DeepSeek旗下基于Qwen的NOFX人工智能交易系统用户遭遇加密货币盗窃和私钥泄露

区块链安全公司 SlowMist 牵头进行了一项调查，发现了 NOFX AI 中的严重漏洞。NOFX AI 是一个基于 DeepSeek 和 Qwen 的大型语言模型架构构建的开源加密货币期货交易系统。. 

根据 Web3Caff，该系统的多个版本存在缺陷，导致一些用户面临凭证dentdentdentdentdentdentdentdentdent。

在发现这些问题后，SlowMist 团队联系了 Binance OKX 的安全团队，他们与该团队合作，dent受影响的用户并撤销了被盗用的密钥。.

多个版本中暴露的身份验证缺陷

SlowMist 的调查始于该团队收到一位网名为 @Endlessss20 的社区研究员提供的情报，该研究员怀疑 NOFX AI 可能正在泄露交易所 API 密钥。. 

Cos SlowMist 的创始人（使用 X 账号 @evilcos）最初对 NOFX AI 的开源努力表示赞赏，称其值得称赞。

然而，他随后表示，他们“披露的风险已经导致了真正的盗窃dent，导致一些用户的钱包私钥和 CEX/DEX API 密钥泄露”。

Cos补充说，SlowMist最初的披露工作是特意与交易所安全团队协调进行的，以确保在细节公开之前通知受影响的人。.

SlowMist 的后续分析dent了影响开源存储库不同提交世代的两个核心身份验证问题。.

据报道，该问题存在于开源平台的旧版本和新版本中；据称，该系统运行在“需要授权”状态下，但却缺乏实际的访问控制，导致敏感的管理员（admin）功能在未经身份验证的情况下开放。.

因此，攻击者无需dent即可与管理员 API 进行交互。.

雪上加霜的是，该系统的一个 API 端点默认返回敏感的连接数据，包括 Binance、Hyperliquid 和 Aster DEX。

与交易所协调安全应对措施

在确认问题的严重性后，SlowMist 联系了 Binance OKX 的安全部门。.

据报道，他们设立了一个联合安全运营室，SlowMist 提供情报和影响评估，而交易所团队则dent分析和验证了被泄露的 API 数据。

然后，这些小组从泄露的密钥入手，dent推算出其平台上存在风险的账户。.

交易所立即启动了应对措施，通知了所有受影响的用户，并立即撤销了他们的API密钥、私钥以及任何关联的自动化dent。SlowMist在其报告中指出：“截至11月17日，所有受影响的中心化交易所用户均已收到通知，其相关密钥已被撤销，资产安全无虞。”

然而，SlowMist承认，联系去中心化交易所的用户相对困难。SlowMist表示，他们和 Binance 团队曾尝试直接联系少量Aster和 Hyperliquid 用户，但由于“钱包地址去中心化”而未能成功。

“如果您在 Aster 或 Hyperliquid 上使用自动交易系统，请立即检查并解决任何相关风险，”该安全公司警告用户。.

对人工智能交易生态系统的警告

SlowMist 还指出，大规模 AI 模型量化项目正在增加；然而，大多数开源实现仍处于早期阶段。.

因此，建议部署此类新兴开源系统的人员“进行彻底的代码安全审计，并加强风险控制措施，以避免经济损失”。

该安全公司还向 NOFX AI 团队和用户提出了建议，例如，如果检测到模板密钥，则拒绝运行该程序；除非明确配置并使用tron密码和 OTP 身份验证进行保护，否则禁用管理员模式；重新设计敏感端点，使其仅返回非关键元数据，同时要求对私钥或 API 密钥访问进行二次验证等等。.

该公司警告说，“在开发团队完成这些修复之前，任何部署到公共互联网的行为都应被视为高风险行为。”