Laut ChainCatcher berichtete die 0G-Stiftung von einem gezielten Angriff auf ihren Belohnungsvertrag über die X-Plattform. Der Angreifer nutzte die Notfallabhebungsfunktion des 0G-Belohnungsvertrags aus und stahl 520.010 $0G-Token, die anschließend über Tornado Cash überbrückt und verteilt wurden.
Der Angreifer hat auf einen geleakten privaten Schlüssel von einer Alibaba Cloud-Instanz zugegriffen, die für die Verwaltung des NFT-Status und der Belohnungsaktualisierungen verantwortlich ist, und den Schlüssel lokal gespeichert. Dieser Verstoß wurde durch eine kritische Schwachstelle in Next.js (CVE-2025-66478) erleichtert, die am 5. Dezember ausgenutzt wurde, was dazu führte, dass mehrere Alibaba Cloud-Instanzen kompromittiert wurden. Der Angreifer bewegte sich lateral durch interne IP-Adressen, was Kalibrierungsdienste, Validierungs-Knoten, Gravity NFT-Dienste, Knotenverkaufsdienste, Computing, Aiverse, Perpdex, Ascend und andere betraf.
Die bestätigten Verluste umfassen 520.010 $0G-Token, 9,93 ETH und 4.200 $USDT. Trotz des Verstoßes bleiben die Kerninfrastruktur der Kette und die Benutzerfonds unberührt, abgesehen vom Vertrag zur Verteilung der Belohnungen.
