0G Foundation: Hợp đồng bị tấn công, dẫn đến việc bị đánh cắp 520,000 $0G

ChainCatcher đưa tin, 0G Foundation đã đăng trên nền tảng X rằng một cuộc tấn công có chủ đích đã phá hoại hợp đồng phần thưởng của họ. Kẻ tấn công đã lợi dụng chức năng rút tiền khẩn cấp của hợp đồng phần thưởng 0G dùng để phân phối phần thưởng liên minh, đánh cắp 520.010 token $0G, sau đó chuyển và phân tán các token này thông qua Tornado Cash.

Kẻ tấn công đã lấy được private key bị rò rỉ từ một instance của Alibaba Cloud, instance này chịu trách nhiệm quản lý trạng thái NFT và cập nhật phần thưởng, đồng thời lưu trữ private key tại local. Do một lỗ hổng nghiêm trọng của Next.js (CVE-2025-66478) bị khai thác vào ngày 5 tháng 12, nhiều instance của Alibaba Cloud đã bị xâm nhập. Kẻ tấn công đã di chuyển ngang qua các địa chỉ IP nội bộ, phạm vi ảnh hưởng bao gồm dịch vụ hiệu chuẩn, node xác thực, dịch vụ Gravity NFT, dịch vụ bán node, tính toán, Aiverse, Perpdex, Ascend, v.v. Tổng thiệt hại đã được xác nhận: 520.010 token $0G, 9,93 ETH và 4.200 USD USDT. Ngoài hợp đồng phân phối phần thưởng, cơ sở hạ tầng chuỗi lõi hoặc tài sản của người dùng không bị ảnh hưởng.