**Фонд 0G сообщил о взломе и хищении 520 тысяч токенов $0G**

13 декабря Фонд 0G через социальную сеть X сообщил о целенаправленной атаке на свой контракт вознаграждений. Злоумышленник воспользовался функцией экстренного вывода средств из этого контракта, предназначенного для выплат партнёрам, и похитил 520 010 токенов $0G. Похищенные средства были отмыты через миксер Tornado Cash.

Доступ был получен после компрометации приватного ключа на сервере Alibaba Cloud, который использовался для обновления статусов NFT и данных о наградах. Ключ хранился локально. Взлом стал возможным из-за критической уязвимости (CVE-2025-66478) в фреймворке Next.js, активная эксплуатация которой началась 5 декабря и привела к компрометации нескольких серверов Alibaba Cloud.

Злоумышленник перемещался по внутренней сети, затрагивая такие сервисы, как калибровочный сервис, ноды валидаторов, сервис Gravity NFT, сервис продажи нод, а также проекты Aiverse, Perpdex, Ascend и другие.

Подтверждённый общий ущерб оценивается в 520 010 токенов $0G, 9,93 ETH и 4200 USDT. Фонд заявил, что, за исключением контракта на распределение вознаграждений, основная блокчейн-инфраструктура и средства пользователей не пострадали.