Menurut ChainCatcher, 0G Foundation melaporkan serangan terarah pada kontrak hadiahnya melalui platform X. Penyerang mengeksploitasi fungsi penarikan darurat dari kontrak hadiah 0G, mencuri 520,010 $0G token, yang kemudian dijembatani dan disebarkan melalui Tornado Cash.
Penyerang mengakses kunci pribadi yang bocor dari instance Alibaba Cloud yang bertanggung jawab untuk mengelola status NFT dan pembaruan hadiah, menyimpan kunci tersebut secara lokal. Pelanggaran ini difasilitasi oleh kerentanan kritis di Next.js (CVE-2025-66478) yang dieksploitasi pada 5 Desember, yang mengakibatkan beberapa instance Alibaba Cloud dikompromikan. Penyerang bergerak secara lateral melalui alamat IP internal, mempengaruhi layanan kalibrasi, node validator, layanan Gravity NFT, layanan penjualan node, komputasi, Aiverse, Perpdex, Ascend, dan lainnya.
Kerugian yang dikonfirmasi termasuk 520.010 token $0G, 9,93 ETH, dan $4.200 USDT. Meskipun ada pelanggaran, infrastruktur rantai inti dan dana pengguna tetap tidak terpengaruh, kecuali kontrak distribusi hadiah.
