0G Foundation: Kontrak diserang, menyebabkan 520 ribu $0G dicuri

Menurut ChainCatcher, 0G Foundation menyatakan di platform X bahwa sebuah serangan yang ditargetkan telah merusak kontrak hadiah mereka. Penyerang memanfaatkan fungsi penarikan darurat dari kontrak hadiah 0G yang digunakan untuk mendistribusikan hadiah aliansi, dan mencuri 520.010 token $0G, yang kemudian dijembatani dan didistribusikan melalui Tornado Cash.

Penyerang memperoleh private key yang bocor dari instance Alibaba Cloud, yang bertanggung jawab untuk mengelola status NFT dan pembaruan hadiah, serta menyimpan private key secara lokal. Karena adanya kerentanan serius pada Next.js (CVE-2025-66478) yang dieksploitasi pada 5 Desember, beberapa instance Alibaba Cloud telah disusupi. Penyerang bergerak secara lateral melalui alamat IP internal, dengan cakupan dampak termasuk layanan kalibrasi, node validator, layanan Gravity NFT, layanan penjualan node, komputasi, Aiverse, Perpdex, Ascend, dan lainnya. Total kerugian yang telah dikonfirmasi: 520.010 token $0G, 9,93 ETH, dan 4.200 USDT. Selain kontrak distribusi hadiah, infrastruktur inti chain atau dana pengguna tidak terpengaruh.