ChainCatcher-ə görə, 0G Fondu X platforması vasitəsilə mükafat müqaviləsinə qarşı hədəflənmiş bir hücum bildirdi. Hücum edən 0G mükafat müqaviləsinin təcili geri çəkmə funksiyasından istifadə edərək 520,010 $0G tokenini oğurladı, bu tokenlər daha sonra Tornado Cash vasitəsilə köçürüldü və yayım edildi.
Hücum edən, NFT statusunu və mükafat yeniləmələrini idarə edən Alibaba Cloud instansiyasından sızdırılmış özəl açarı əldə etdi, açarı yerli olaraq saxladı. Bu təhlükəsizlik pozuntusu, 5 dekabrda istismar edilən Next.js (CVE-2025-66478) içindəki kritik bir zəifliklə mümkün oldu və bir neçə Alibaba Cloud instansiyası təhlükəyə düşdü. Hücum edən daxili IP ünvanları vasitəsilə lateral hərəkət etdi, kalibrasiya xidmətlərinə, doğrulayıcı düyünlərə, Gravity NFT xidmətlərinə, düyün satış xidmətlərinə, hesablama, Aiverse, Perpdex, Ascend və digərlərinə təsir etdi.
Təsdiq olunmuş itkilərə 520,010 $0G tokeni, 9.93 ETH və $4,200 USDT daxildir. İstifadəçi fondları və əsas zəncir infrastrukturuna təsir etmədən, mükafatların paylanması müqaviləsi xaricində qalıb.
