0G Foundation : le contrat a été attaqué, entraînant le vol de 520 000 $0G

Selon ChainCatcher, 0G Foundation a publié sur la plateforme X qu'une attaque ciblée a compromis son contrat de récompense. L'attaquant a exploité la fonction de retrait d'urgence du contrat de récompense 0G, utilisé pour distribuer les récompenses de l'alliance, et a dérobé 520 010 tokens $0G, qui ont ensuite été transférés et dispersés via Tornado Cash.

L'attaquant a obtenu la clé privée divulguée dans une instance Alibaba Cloud, laquelle était responsable de la gestion de l'état des NFT et de la mise à jour des récompenses, et stockait la clé privée localement. En raison d'une vulnérabilité critique de Next.js (CVE-2025-66478) exploitée le 5 décembre, plusieurs instances Alibaba Cloud ont été compromises. L'attaquant s'est déplacé latéralement via des adresses IP internes, affectant notamment les services de calibration, les nœuds validateurs, le service Gravity NFT, le service de vente de nœuds, le calcul, Aiverse, Perpdex, Ascend, etc. Le montant total confirmé des pertes est de : 520 010 tokens $0G, 9,93 ETH et 4 200 dollars USDT. À l'exception du contrat de distribution des récompenses, aucune infrastructure principale de la chaîne ni fonds des utilisateurs n'ont été affectés.