根據 ChainCatcher 的報告,0G 基金會通過 X 平臺報告了對其獎勵合約的針對性攻擊。攻擊者利用了 0G 獎勵合約的緊急提現功能,盜取了 520,010 $0G 代幣,這些代幣隨後通過 Tornado Cash 進行了橋接和分散。
攻擊者從負責管理 NFT 狀態和獎勵更新的阿里雲實例中獲取了泄露的私鑰,並將該密鑰存儲在本地。此漏洞是由於 Next.js(CVE-2025-66478)中的一個嚴重漏洞所致,該漏洞於 12 月 5 日被利用,導致多個阿里雲實例受到影響。攻擊者通過內部 IP 地址進行橫向移動,影響了校準服務、驗證節點、Gravity NFT 服務、節點銷售服務、計算、Aiverse、Perpdex、Ascend 等。
確認的損失包括 520,010 $0G 代幣、9.93 ETH 和 $4,200 USDT。儘管發生了泄露,但核心鏈基礎設施和用戶資金仍然未受影響,獎勵分配合約除外。
