최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- SlowMist는 긴급한 보안 감사 및 수정을 촉구하며, 문제가 해결될 때까지 NOFX AI 배포는 여전히 고위험군에 속한다고 경고했습니다.
- Binance 와 OKX는 슬로우미스트와 협력하여 피해를 입은 사용자를dent하고 손상된 키를 취소했습니다.
- Aster와 Hyperliquid 같은 탈중앙화 거래소 사용자들에게 접근하기 어려워 공개적인 위험 경고가 발령되었습니다.
블록체인 보안 회사인 SlowMist는 DeepSeek과 Qwen의 대규모 언어 모델 아키텍처를 기반으로 구축된 오픈 소스 암호화폐 선물 거래 시스템인 NOFX AI에서 심각한 취약점을 발견한 조사를 주도했습니다.
에 발표된 조사 결과에 따르면 Web3Caff, 시스템의 여러 버전에서 발견된 결함으로 인해 일부 사용자의 자격 증명이 유출되었으며dentdentdentdentdentdentdentdentdent.
이러한 사실을 발견한 후, SlowMist 팀은 Binance 와 OKX의 보안 팀에 연락했고, 보안 팀과 협력하여 영향을 받은 사용자를dent하고 손상된 키를 취소했습니다.
여러 버전에서 인증 취약점이 발견되었습니다
SlowMist의 조사는 팀이 @Endlessss20이라는 아이디로 활동하는 커뮤니티 연구원으로부터 NOFX AI가 거래소 API 키를 유출하고 있을 가능성이 있다는 정보를 입수하면서 시작되었습니다.
Cos는 SlowMist의 창립자이자X 계정 @evilcos를 사용하는
그러나 그는 그들이 공개한 위험으로 인해 이미 실제 절도dent이 발생했으며, 그 결과 일부 사용자의 지갑 개인 키와 CEX/DEX API 키가 유출되었다고 밝혔습니다
코스는 또한 슬로우미스트의 초기 정보 공개 노력은 영향을 받는 사람들이 세부 정보가 공개되기 전에 알 수 있도록 거래소 보안 팀과 의도적으로 조율된 것이라고 덧붙였습니다.
SlowMist의 후속 분석 결과, 오픈 소스 저장소의 서로 다른 커밋 세대에 영향을 미치는 두 가지 핵심 인증 문제가dent되었습니다.
이 문제는 오픈 소스 플랫폼의 이전 버전과 최신 버전 모두에서 발생했던 것으로 알려졌습니다. 시스템이 "권한 필요" 상태로 실행되었지만 실제 접근 제어가 부족하여 인증 없이 관리자(admin)의 민감한 기능에 접근할 수 없었던 것입니다.
따라서 공격자는dent증명 없이도 관리자 API와 상호 작용할 수 있습니다.
이러한 인증 취약점을 더욱 악화시키는 것은 시스템의 API 엔드포인트 중 하나가 기본적으로 Binance, 하이퍼리퀴드, 아스터 DEX.
거래소와의 협력적인 보안 대응
문제의 심각성을 확인한 후, SlowMist는 Binance 와 OKX의 보안 부서에 연락을 취했습니다.
보도에 따르면, 이들은 공동 보안 작전실을 설치하여 SlowMist가 정보와 영향 평가를 제공하는 동안 거래소 팀은dent으로 손상된 API 데이터를 분석하고 검증했습니다.
그 후 해당 그룹들은 유출된 키를 역추적하여 플랫폼에서 위험에 처한 계정을dent.
거래소들은 대응 조치를 시작하여 영향을 받은 모든 사용자에게 알리고 API 키, 비밀 키 및 연결된 자동화 자격dent즉시 취소했습니다. 슬로우미스트는 보고서에서 "11월 17일 현재, 영향을 받은 모든 중앙거래소(CEX) 사용자에게 알림이 전송되었고 관련 키가 취소되었으며 자산은 안전합니다."라고 밝혔습니다.
하지만 SlowMist는 탈중앙화 거래소 사용자에게 연락하는 것이 상대적으로 더 어렵다고 인정했습니다. SlowMist는 바이 Binance 팀과 함께 소수의 Aster 및 Hyperliquid 사용자에게 직접 연락을 시도했지만 "탈중앙화 지갑 주소 때문에" 연락할 수 없었다고 밝혔습니다.
보안 업체는 사용자들에게 "Aster 또는 Hyperliquid에서 자동 거래 시스템을 사용하고 있다면 관련 위험 요소를 즉시 확인하고 해결하십시오"라고 경고했습니다.
AI 기반 거래 생태계에 대한 경고
SlowMist는 또한 대규모 AI 모델 양자화 프로젝트가 증가하고 있지만, 대부분의 오픈 소스 구현은 여전히 초기 단계에 있다고 지적했습니다.
따라서 이러한 새로운 오픈소스 시스템을 도입하는 사람들은 "재정적 손실을 방지하기 위해 철저한 코드 보안 감사를 실시하고 위험 관리 조치를 강화해야 한다"는 권고를 받습니다
보안 업체는 NOFX AI 팀과 사용자에게 다음과 같은 권장 사항도 제시했습니다. 템플릿 키가 감지되면 프로그램 실행을 거부하고, 명시적으로 구성되지 않은 경우 관리자 모드를 비활성화하고tron암호 및 OTP 인증으로 보호하며, 민감한 엔드포인트를 재설계하여 중요하지 않은 메타데이터만 반환하고 개인 키 또는 API 키 액세스에 대한 2차 인증을 요구하는 등의 조치를 권고했습니다.
해당 업체는 "개발팀이 이러한 수정 작업을 완료할 때까지 공용 인터넷에 배포하는 것은 위험도가 높은 것으로 간주해야 한다"고 경고했습니다
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)