nofx

オープンソース AI 取引システム NoFx 開発者 Tinkle の声明Tinkle は、プロジェクトの初期参加者 Zack によって引き起こされたコミュニティの論争について、昨日説明を発表しました。Zack は 2025 年 10 月 29 日にプロジェクトがオープンソース化された後に参加し、約 14 日間のみ活動し、少量のコードを貢献しました。その後、Amber を商業化に参加させることを条件に 50% の株式を要求しましたが、拒否された後、プロジェクトの Twitter アカウントを押収し、弁護士を通じて 50 万 USDT を要求し、複数のチャネルで虚偽の情報を発信しました。Tinkle は関連記録がすべて確認可能であることを示し、チームは個人の論争には応じず、製品開発に専念すると述べました。これに対し、Zack は声明を発表し、関連する指摘が重大な事実誤認であり、彼の個人の名声を損なうものであると反論しました。弁護士からの通知は法律事務所から発信され、証拠はすでに弁護士によって保全されています。関連する主張は合法かつ適切であり、もし論争が法的手段で解決できない場合は、完全なビデオ、音声、チャット記録およびタイムラインなどの証拠を公開すると述べました。NoFx の公式 X アカウントは、その後公開書簡を発表し、最近のコミュニティメンバー、コード使用の境界および知的財産権に関する議論は専門の弁護士チームによって統一的に処理されることを明言しました。資金調達や利益供与に関する噂を否定し、NoFx はコミュニティ主導のオープンソースプロジェクトであり、商業会社ではないことを強調しました。チームはまた、プロジェクトが AGPL-3.0 ライセンスを採用し、オープンソースの規範と貢献者の権利を法的に守ることを再確認し、今後はエンジニアリングそのものに戻り、自己ホスティングと複数の取引プラットフォーム接続をサポートする AI Trading OS の構築に専念すると述べました。さらに、Amber Group 傘下のエコシステムアクセラレーター amber.ac も声明を発表し、現時点で NoFx プロジェクトとの正式なインキュベーション、投資または商業的な協力関係は存在しないことを明確にしました。両者はオープンな業界交流を行っただけであり、技術と理性的なコミュニケーションに戻るよう呼びかけ、エコシステムの健全な発展を促進することを求めました。

オープンソースのAI取引オペレーションシステムNOFXのコア貢献者Tinkleは、Xプラットフォームで、ChainOpera AI財団が運営するテストネットが、1ヶ月前にリリースされたコードバージョンを直接デプロイしたことを発表しました。Tinkleは、相手側がUIのロゴと位置を変更しただけで、コード内には「Nofx」ブランドの識別子が残っており、ホームページの文言もほぼ同じで、事前に何のコミュニケーションも行われていないと述べました。Tinkleは、彼のシステムが過去1ヶ月で迅速にイテレーションを重ね、バイナンス、OKXなど7つの取引所に接続されたことを明らかにしました。公開声明の前に、チームは非公開のチャネルを通じて相手側に連絡を試みましたが、応答がなければ証拠を保持し、さらなる行動を取る可能性があるとしています。Tinkleは、AGPLオープンソースライセンスの精神に従い、使用、デプロイ、改善は透明性と署名を保持すべきだと強調しました。彼のチームは合計12人で、製品はユーザーが自然言語を通じて量的戦略を生成できることを目的としています。

慢雾セキュリティチームは最近、DeepSeek/Qwenに基づくオープンソースの自動化先物取引システムNOFX AIを分析し、複数の深刻な認証の脆弱性を発見しました。システムはデフォルト設定の下で「ゼロ認証」モードが存在し、管理者モードが直接有効になっているため、すべてのリクエストが検証なしで通過でき、攻撃者は/api/exchangesにアクセスして完全なAPIキーと秘密鍵を取得できます。「認証が必要」モードではJWTが追加されていますが、デフォルトのjwt_secretが依然として存在し、環境変数が設定されていない場合はデフォルトキーに戻ります。さらに、このモードでは敏感なフィールドが元のJSON形式で出力されるため、トークンが偽造または盗まれた場合、同様にキーが漏洩する可能性があります。慢雾は、現在までに千を超える公開デプロイメントインスタンスが脆弱な設定を使用していることを特定し、バイナンスおよびOKXのセキュリティチームと調整を行い、関連する証明書の交換を完了しました。チームはすべてのユーザーに対し、特にAsterまたはHyperliquid上でロボットを運用しているユーザーは設定を早急に確認するようにシステムをアップグレードするように警告しています。

慢雾の創業者である余弦はツイートで次のように述べています。「NoFxというオープンソースの自動取引システムを使用している友人たちは注意してください。私たちが開示したリスクが実際の盗難事件として現れました。一部のユーザーのウォレットの秘密鍵やCEX/DEXのAPIキーが漏洩しました。リスクを最小限に抑えるために、私たちは関連するセキュリティチームと連携し、影響を受けたユーザーに可能な限り通知を行った後に、この文を発表して詳細を開示します。」