0G Foundation: El contrato fue atacado, resultando en el robo de 520,000 $0G

Según ChainCatcher, 0G Foundation publicó en la plataforma X que un ataque dirigido comprometió su contrato de recompensas. El atacante aprovechó la función de retiro de emergencia del contrato de recompensas de 0G, utilizada para distribuir recompensas de la alianza, y robó 520.010 tokens $0G, los cuales luego fueron puenteados y dispersados a través de Tornado Cash.

El atacante obtuvo la clave privada filtrada de una instancia de Alibaba Cloud, la cual gestionaba el estado de los NFT y la actualización de recompensas, y almacenaba la clave privada localmente. Debido a una grave vulnerabilidad en Next.js (CVE-2025-66478) que fue explotada el 5 de diciembre, varias instancias de Alibaba Cloud fueron comprometidas. El atacante se movió lateralmente a través de direcciones IP internas, afectando servicios como calibración, nodos validadores, Gravity NFT, venta de nodos, cómputo, Aiverse, Perpdex, Ascend, entre otros. La pérdida total confirmada es de 520.010 tokens $0G, 9,93 ETH y 4.200 dólares en USDT. Aparte del contrato de distribución de recompensas, la infraestructura principal de la cadena y los fondos de los usuarios no se vieron afectados.