist, en güncel geliştirme dalında da şu sorunların sürdüğünü doğruladı:

• Admin modu varsayılan olarak “true”
• Varsayılan JWT anahtarları değiştirilmemiş
• Hassas veriler kısıtlama olmadan sunuluyor

Ana dal hâlâ eski, sıfır kimlik doğrulamalı sürümü kullandığı için binlerce dağıtım kamusal internette tamamen korunmasız durumda.

Binance ve OKX Kullanıcıları Korumak İçin Devreye Girdi

SlowMist maruziyetin boyutunu fark edince, Binance ve OKX ile temasa geçerek acil koruma önlemlerini koordine etti. Ekipler, risk altındaki API anahtarlarını inceleyerek ilgili kullanıcılar için zorunlu sıfırlama işlemi yaptı. Etkilenen tüm CEX kullanıcıları bilgilendirildi ve anahtarları iptal edildi. Ancak Aster ve Hyperliquid tarafında cüzdanların merkeziyetsiz yapısı nedeniyle tüm kullanıcılara ulaşılamadı. SlowMist, bu platformlarda NOFX AI kullanan herkesin kurulumlarını derhal gözden geçirmesini istiyor.

Kullanıcılara: Admin Modunu Kapatın ve Anahtarları Hemen Değiştirin

SlowMist, tüm dağıtım yapanlara şu adımları öneriyor:

• Admin modunu hemen devre dışı bırakın
• Tüm API anahtarlarını ve özel anahtarları değiştirin
• JWT sırrını güçlü ve rastgele bir değerle yenileyin
• Hassas uç noktaları kısıtlayın
• NOFX AI’ı doğrudan kamuya açık internete çıkarmayın

Açık kaynaklı yapay zekâ alım satım araçları hızla büyüyor. Ancak bu olay, tam güvenlik denetiminden geçmeden erken aşama sistemleri dağıtmanın ciddi riskler taşıdığını gösteriyor. NOFX AI bu açıkları tamamen gidermeden, herhangi bir kamusal dağıtım yüksek riskli kabul edilmeli.