느린 안개 보안 팀, NOFX AI의 심각한 인증 취약점 발견

느린 안개 보안 팀은 최근 DeepSeek/Qwen 기반의 오픈 소스 자동화 선물 거래 시스템 NOFX AI를 분석한 결과, 여러 심각한 인증 취약점을 발견했습니다. 시스템은 기본 구성에서 "제로 인증" 모드가 존재하며, 관리자 모드가 직접 활성화되어 모든 요청이 검증 없이 통과할 수 있게 되어 있습니다. 공격자는 /api/exchanges에 접근하여 전체 API 키와 비밀 키를 얻을 수 있습니다. "권한 필요" 모드에서는 JWT가 추가되었지만, 기본 jwt_secret이 여전히 존재하며, 환경 변수를 설정하지 않으면 기본 키로 되돌아갑니다. 또한, 이 모드에서는 민감한 필드가 원본 JSON으로 출력되어, 토큰이 위조되거나 도난당할 경우 키가 유출될 수 있습니다.

느린 안개는 현재까지 1,000개 이상의 공개 배포 인스턴스가 취약한 구성을 사용하고 있음을 확인했으며, 바이낸스 및 OKX 보안 팀과 협력하여 관련 자격 증명 교체를 완료했습니다. 팀은 모든 사용자에게 즉시 시스템을 업그레이드할 것을 권장하며, 특히 Aster 또는 Hyperliquid에서 로봇을 운영하는 사용자들은 설정을 신속히 점검해야 한다고 강조했습니다.