0G Foundation: Contrato foi atacado, resultando no roubo de 520 mil $0G

De acordo com o ChainCatcher, a 0G Foundation publicou no X que um ataque direcionado comprometeu seu contrato de recompensas. O invasor explorou a função de saque de emergência do contrato de recompensas 0G, usado para distribuir recompensas da aliança, e roubou 520.010 tokens $0G, que foram posteriormente transferidos e dispersos via Tornado Cash.

O atacante obteve a chave privada vazada de uma instância da Alibaba Cloud, responsável pela gestão do estado dos NFTs e atualização das recompensas, e que armazenava a chave localmente. Devido a uma grave vulnerabilidade do Next.js (CVE-2025-66478), explorada em 5 de dezembro, várias instâncias da Alibaba Cloud foram comprometidas. O invasor se moveu lateralmente através de endereços IP internos, afetando serviços como calibração, nós validadores, serviço Gravity NFT, serviço de venda de nós, computação, Aiverse, Perpdex, Ascend, entre outros. A perda total confirmada foi de 520.010 tokens $0G, 9,93 ETH e 4.200 dólares em USDT. Exceto pelo contrato de distribuição de recompensas, a infraestrutura central da blockchain e os fundos dos usuários não foram afetados.