根据公司报告,0G基金会遭受的网络攻击导致价值超过50万美元的加密货币被盗。
该基金会正在构建其描述为全球首个去中心化和开放式AI操作系统,报告称攻击者窃取了520,010个$0G代币,这些代币随后被桥接出去并通过Tornado Cash路由。额外损失包括9.93个ether和大约4,200美元的USDT,使得盗窃时确认的总损失约为520,000美元。
漏洞被追溯到泄露的私钥
据该基金会称,攻击者在获取了一个无意中存储在受损云服务器上的私钥后,利用了受影响奖励合约中的紧急提款功能。
该密钥与负责管理NFT状态和奖励更新的阿里巴巴云实例相关联。
"攻击者从AliCloud实例访问了泄露的私钥,"该基金会表示,并补充说在本地存储明文私钥是一个关键的操作失误,称"这是我们现在知道绝不能再发生的做法。"
进一步调查显示,入侵不仅限于单一服务器。该基金会表示,在攻击者于12月5日利用流行的Next.js网络框架中的一个关键漏洞(追踪为CVE-2025-66478)后,多个AliCloud实例被入侵。使用内部IP地址,攻击者能够横向移动穿越系统,影响了广泛的服务。
这些包括对齐服务、验证节点、Gravity NFT服务、节点销售基础设施,以及几个生态系统产品,如Compute、Aiverse、Perpdex和Ascend。
然而,该基金会坚称尚未发现与用户持有资产直接相关的额外损失。
区块链安全公司CertiK早前标记了来自0G相关奖励合约的可疑提款,估计的损失与基金会后来确认的数字一致。
0G基金会接下来会怎样?
0G基金会声称已实施了即时安全措施。该组织还修补了Next.js漏洞并重建了受影响的服务。
作为0G表示正在采取的防止重复事件的措施的一部分,该基金会声称将把所有携带密钥的服务迁移到可信执行环境(TEEs),为关键资金管理实施多重签名钱包要求,并在其基础设施中采用零信任安全原则。
0G基金会报告的黑客事件发生在其于2024年11月筹集超过2.9亿美元之后,包括由Hack VC领导的4000万美元种子轮融资,参与者包括Delphi Ventures、OKX Ventures、Samsung Next、Animoca Brands等投资者。这使得该平台的承诺资金达到3.25亿美元。
0G承认这次入侵是"一个痛苦但必要的警钟"。它还承诺发布完整的事后分析报告,其社区可以期待了解更多关于基金会如何损失52万美元给不法分子的信息。
立即加入Bybit并在几分钟内领取50美元奖金
来源:https://www.cryptopolitan.com/0g-foundation-reports-520k-defi-hack/
