تعرض مستخدمو نظام التداول NOFX AI المستند إلى DeepSeek وQwen لسرقة العملات المشفرة وتسريب المفاتيح الخاصة

قادت شركة SlowMist، وهي شركة أمن البلوك تشين، تحقيقًا كشف عن ثغرات أمنية خطيرة في NOFX AI، وهو نظام تداول العقود الآجلة للعملات المشفرة مفتوح المصدر مبني على DeepSeek وبنية نموذج اللغة الكبيرة لـ Qwen. 

وفقًا للنتائج المنشورة على موقع Web3Caff، فإن العيوب الموجودة في إصدارات متعددة من النظام تركت بعض المستخدمين عرضة لتسريبdentdentdentdentdentdentdentdentdent.

بعد إجراء تلك الاكتشافات، تواصل فريق SlowMist مع فرق الأمن في Binance و OKX، الذين عملوا مع الفريقdentالمستخدمين المتضررين وإلغاء المفاتيح المخترقة.

تم الكشف عن ثغرات في المصادقة في إصدارات متعددة

بدأ تحقيق SlowMist بعد أن تلقى الفريق معلومات استخباراتية من باحث مجتمعي يعمل تحت اسم المستخدم @Endlessss20، والذي اشتبه في أن برنامج NOFX AI قد يقوم بتسريب مفاتيح واجهة برمجة تطبيقات التبادل. 

كوس، مؤسس SlowMist، والذي يستخدم اسم المستخدم X @evilcos، في البداية بجهود NOFX AI مفتوحة المصدر، واصفًا إياها بأنها جديرة بالثناء.

ومع ذلك، ذكر بعد ذلك أن المخاطر التي كشفوا عنها قد أدت بالفعل إلىdentسرقة حقيقية، حيث تم تسريب المفاتيح الخاصة بمحفظة بعض المستخدمين ومفاتيح واجهة برمجة تطبيقات CEX/DEX نتيجة لذلك

وأضاف كوس أن جهود الكشف الأولية لشركة SlowMist تم تنسيقها عمداً مع فرق أمن البورصة لضمان إخطار المتضررين قبل نشر التفاصيل علنًا.

dentالتحليل اللاحق الذي أجراه SlowMist مشكلتين أساسيتين في المصادقة تؤثران على أجيال الالتزام المختلفة لمستودع المصادر المفتوحة.

وبحسب ما ورد، كانت هذه المشكلة موجودة في الإصدارات القديمة والجديدة من المنصة مفتوحة المصدر؛ وبحسب ما ورد، كان النظام يعمل في حالة "مطلوب ترخيص" والتي مع ذلك تفتقر إلى ضوابط الوصول الفعلية، مما يترك وظائف المسؤول الحساسة مفتوحة بدون مصادقة.

لذا، يمكن للمهاجمين التفاعل مع واجهات برمجة التطبيقات الإدارية دون الحاجة إلى بياناتdent.

ومما زاد من تفاقم نقاط الضعف هذه في المصادقة، أن إحدى نقاط نهاية واجهة برمجة التطبيقات (API) الخاصة بالنظام كانت تعيد بيانات اتصال حساسة بشكل افتراضي، بما في ذلك مفاتيح واجهة برمجة التطبيقات (API) والأسرار المرتبطة بها لمنصات التداول مثل Binanceو Hyperliquid و Aster DEX.

استجابة أمنية منسقة مع البورصات

بعد التأكد من خطورة المشكلات، اتصلت شركة SlowMist بأقسام الأمن في Binance و OKX.

وبحسب ما ورد فقد أنشأوا غرفة عمليات أمنية مشتركة حيث قدمت شركة SlowMist معلومات استخباراتية وتقييمًا للأثر، بينما قامت فرق التبادل بتحليل بيانات واجهة برمجة التطبيقات المخترقة والتحقق منها بشكلdent.

ثم عملت المجموعات بشكل عكسي انطلاقاً من المفاتيح المكشوفةdentالحسابات المعرضة للخطر على منصاتها.

اتخذت منصات التداول إجراءات مضادة، حيث أبلغت كل مستخدم متضرر، وقامت على الفور بإلغاء مفاتيح واجهة برمجة التطبيقات (API) والمفاتيح السرية وأي بياناتdentأتمتة مرتبطة بها. وذكرت شركة SlowMist في تقريرها: "اعتبارًا من 17 نوفمبر، تم إخطار جميع مستخدمي منصات التداول المركزية المتضررين، وتم إلغاء مفاتيحهم ذات الصلة، وأصبحت أصولهم آمنة".

مع ذلك، أقرت الشركة بصعوبة الوصول إلى المستخدمين على منصات التداول اللامركزية. وذكرت SlowMist أنها Binance حاولوا التواصل مباشرةً مع عدد قليل من مستخدمي Aster و Hyperliquid ، لكنهم لم يتمكنوا من ذلك "بسبب عناوين المحافظ اللامركزية".

"إذا كنت تستخدم أنظمة التداول الآلي على منصتي Aster أو Hyperliquid، فيرجى التحقق من أي مخاطر ذات صلة ومعالجتها على الفور"، هذا ما حذرت به شركة الأمن المستخدمين.

تحذيرات لنظام التداول بالذكاء الاصطناعي

وأشار SlowMist أيضًا إلى وجود ارتفاع في مشاريع تكميم نماذج الذكاء الاصطناعي واسعة النطاق؛ ومع ذلك، فإن معظم التطبيقات مفتوحة المصدر لا تزال في مراحلها المبكرة.

لذلك، يُنصح أولئك الذين يقومون بنشر مثل هذه الأنظمة مفتوحة المصدر الناشئة بـ "إجراء عمليات تدقيق شاملة لأمن التعليمات البرمجية وتعزيز تدابير التحكم في المخاطر لتجنب الخسائر المالية"

كما قدمت شركة الأمن توصيات لفريق الذكاء الاصطناعي الخاص بـ NOFX ومستخدميه، حيث نصحتهم برفض تشغيل البرنامج في حالة اكتشاف مفتاح قالب، وتعطيل وضع المسؤول ما لم يتم تكوينه وحمايته بشكل صريح بكلمة مرورtronومصادقة OTP، وإعادة تصميم نقاط النهاية الحساسة لإرجاع البيانات الوصفية غير الحرجة فقط مع اشتراط التحقق الثانوي للوصول باستخدام المفتاح الخاص أو مفتاح API، من بين أمور أخرى.

وحذرت الشركة من أنه "إلى حين أن يكمل فريق التطوير هذه الإصلاحات، يجب اعتبار أي نشر على الإنترنت العام عالي المخاطر"