攻撃者が520,010 $0Gトークンと追加の暗号資産を盗んだ後、0G Foundationは約$520,000を失った

同社によると、0G財団へのサイバー攻撃により、50万ドル以上の暗号資産が盗まれたとのことです。

世界初の分散型オープンAIオペレーティングシステムを構築していると説明する同財団は、攻撃者が520,010 $0Gトークンを盗み出し、その後ブリッジを通じてTornado Cashに送金したと報告しています。追加の損失には9.93イーサと約4,200ドル相当のUSDTが含まれ、盗難時点での確認された総損失額は約52万ドルに達しています。

漏洩した秘密鍵に起因する攻撃

財団によると、攻撃者は侵害されたクラウドサーバーに誤って保存されていた秘密鍵にアクセスした後、影響を受けた報酬コントラクトの緊急出金機能を悪用しました。

この鍵は、NFTステータスと報酬更新を管理するAlibaba Cloudインスタンスに関連付けられていました。

「攻撃者はAliCloudインスタンスから漏洩した秘密鍵にアクセスした」と財団は述べ、平文の秘密鍵をローカルに保存することは重大な運用上の失敗であり、「これは二度と起こしてはならない慣行であることが分かった」と付け加えました。

さらなる調査により、侵害は単一のサーバーに限定されていなかったことが明らかになりました。財団によると、12月5日に人気のNext.jsウェブフレームワークの重大な脆弱性（CVE-2025-66478として追跡）を攻撃者が悪用した後、複数のAliCloudインスタンスが侵害されたとのことです。内部IPアドレスを使用して、攻撃者はシステム間を横断的に移動し、幅広いサービスに影響を与えることができました。

これらには、アライメントサービス、バリデーターノード、Gravity NFTサービス、ノード販売インフラストラクチャ、およびCompute、Aiverse、Perpdex、Ascendなどのいくつかのエコシステム製品が含まれていました。

しかし、財団はユーザーが保有する資産に直接関連する追加の損失は確認されていないと主張しています。

ブロックチェーンセキュリティ企業のCertiKは、0G関連の報酬コントラクトからの不審な引き出しを早期に警告し、後に財団によって確認された数字に沿った損失を推定していました。

0G財団の今後の展開は？

0G財団は即時のセキュリティ対策を実施したと主張しています。また、組織はNext.jsの脆弱性を修正し、影響を受けたサービスを再構築しました。

0Gが再発防止のために行っていると述べていることの一環として、財団はすべての鍵を持つサービスをTrusted Execution Environments（TEE）に移行し、重要な資金管理にマルチシグ・ウォレット要件を実装し、インフラ全体にゼロトラストセキュリティ原則を採用すると主張しています。

0G財団が報告したハック事件は、2024年11月に2億9000万ドル以上を調達した後に発生しました。これには、Hack VCが主導し、Delphi Ventures、OKX Ventures、Samsung Next、Animoca Brandsなどの投資家が参加した4000万ドルのシード資金調達ラウンドが含まれています。この調達により、プラットフォームへの出資総額は3億2500万ドルとなりました。

0Gは、この侵害が「痛みを伴うが必要な警鐘」であることを認めました。また、コミュニティが財団がどのように52万ドルを悪意のある行為者に失ったかについてより詳しく知ることができる完全な事後分析レポートを公開することを約束しました。

あなたのプロジェクトを暗号資産業界のトップマインドの前に紹介したいですか？データとインパクトが出会う次の業界レポートで紹介しましょう。