La vulnérabilité du système de trading IA NOFX entraîne la compromission des clés privées et des clés API

Résumé

Le système de trading IA NOFX a été découvert comme contenant de graves vulnérabilités de sécurité, entraînant la fuite des clés privées des portefeuilles utilisateurs et des clés API d'échange. Cette compromission a entraîné le vol réel de fonds d'utilisateurs, soulignant les défis de sécurité persistants au sein du secteur des cryptomonnaies et contribuant à une augmentation record des vols d'actifs numériques au cours du premier semestre de 2025.

L'événement en détail

Divulgué par l'équipe de sécurité MistTrack, le système de trading automatisé open source NOFX AI recèle des risques de sécurité critiques. Ces vulnérabilités ont directement facilité la compromission des clés privées des portefeuilles utilisateurs et des clés API d'échange, culminant en des cas vérifiables de vol de cryptomonnaies. Les développeurs de NOFX affirment un engagement envers la sécurité, reconnaissant la gestion de fonds réels et de identifiants API, et priorisent la correction des vulnérabilités critiques pouvant entraîner le vol de fonds ou la fuite de identifiants dans les 48 heures suivant une divulgation responsable.

Implications pour le marché

L'incident NOFX AI contribue à un environnement de préoccupations sécuritaires accrues au sein de l'écosystème Web3 plus large, érodant potentiellement la confiance dans les solutions de trading automatisées basées sur l'IA. La brèche souligne l'importance critique de la manipulation et du stockage sécurisés des identifiants sensibles, en particulier les clés privées et les clés API, qui sont souvent des points de vulnérabilité dans les attaques d'infrastructure.

Contexte plus large des vols de cryptomonnaies au S1 2025

La vulnérabilité NOFX survient au milieu d'une augmentation significative des vols de cryptomonnaies. Au premier semestre de 2025, des pirates ont dérobé plus de 2,1 milliards de dollars au secteur des cryptomonnaies, selon TRM Labs, les attaques d'infrastructure représentant plus de 80 % de ces pertes. D'autres rapports, tels que le Rapport de sécurité Web3 semestriel de Hacken, indiquent des pertes cumulées dépassant 3,1 milliards de dollars au cours de la même période, dépassant le total de toute l'année 2024. Cette augmentation est caractérisée par les vols de clés privées, les exploits de phrases de récupération et les détournements de front-end, qui représentent en moyenne dix fois la taille des autres types d'exploits.

Les échanges centralisés (CEX) représentaient 94 % de tous les fonds volés au T1 2025, marquant un changement par rapport aux années précédentes où les plateformes de finance décentralisée (DeFi) étaient les principales cibles. Les échecs de contrôle d'accès ont été identifiés comme la principale cause d'environ 59 % des pertes, s'élevant à 1,83 milliard de dollars. Cette tendance souligne que la sécurisation de l'infrastructure qui gère les fonds et les identifiants des utilisateurs reste un défi critique, avec de graves répercussions financières pour les individus et l'industrie.