根据 ChainCatcher 的报告,0G 基金会通过 X 平台报告了对其奖励合约的针对性攻击。攻击者利用了 0G 奖励合约的紧急提现功能,盗取了 520,010 $0G 代币,这些代币随后通过 Tornado Cash 进行了桥接和分散。
攻击者从负责管理 NFT 状态和奖励更新的阿里云实例中获取了泄露的私钥,并将该密钥存储在本地。此漏洞是由于 Next.js(CVE-2025-66478)中的一个严重漏洞所致,该漏洞于 12 月 5 日被利用,导致多个阿里云实例受到影响。攻击者通过内部 IP 地址进行横向移动,影响了校准服务、验证节点、Gravity NFT 服务、节点销售服务、计算、Aiverse、Perpdex、Ascend 等。
确认的损失包括 520,010 $0G 代币、9.93 ETH 和 $4,200 USDT。尽管发生了泄露,但核心链基础设施和用户资金仍然未受影响,奖励分配合约除外。
