0G Foundation: контракт подвергся атаке, в результате чего было украдено 520 тысяч $0G

ChainCatcher сообщает, что 0G Foundation опубликовал сообщение на платформе X, в котором говорится, что целенаправленная атака нарушила работу их контракта по распределению наград. Злоумышленник воспользовался функцией экстренного вывода средств в контракте наград 0G, предназначенном для распределения альянсовых наград, и похитил 520 010 токенов $0G, которые затем были перемещены и распределены через Tornado Cash.

Атакующий получил доступ к скомпрометированному приватному ключу, который был обнаружен в экземпляре Alibaba Cloud, ответственном за управление состоянием NFT и обновлением наград, причем приватный ключ хранился локально. Из-за серьезной уязвимости в Next.js (CVE-2025-66478), которая была использована 5 декабря, несколько экземпляров Alibaba Cloud были взломаны. Злоумышленник перемещался по внутренним IP-адресам, затронув такие сервисы, как калибровочные сервисы, валидаторные ноды, Gravity NFT сервис, сервис продаж нод, вычисления, Aiverse, Perpdex, Ascend и другие. Подтвержденный общий ущерб: 520 010 токенов $0G, 9,93 ETH и 4 200 долларов США в USDT. Кроме контракта распределения наград, основная инфраструктура сети и средства пользователей не пострадали.