بنیاد 0G پس از اینکه مهاجمان 520,010 توکن $0G و سایر ارزهای دیجیتال را به سرقت بردند، حدود 520,000 دلار از دست داد

طبق گفته شرکت، یک حمله سایبری به بنیاد 0G منجر به سرقت بیش از نیم میلیون دلار ارز دیجیتال شده است.

این بنیاد که در حال ساخت آنچه به عنوان اولین سیستم عامل مبتنی بر هوش مصنوعی غیر متمرکز و باز جهان توصیف می‌کند، گزارش داد که یک مهاجم ۵۲۰,۰۱۰ توکن $0G را سرقت کرده که بعداً از طریق پل به بیرون منتقل شده و از طریق Tornado Cash مسیردهی شده است. خسارات اضافی شامل ۹.۹۳ اتر و حدود ۴,۲۰۰ دلار در USDT بود که مجموع خسارت تأیید شده را در زمان سرقت به حدود ۵۲۰,۰۰۰ دلار رساند.

ردیابی سوءاستفاده به کلید خصوصی درز شده

طبق گفته بنیاد، مهاجم پس از دسترسی به کلید خصوصی که به طور ناخواسته در یک سرور ابری آسیب‌پذیر ذخیره شده بود، از یک عملکرد برداشت اضطراری در قرارداد پاداش آسیب‌دیده سوءاستفاده کرد.

این کلید به یک نمونه Alibaba Cloud مرتبط بود که مسئول مدیریت وضعیت NFT و به‌روزرسانی‌های پاداش بود.

بنیاد گفت: "مهاجم به یک کلید خصوصی درز شده از یک نمونه AliCloud دسترسی پیدا کرد،" و افزود که ذخیره‌سازی کلیدهای خصوصی متنی به صورت محلی یک شکست عملیاتی بحرانی بود و گفت: "این روشی است که اکنون می‌دانیم هرگز نباید دوباره اتفاق بیفتد."

تحقیقات بیشتر نشان داد که نقض امنیتی محدود به یک سرور نبود. بنیاد گفت چندین نمونه AliCloud پس از اینکه مهاجمان از یک آسیب‌پذیری بحرانی در چارچوب وب محبوب Next.js، که به عنوان CVE-2025-66478 ردیابی می‌شود، در ۵ دسامبر سوءاستفاده کردند، به خطر افتادند. مهاجم با استفاده از آدرس‌های IP داخلی توانست به صورت جانبی در سیستم‌ها حرکت کند و طیف گسترده‌ای از خدمات را تحت تأثیر قرار دهد.

این موارد شامل سرویس تراز، یک نود اعتبارسنج، سرویس NFT گرانش، زیرساخت فروش نود و چندین محصول اکوسیستم مانند Compute، Aiverse، Perpdex و Ascend بود.

با این حال، بنیاد اعلام کرده است که هیچ خسارت اضافی مرتبط مستقیم با دارایی‌های کاربران شناسایی نشده است.

CertiK، یک شرکت امنیت بلاک چین، پیش‌تر برداشت‌های مشکوک از یک قرارداد پاداش مرتبط با 0G را پرچم‌گذاری کرده بود و خسارات را مطابق با ارقامی که بعداً توسط بنیاد تأیید شد، تخمین زده بود.

گام بعدی برای بنیاد 0G چیست؟

بنیاد 0G ادعا می‌کند که اقدامات امنیتی فوری را اجرا کرده است. این سازمان همچنین آسیب‌پذیری Next.js را برطرف کرده و سرویس‌های آسیب‌دیده را بازسازی کرده است.

به عنوان بخشی از آنچه 0G گفته برای جلوگیری از تکرار حادثه انجام می‌دهد، این بنیاد ادعا می‌کند که تمام سرویس‌های دارای کلید را به محیط‌های اجرایی قابل اعتماد (TEEs) منتقل خواهد کرد، الزامات کیف پول چند امضایی را برای مدیریت وجوه حیاتی پیاده‌سازی خواهد کرد و اصول امنیتی اعتماد صفر را در سراسر زیرساخت خود اتخاذ خواهد کرد.

حادثه هک که بنیاد 0G گزارش داده پس از آن رخ داد که این بنیاد در نوامبر ۲۰۲۴ بیش از ۲۹۰ میلیون دلار جمع‌آوری کرد، از جمله یک دور سرمایه‌گذاری اولیه ۴۰ میلیون دلاری به رهبری Hack VC با مشارکت Delphi Ventures، OKX Ventures، Samsung Next، Animoca Brands و دیگر سرمایه‌گذاران. این افزایش، تامین مالی متعهد شده برای پلتفرم را به ۳۲۵ میلیون دلار رساند.

0G پذیرفت که این نقض امنیتی "یک زنگ بیدارباش دردناک اما ضروری" است. همچنین قول داد یک گزارش کامل پس از حادثه منتشر کند که جامعه آن می‌تواند منتظر آگاهی بیشتر در مورد چگونگی از دست دادن ۵۲۰,۰۰۰ دلار توسط بنیاد به بازیگران مخرب باشد.

می‌خواهید پروژه خود را در معرض دید برترین متفکران ارز دیجیتال قرار دهید؟ آن را در گزارش صنعتی بعدی ما قرار دهید، جایی که داده‌ها با تأثیر ملاقات می‌کنند.