最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- SlowMist は、問題が修正されるまで NOFX AI の展開は依然として高いリスクを伴うと警告し、緊急のセキュリティ監査と修正を促した。
- Binance とOKXはSlowMistと協力して、影響を受けたユーザーをdentし、侵害されたキーを取り消しました。.
- AsterやHyperliquidのような分散型取引所のユーザーにアクセスするのは困難で、公的なリスク警告が出された。.
ブロックチェーンセキュリティ企業SlowMistが調査を主導し、DeepSeekとQwenの大規模言語モデルアーキテクチャ上に構築されたオープンソースの暗号通貨先物取引システムNOFX AIに重大な脆弱性があることを明らかにした。.
Web3Caffで公開された調査結果によると 、システムの複数のバージョンに存在する欠陥により、一部のユーザーが認証dentを入手できたというdent。漏洩の危険にさらされており、場合によっては攻撃者がウォレットの秘密鍵や集中型および分散型取引所の API情報
これらの発見を行った後、SlowMist チームは Binance と OKX のセキュリティ チームに連絡を取り、両社は SlowMist チームと協力して影響を受けたユーザーdent、侵害されたキーを取り消しました。.
複数のバージョンで認証の欠陥が露呈
SlowMist の調査は、@Endlessss20 というハンドル名で活動するコミュニティ研究者から、NOFX AI が取引所の API キーを漏洩している可能性があると疑う情報をチームが受け取った後に始まりました。.
SlowMistの創設者であり、Xのハンドルネーム@evilcosを使用しているCos氏は 、当初NOFX AIのオープンソースへの取り組みを称賛し、高く評価していた。
しかし、彼はその後、「明らかにしたリスクはすでに実際の盗難dentを引き起こしており、その結果、一部のユーザーのウォレットの秘密鍵とCEX / DEX APIキーが漏洩した」と述べた。
コス氏は、スローミストの最初の情報開示の取り組みは、詳細が公開される前に影響を受けた人々に確実に通知されるよう、取引所のセキュリティチームと意図的に調整されたと付け加えた。.
SlowMist のその後の分析では、オープンソース リポジトリのさまざまなコミット世代に影響を及ぼす 2 つの主要な認証問題がdentされました。.
この問題はオープンソース プラットフォームの古いバージョンと新しいバージョンの両方で存在していたと報告されています。システムは「認証が必要」の状態で実行されていましたが、実際のアクセス制御が欠如していたため、機密性の高い管理者 (admin) 機能が認証なしで開いたままになっていました。.
そのため、攻撃者はdent情報を必要とせずに管理 API と対話できます。.
これらの認証上の脆弱性をさらに悪化させているのは、システムのAPIエンドポイントの1つが、 Binance、Hyperliquid、 Aster DEX。
取引所との協調的なセキュリティ対応
SlowMistは問題の深刻さを確認した後、 Binance とOKXのセキュリティ部門に連絡を取った。.
伝えられるところによると、両社は共同セキュリティオペレーションルームを設置し、スローミスト社が情報と影響評価を提供し、取引所のチームは侵害された API データをdentに分析し検証したという。.
その後、両グループは露出した鍵から遡って、プラットフォーム上の危険にさらされているアカウントをdent。.
取引所は対策を開始し、影響を受けたすべてのユーザーに通知し、APIキー、秘密鍵、および関連する自動化dent情報を直ちに失効させました。「11月17日現在、影響を受けたすべてのCEXユーザーに通知され、関連するキーは失効しており、資産は安全です」とSlowMistはレポートで述べています。.
しかし、分散型取引所のユーザーに連絡を取ることは比較的困難であると認めた。SlowMistは、 Binance チームと共に少数のAsterおよび Hyperliquid ユーザーに直接連絡を試みたが、「分散型ウォレットアドレスのため」できなかったと述べた。
「AsterやHyperliquidで自動取引システムを使用している場合は、関連するリスクを速やかに確認し、対処してください」とセキュリティ企業はユーザーに警告した。.
AI取引エコシステムへの警告
SlowMist はまた、大規模な AI モデル量子化プロジェクトが増加しているものの、オープンソース実装のほとんどはまだ初期段階にあると指摘しました。.
したがって、このような新興のオープンソース システムを導入する人は、「徹底したコード セキュリティ監査を実施し、リスク管理対策を強化して経済的損失を回避する」ことが推奨されます。
セキュリティ企業はまた、NOFX AI チームとユーザーに対して、テンプレート キーが検出された場合はプログラムの実行を拒否すること、明示的に構成され強力tronパスワードと OTP 認証で保護されていない限り管理者モードを無効にすること、機密エンドポイントを再設計して重要でないメタデータのみを返す一方で秘密キーまたは API キー アクセスには二次検証を要求することなどを推奨しました。.
同社は、「開発チームがこれらの修正を完了するまで、パブリックインターネットへの展開は高リスクとみなされるべきだ」と警告した。
仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
ハンナ・コリモア
ハンナは、暗号資産分野で10年近くにわたりブログ執筆やイベントレポートに携わってきたライター兼エディターです。Cryptopolitan Cryptopolitan、ニュースページに記事を寄稿し、 DeFi、RWA、暗号資産規制、AI、最先端技術産業における最新の動向をレポート・分析しています。アーカディア大学で経営学の学位を取得しています。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)