تواجه أداة NOFX AI للتداول الآلي، وهي نظام مفتوح المصدر يعمل بتقنية الذكاء الاصطناعي، أزمة أمنية خطيرة بعد أن كشفت شركة SlowMist عن ثغرات أمنية فيها. هذه الثغرات قد تؤدي إلى تسريب مفاتيح واجهة برمجة التطبيقات (API) والمفاتيح الخاصة للمستخدمين في منصات التداول. المشكلة تؤثر على المستخدمين في منصات تداول رئيسية مثل Binance و Hyperliquid و Aster DEX. وتنصح SlowMist مطوري النظام باتخاذ إجراء فوري قبل أن يستغل المهاجمون هذه الثغرات وسرقة الأموال.
ثغرة أمنية خطيرة تعرض المفاتيح للخطر
بدأت SlowMist تحقيقاتها بعد تحذير من باحث أمني في المجتمع. اكتشف الفريق أن عدة إصدارات من نظام NOFX AI كانت تحتوي على “وضع المسؤول” مفعل بشكل افتراضي. والأسوأ من ذلك، أن النظام لم يكن يقوم بأي فحص للهوية. بسبب هذا، كان بإمكان أي شخص ببساطة زيارة الرابط العام /api/exchanges والحصول فوراً على بيانات حساسة مثل مفاتيح API والمفاتيح السرية ومفاتيح المحافظ الرقمية الخاصة.
نشأت هذه المشكلة من تحديث تم نشره في 31 أكتوبر، والذي جعل “وضع المسؤول” مفعلاً بشكل دائم في إعدادات النظام. نتيجة لذلك، كان الخادم يتخطى جميع عمليات التحقق من الصلاحية عندما يكون هذا الوضع نشطاً. بمعنى أبسط، أي نسخة من NOFX AI تعمل بالإعدادات الافتراضية كانت مفتوحة ومكشوفة بالكامل. أي شخص يملك الرابط يمكنه الدخول وأخذ المفاتيح.
محاولات الإصلاح لم تحل المشكلة الأساسية
حاول المطورون معالجة المشكلة في 5 نوفمبر بإضافة التحقق من هوية المستخدم (JWT). لكن SlowMist وجدت أن هذا التصحيح لم يغير الوضع كثيراً. الإعدادات الافتراضية لا تزال تستخدم رمز تحقق (JWT Secret) معروف للعامة، مما يسمح للمهاجمين بإنشاء رموز صالحة والاستمرار في الوصول إلى النقاط الحساسة في النظام. والأسوأ، أن الرابط الأساسي /api/exchanges استمر في عرض البيانات الحساسة بشكل مكشوف وغير مشفر.
كما أكدت SlowMist أن أحدث نسخة تطويرية من النظام لا تزال تحتوي على هذه الثغرات. ولأن النسخة الرئيسية لا تزال تستخدم الإصدار القديم الذي لا يحتوي على حماية، فإن آلاف النسخ المنشورة من النظام لا تزال مكشوفة على الإنترنت للعامة.
منصتي Binance و OKX تتدخلان لحماية المستخدمين
عندما أدركت SlowMist حجم المشكلة، اتصلت بفريقى منصتي Binance و OKX للتنسيق حول إجراءات الحماية الطارئة. معاً، قامت الفرق بمراجعة مفاتيح API المتأثرة وأجبرت على إعادة تعيينها للمستخدمين المعرضين للخطر. تم إخطار جميع المستخدمين المتأثرين في منصات التداول المركزية، وتم إلغاء مفاتيحهم. ومع ذلك، لم يتمكن الفرق من الوصول إلى جميع مستخدمي منصتي Aster و Hyperliquid بسبب طبيعة محافظهم اللامركزية. تنصح SlowMist الآن أي شخص يستخدم NOFX AI على هذه المنصات بمراجعة إعداداته على الفور.
نصائح عاجلة للمستخدمين
توصي SlowMist جميع مطوري النظام NOFX AI بما يلي:
- إيقاف تشغيل “وضع المسؤول” فوراً.
- استبدال جميع مفاتيح API والمفاتيح الخاصة فوراً.
- مراجعة جميع سجلات النظام والتحقق من أي نشاط مشبوه.
- تحديث النظام إلى أحدث إصدار آمن بعد التأكد من إصدار واحد من المطورين.
أدوات التداول الآلي مفتوحة المصدر تنمو بسرعة، لكن هذه الحالة تظهر مخاطر استخدام أنظمة غير مكتملة بدون مراجعات أمنية شاملة. حتى تقوم NOFX AI بإصلاح هذه الثغرات بالكامل، يجب على المستخدمين اعتبار أي نسخة منشورة من النظام ذات خطورة عالية.
أسئلة شائعة
ما هي المشكلة في نظام NOFX AI؟
تم اكتشاف ثغرة أمنية في نظام NOFX AI تسمح لأي شخص بالوصول إلى المفاتيح السرية ومفاتيح API للمستخدمين إذا كان النظام يعمل بالإعدادات الافتراضية، مما يعرض أموالهم للخطر.
ماذا يجب أن أفعل إذا كنت أستخدم NOFX AI؟
يجب عليك إيقاف تشغيل النظام فوراً، وتعطيل “وضع المسؤول”، واستبدال جميع مفاتيح API والمفاتيح الخاصة المرتبطة بحسابك في منصات التداول.
هل تم حل المشكلة؟
حاول المطورون إصلاح المشكلة ولكن الثغرات لا تزال موجودة في الإصدارات الحالية. لذلك، يعتبر النظام خطيراً حتى يصدر المطورون إصداراً مؤمناً بالكامل ويتم التأكد من ذلك عبر مراجعة أمنية مستقلة.
