Les utilisateurs de DeepSeek et du système de trading IA NOFX basé sur Qwen victimes de vols de cryptomonnaies et de fuites de clés privées

SlowMist, une entreprise spécialisée dans la sécurité blockchain, a mené une enquête qui a mis au jour des vulnérabilités critiques dans NOFX AI, un système de trading de contrats à terme sur cryptomonnaies open source construit sur l'architecture à grand modèle de langage de DeepSeek et Qwen. 

Selon les conclusions publiées sur Web3Caff, des failles dans plusieurs versions du système ont exposé certains utilisateurs àdentdentdentdentdentdentdentdentdent.

Après avoir fait ces découvertes, l'équipe de SlowMist a contacté les équipes de sécurité de Binance et d'OKX, qui ont travaillé avec l'équipe pourdentles utilisateurs touchés et révoquer les clés compromises.

Des failles d'authentification ont été découvertes dans plusieurs versions

L'enquête de SlowMist a débuté après que l'équipe a reçu des informations d'un chercheur de la communauté opérant sous le pseudonyme @Endlessss20, qui soupçonnait que NOFX AI pourrait divulguer des clés API d'échange. 

Cos, le fondateur de SlowMist, qui utilise le pseudo X @evilcos, a initialement fait l'éloge des efforts open-source de NOFX AI, les qualifiant de louables.

Il a toutefois déclaré par la suite que les risques qu'ils avaient « divulgués ont déjà conduit à de véritablesdentde vol, au cours desquels les clés privées des portefeuilles de certains utilisateurs et les clés API CEX/DEX ont été divulguées »

Cos a ajouté que la première tentative de divulgation de SlowMist avait été délibérément coordonnée avec les équipes de sécurité des plateformes d'échange afin de garantir que les personnes concernées soient informées avant que les détails ne soient rendus publics.

L'analyse ultérieure de SlowMist adentdeux problèmes d'authentification fondamentaux affectant différentes générations de commits du dépôt open-source.

Ce problème était apparemment présent dans les versions anciennes et récentes de la plateforme open-source ; le système fonctionnait apparemment dans un état « Autorisation requise » qui, néanmoins, ne disposait pas de contrôles d’accès réels, laissant des fonctions d’administrateur sensibles (admin) ouvertes sans authentification.

Ainsi, les attaquants pouvaient interagir avec les API d'administration sans avoir besoin d'dent.

Pour aggraver ces faiblesses d'authentification, l'un des points de terminaison API du système renvoyait par défaut des données de connexion sensibles, notamment les clés API et les secrets associés pour des plateformes d'échange telles que Binance, Hyperliquid et Aster DEX.

Réponse de sécurité coordonnée avec les bourses

Après avoir confirmé la gravité des problèmes, SlowMist a contacté les services de sécurité de Binance et d'OKX.

Ils auraient mis en place une salle d'opérations de sécurité conjointe où SlowMist a fourni des renseignements et une évaluation d'impact, tandis que les équipes d'échange ont analysé et vérifié dedentles données API compromises.

Les groupes ont ensuite procédé à une analyse rétrospective à partir des clés exposées pourdentles comptes à risque sur leurs plateformes.

Les plateformes d'échange ont pris des mesures en informant chaque utilisateur concerné et en révoquant immédiatement leurs clés API, leurs clés secrètes et tous lesdentd'automatisation associés. « Au 17 novembre, tous les utilisateurs de CEX concernés ont été notifiés, leurs clés ont été révoquées et leurs actifs sont en sécurité », a indiqué SlowMist dans son rapport.

Cependant, SlowMist a reconnu qu'il était relativement plus difficile de contacter les utilisateurs sur les plateformes d'échange décentralisées. L'entreprise a indiqué que son équipe et celle Binance avaient tenté de contacter directement un petit nombre d'utilisateurs d'Aster et d'Hyperliquid , mais que cela s'était avéré impossible « en raison de la nature décentralisée des adresses des portefeuilles ».

« Si vous utilisez des systèmes de trading automatisés sur Aster ou Hyperliquid, veuillez vérifier et traiter rapidement tout risque associé », a averti la société de sécurité.

Avertissements concernant l'écosystème du trading basé sur l'IA

SlowMist a également souligné que l'on observe une augmentation des projets de quantification de modèles d'IA à grande échelle ; cependant, la plupart des implémentations open source en sont encore à leurs débuts.

Par conséquent, il est conseillé à ceux qui déploient de tels systèmes open source émergents de « procéder à des audits de sécurité du code approfondis et de renforcer les mesures de contrôle des risques afin d’éviter les pertes financières »

La société de sécurité a également formulé des recommandations à l'intention de l'équipe NOFX AI et des utilisateurs, leur conseillant notamment de refuser d'exécuter le programme si une clé de modèle est détectée, de désactiver le mode administrateur sauf s'il est explicitement configuré et protégé par un mot de passetronet une authentification OTP, et de repenser les points de terminaison sensibles afin qu'ils ne renvoient que des métadonnées non critiques tout en exigeant une vérification secondaire pour l'accès par clé privée ou clé API.

L’entreprise a averti que « tant que l’équipe de développement n’aura pas finalisé ces correctifs, tout déploiement sur Internet public devra être considéré comme à haut risque »