Theo ChainCatcher, Quỹ 0G đã báo cáo một cuộc tấn công có mục tiêu vào hợp đồng phần thưởng của mình thông qua nền tảng X. Kẻ tấn công đã khai thác chức năng rút tiền khẩn cấp của hợp đồng phần thưởng 0G, đánh cắp 520,010 $0G tokens, sau đó đã được chuyển cầu và phân tán qua Tornado Cash.
Kẻ tấn công đã truy cập một khóa riêng bị rò rỉ từ một phiên bản Alibaba Cloud chịu trách nhiệm quản lý trạng thái NFT và cập nhật phần thưởng, lưu trữ khóa cục bộ. Lỗ hổng này được tạo điều kiện bởi một lỗ hổng nghiêm trọng trong Next.js (CVE-2025-66478) đã bị khai thác vào ngày 5 tháng 12, dẫn đến nhiều phiên bản Alibaba Cloud bị xâm phạm. Kẻ tấn công đã di chuyển theo chiều ngang thông qua các địa chỉ IP nội bộ, ảnh hưởng đến các dịch vụ hiệu chuẩn, nút xác thực, dịch vụ Gravity NFT, dịch vụ bán nút, điện toán, Aiverse, Perpdex, Ascend và các dịch vụ khác.
Các khoản lỗ đã xác nhận bao gồm 520,010 $0G tokens, 9.93 ETH, và $4,200 USDT. Mặc dù có sự vi phạm, cơ sở hạ tầng chuỗi chính và quỹ người dùng vẫn không bị ảnh hưởng, ngoại trừ hợp đồng phân phối phần thưởng.
