De acordo com a ChainCatcher, a Fundação 0G relatou um ataque direcionado ao seu contrato de recompensa via plataforma X. O atacante explorou a função de retirada de emergência do contrato de recompensa 0G, roubando 520,010 $0G tokens, que foram posteriormente transferidos e dispersos através do Tornado Cash.
O atacante acessou uma chave privada vazada de uma instância da Alibaba Cloud responsável por gerenciar o status de NFT e atualizações de recompensas, armazenando a chave localmente. Essa violação foi facilitada por uma vulnerabilidade crítica no Next.js (CVE-2025-66478) explorada em 5 de dezembro, levando ao comprometimento de várias instâncias da Alibaba Cloud. O atacante se moveu lateralmente através de endereços IP internos, afetando serviços de calibração, nós validador, serviços Gravity NFT, serviços de vendas de nós, computação, Aiverse, Perpdex, Ascend e outros.
As perdas confirmadas incluem 520.010 tokens $0G, 9,93 ETH e $4.200 USDT. Apesar da violação, a infraestrutura central da cadeia e os fundos dos usuários permanecem inalterados, exceto pelo contrato de distribuição de recompensas.
