Puntos clave de la noticia:
- SlowMist detectó vulnerabilidades graves en NOFX AI que exponían claves privadas y credenciales API.
- Más de 1.000 instalaciones públicas podrían haber sido afectadas.
- Se recomienda desactivar el modo administrador, restablecer claves y aplicar correcciones de seguridad de inmediato.
SlowMist lanzó una seria advertencia tras descubrir profundas brechas de seguridad dentro de NOFX AI, un sistema de trading automatizado construido sobre DeepSeek/Qwen. Lo que comenzó como una investigación rutinaria rápidamente se convirtió en un hallazgo preocupante: en varias versiones de la plataforma, atacantes podían acceder a claves privadas de wallet y credenciales API sin necesidad de autenticación. Para quienes han usado NOFX durante meses o años, la posibilidad de que los fondos hayan sido drenados silenciosamente es ahora una preocupación real.
用 @nofx_ai 这个开源自动交易系统的朋友留意下,首先需要说下 NOFX AI 本身开源工作还是挺良心的,我们披露的风险已经出现真实的盗币事件,有些使用者的钱包私钥、CEX/DEX API Key 因此泄露,感谢 @Endlessss20 的情报。… https://t.co/BFMmrHXaPQ
— Cos(余弦)😶🌫️ (@evilcos) November 17, 2025
Fallas del sistema exponen claves y generan respuesta del sector
Durante su análisis, SlowMist detectó dos fallos centrales detrás de la brecha. El primero fue un modo administrador sin autenticación, activado por defecto en algunas instalaciones, que permitía a cualquier persona consultar endpoints y extraer datos sensibles. El segundo provenía de una configuración débil de JWT con un secreto hardcodeado. Incluso después de intentar corregir el problema, el secreto por defecto permanecía sin cambios, permitiendo a los atacantes generar tokens válidos. SlowMist estima que más de 1.000 implementaciones públicas pudieron haber quedado expuestas debido a estas omisiones.
Una vez confirmados los fallos, SlowMist coordinó con grandes exchanges, incluidos Binance y OKX, para revocar claves API comprometidas y alertar a usuarios afectados. Ese proceso fue relativamente fluido en plataformas centralizadas, pero las descentralizadas plantearon un reto mayor. Quienes operan a través de cadenas como Aster o Hyperliquid fueron más difíciles de contactar, y SlowMist insistió en que quienes usen NOFX AI en entornos descentralizados deben restablecer sus claves de inmediato antes de retomar cualquier actividad.
Para reducir el riesgo de nuevos incidentes, SlowMist compartió varias recomendaciones urgentes. Las personas usuarias deben desactivar el modo administrador, reemplazar el secreto JWT por defecto por uno fuerte y único, y limitar la forma en que los endpoints manejan información sensible para evitar que devuelvan claves privadas. Hasta que el equipo de NOFX implemente correcciones más profundas, SlowMist advierte que toda instalación pública de NOFX AI debe considerarse de alto riesgo y usarse con extrema precaución.
