开源AI trading项目NOFX资金被盗事件回顾

11 0 0

2025年10月底，随着比特币价格再次逼近12万美元，以Alpha Arena为代表的AI trading平台开始爆火，一个名为NOFX的开源AI交易系统也被许多人关注。

该项目的核心开发者是一位经验丰富的全栈工程师Larry Liu@xqliu。Larry是一位20年从业的全栈工程师，同时还是个双倍奶爸，INFP人格的他总在推文中夹杂着自嘲的幽默和对诗歌、钢琴的闲适情怀，但他对#BuildInPublic的热情却如火燎般炽热。

从10月30日v3.0.0版本发布开始，他便频繁在X上分享NOFX的进展：这是一个多代理AI竞争的自进化交易系统，融合了DeepSeek、Qwen和Claude等模型，让它们像竞技场上的斗士一样，通过实时PnL和风险约束来角逐最佳策略，最终驱动低延迟执行和实时仪表盘监控。

项目由Amber.ac支持，架构上采用Go语言的Gin后端结合SQLite数据库，前端则是React 18加TypeScript的Vite和TailwindCSS组合，支持Binance的CEX期货、Hyperliquid的DEX永续合约，以及Aster DEX的去中心化交易，目标是扩展到股票、期货、外汇等全金融市场，但当下仍聚焦于加密货币的实验性应用。

Larry在推文中强调，这不是赚钱机器，而是学习和研究的工具，用户必须小额测试，因为AI自动交易的风险如影随形。

随着11月初的到来，NOFX的热度在中文Web3社区迅速升温。Larry的推文从10月1日以来已累计超过15条，大多以中文撰写，内容从AI提示词优化到Claude Code审查PR的分享，透露出一种透明而谦逊的开发者姿态。例如，11月3日，他推广GitHub仓库（NoFxAiOS/nofx），附上系统界面的截图，兴奋地写道“AI交易员的时代已来”，呼吁大家fork仓库参与贡献；11月6日，他又晒出Claude审查PR的prompt，幽默地问“Claude Code，你最好说的是真的！我的prompt真的这么好吗？”，这篇帖获得了25个赞和6条回复，社区用户开始热议AI决策的Chain of Thought推理流程。

部署指南也简单到令人上瘾：一键Docker compose up，就能本地运行，端口3000的前端仪表盘显示股权曲线、仓位日志和AI排行榜，每3-5分钟一个决策周期，分析K线、EMA/MACD/RSI指标后执行长短仓，内置1:2止损止盈和杠杆限额（BTC/ETH≤10x，altcoin≤1.5x）。

Telegram群里，邀请码成了热门话题，用户们争相求Hyperliquid的注册链接，分享小额测试的盈利故事，比如有人用DeepSeek模型在ZEC上小赚几U，帖子点赞从18到53不等，营造出一种集体狂欢的氛围。

然而，这种兴奋在11月7日下午戛然而止，那天15:28，Larry发出一条附带钱包截图的推文，简短却震撼：“开源有风险，使用需谨慎，200U买个教训。已被盗。”

钱包地址0xc427ffde2e1ac63aaeaf99f4d5aa3e3f1221e129，本是Hyperliquid测试仓位，转眼间资金蒸发。这条帖迅速病毒式传播，91个赞、8次转推、26条回复，累计7万+浏览。

社区反应如潮水般涌来：

@shilfcrypto痛心疾首地报告“我部署的也被盗了400U左右”，

@0x_2009则分享了DeepSeek盈利后被迫转战币安的经历；

求助声此起彼伏，有人问“不是可以选择只读API吗，怎么还能盗？”，有人质疑“开源项目有后门吧？JWT没改就被扫描了？”

Larry第一时间回复，承认“之前没用API钱包……软件bug，API返回了私钥”，并自责“心存侥幸，没改默认JWT token，就好像家里没关门”。

溯源显示，这次事件并非外部黑客入侵仓库，而是本地部署高峰期（11月6-8日）的连锁反应：

用户多用Docker一键启动，默认配置下后端API端口8080暴露公网，公网扫描工具如Shodan轻易嗅到未修改的JWT（相当于默认密码），再利用Gin框架的端点bug——/api/wallet返回明文私钥而非加密存储——伪造请求窃取签名权，继而绑定交易所执行恶意转出。

攻击者专业，用新nonce钱包洗钱至Tornado Cash，形式上像DeFi常见的“开门揖盗”，但根源更深：

开源便利性与用户惰性碰撞，文档虽有.env更新提醒，却未强制随机key生成；

AI交易的私钥直连Hyperliquid等DEX，本就零泄露原则未全覆盖，缺乏2FA或限额校验；

生态因素下，社区急于测试忽略审计，类似2022年Wintermute的160M损失或近期Balancer的70M+池子排水，都源于暴露服务和社会工程的双重失误。这里，总损失散布在散户间，估算<10K USD，但打击了信心——盈利帖的喜悦瞬间转为警醒的集体自省。

Larry没有止步于自责，11月8日清晨，他连发多条推文，宣布dev分支已修复：“团队两天没睡，肝了潜在安全风险。”新版自动生成随机JWT和key，API响应加密私钥，不再明文返回；旧部署需手动同步代码，重设.env和docker-compose.yml。

同一时间，他贡献Claude Max的审查PR #742，覆盖7大维度：业务逻辑的Edge Case、技术架构的KISS原则、契约连通性的Schema验证、高发问题的命名一致、零假设的证据字段、E2E可见性的路径追踪，以及Web3 AI安全的私钥零泄露、交易nonce验证、提示注入防护、资金限额监控等。

帖中，他晒出审查结果：

通过的PR可直推，安全漏洞一票否决，呼吁Web3社区监督。

这波操作获4个赞和1次转推，回复中@blackanger追问“不是后门吧？”，Larry澄清“公网扫描+bug组合”；

@AtomRockCow讨论端口关闭无效，Larry解释“API开放即泄露，前端3000再转”。

下午，他甚至再冲200U测试，晒钱包地址“谁能转走算你厉害，愿赌服输”，并强调“新系统极大增强安全性，来啊？爷不怕！”

社区还有人在求邀请码，Larry笑称“这个是被盗的，废弃了”；@naodai87问修复，Larry简答“解决了”。

这场事件的影响如涟漪般扩散，正面是安全意识的集体觉醒——帖子浏览破10万，贡献者从41人微增，TG群转向分享审计checklist，推动roadmap加速RBAC和2FA升级；负面则是短期犹豫，新用户观望，声誉小损虽有盈利分享缓冲，但警告帖的viral效应放大开源风险的刻板印象。

长远看，它成了AI trading的基准教训：

新兴Web3 AI缺乏MEV保护和多预言机规范，类似StreamDefi的“hack”（实为杠杆爆仓93M）提醒，透明不等于安全。

Larry的透明处理方式，不仅挽回信任，还激发PR迭代，项目仓库star虽未爆，但fork活跃，证明开源韧性。

回首这场风波，部署AI trading时，开发者与用户都需筑牢防线：

首先，绝不能用默认token或key，必须用uuid生成随机值，新版虽自动，但运行中同步dev分支，手动编辑.env和docker-compose.yml，避免“没锁门”的侥幸；