Selon ChainCatcher, la Fondation 0G a signalé une attaque ciblée sur son contrat de récompense via la plateforme X. L'attaquant a exploité la fonction de retrait d'urgence du contrat de récompense 0G, volant 520,010 $0G tokens, qui ont ensuite été transférés et dispersés via Tornado Cash.
L'attaquant a accédé à une clé privée divulguée d'une instance Alibaba Cloud responsable de la gestion de l'état des NFT et des mises à jour de récompenses, stockant la clé localement. Cette violation a été facilitée par une vulnérabilité critique dans Next.js (CVE-2025-66478) exploitée le 5 décembre, entraînant la compromission de plusieurs instances Alibaba Cloud. L'attaquant a progressé latéralement à travers des adresses IP internes, affectant les services de calibration, les nœuds validateurs, les services Gravity NFT, les services de vente de nœuds, le calcul, Aiverse, Perpdex, Ascend, et d'autres.
Les pertes confirmées incluent 520,010 $0G tokens, 9,93 ETH et 4 200 $ USDT. Malgré la violation, l'infrastructure de la chaîne principale et les fonds des utilisateurs restent inchangés, à l'exception du contrat de distribution de récompenses.
