Согласно ChainCatcher, Фонд 0G сообщил о целенаправленной атаке на свой контракт вознаграждений через платформу X. Злоумышленник использовал функцию экстренного вывода средств контракта вознаграждений 0G, похитив 520,010 токенов $0G, которые затем были переброшены и распущены через Tornado Cash.
Злоумышленник получил доступ к утекшему частному ключу из экземпляра Alibaba Cloud, отвечающего за управление статусом NFT и обновлениями вознаграждений, сохранив ключ локально. Этот инцидент стал возможен из-за критической уязвимости в Next.js (CVE-2025-66478), использованной 5 декабря, что привело к компрометации нескольких экземпляров Alibaba Cloud. Злоумышленник перемещался по внутренним IP-адресам, затрагивая услуги калибровки, узлы валидаторов, услуги Gravity NFT, услуги продаж узлов, вычисления, Aiverse, Perpdex, Ascend и другие.
Подтвержденные убытки составляют 520,010 $0G токенов, 9.93 ETH и $4,200 USDT. Несмотря на нарушение, основная цепь инфраструктуры и средства пользователей остаются нетронутыми, за исключением контракта распределения вознаграждений.
