कंपनी के अनुसार, 0G फाउंडेशन पर हुए साइबर हमले के परिणामस्वरूप आधे मिलियन डॉलर से अधिक मूल्य की क्रिप्टोकरेंसी की चोरी हुई है।
फाउंडेशन, जो दुनिया का पहला विकेंद्रीकृत और खुला AI ऑपरेटिंग सिस्टम बना रहा है, ने बताया कि एक हमलावर ने 520,010 $0G टोकन चुराए, जिन्हें बाद में ब्रिज किया गया और Tornado Cash के माध्यम से भेजा गया। अतिरिक्त नुकसान में 9.93 ईथर और लगभग $4,200 USDT शामिल थे, जिससे चोरी के समय कुल पुष्टि किया गया नुकसान लगभग $520,000 हो गया।
लीक हुई प्राइवेट की तक पहुंचा एक्सप्लॉइट
फाउंडेशन के अनुसार, हमलावर ने एक प्राइवेट की तक पहुंच प्राप्त करने के बाद प्रभावित रिवॉर्ड कॉन्ट्रैक्ट में आपातकालीन निकासी फंक्शन का दुरुपयोग किया, जो अनजाने में एक समझौता किए गए क्लाउड सर्वर पर संग्रहीत की गई थी।
यह की एक अलीबाबा क्लाउड इंस्टेंस से जुड़ी थी जो NFT स्थिति और रिवॉर्ड अपडेट के प्रबंधन के लिए जिम्मेदार थी।
"हमलावर ने एक AliCloud इंस्टेंस से लीक हुई प्राइवेट की तक पहुंच प्राप्त की," फाउंडेशन ने कहा, और यह भी जोड़ा कि स्थानीय रूप से प्लेनटेक्स्ट प्राइवेट की को स्टोर करना एक महत्वपूर्ण परिचालन विफलता थी, कहते हुए, "यह एक ऐसी प्रथा है जिसे हम अब जानते हैं कि फिर कभी नहीं होना चाहिए।"
आगे की जांच से पता चला कि उल्लंघन केवल एक सर्वर तक सीमित नहीं था। फाउंडेशन ने कहा कि 5 दिसंबर को लोकप्रिय Next.js वेब फ्रेमवर्क में एक महत्वपूर्ण कमजोरी का फायदा उठाने के बाद कई AliCloud इंस्टेंस समझौता किए गए, जिसे CVE-2025-66478 के रूप में ट्रैक किया गया। आंतरिक IP पते का उपयोग करके, हमलावर सिस्टम में पार्श्व रूप से आगे बढ़ने में सक्षम था, जिससे सेवाओं की एक विस्तृत श्रृंखला प्रभावित हुई।
इनमें अलाइनमेंट सेवा, एक वैलिडेटर नोड, ग्रैविटी NFT सेवा, नोड बिक्री इंफ्रास्ट्रक्चर और कंप्यूट, एआईवर्स, पर्पडेक्स और एसेंड जैसे कई इकोसिस्टम प्रोडक्ट्स शामिल थे।
हालांकि, फाउंडेशन ने बताया है कि उपयोगकर्ता-धारित संपत्तियों से सीधे जुड़े कोई अतिरिक्त नुकसान की पहचान नहीं की गई है।
CertiK, एक ब्लॉकचेन सुरक्षा फर्म, ने पहले 0G-संबंधित रिवॉर्ड कॉन्ट्रैक्ट से संदिग्ध निकासी को फ्लैग किया था, जिसमें नुकसान का अनुमान उन आंकड़ों के अनुरूप था जिनकी बाद में फाउंडेशन द्वारा पुष्टि की गई थी।
0G फाउंडेशन के लिए आगे क्या है?
0G फाउंडेशन का दावा है कि उसने तत्काल सुरक्षा उपाय लागू किए हैं। संगठन ने Next.js कमजोरी को भी पैच किया है और प्रभावित सेवाओं का पुनर्निर्माण किया है।
0G ने जो दोहराव घटना को रोकने के लिए कर रहा है, उसके हिस्से के रूप में, फाउंडेशन का दावा है कि वह सभी की-बियरिंग सेवाओं को ट्रस्टेड एक्जीक्यूशन एनवायरनमेंट्स (TEEs) में माइग्रेट करेगा, महत्वपूर्ण फंड प्रबंधन के लिए मल्टी-सिग्नेचर वॉलेट आवश्यकताओं को लागू करेगा, और अपने इंफ्रास्ट्रक्चर में जीरो-ट्रस्ट सुरक्षा सिद्धांतों को अपनाएगा।
0G फाउंडेशन द्वारा रिपोर्ट किया गया हैक घटना नवंबर 2024 में $290 मिलियन से अधिक जुटाने के बाद आई है, जिसमें Hack VC के नेतृत्व में $40 मिलियन का सीड फंडिंग राउंड शामिल है, जिसमें Delphi Ventures, OKX Ventures, Samsung Next, Animoca Brands और अन्य निवेशकों की भागीदारी है। उस वृद्धि ने प्लेटफॉर्म के लिए प्रतिबद्ध फंडिंग को $325 मिलियन कर दिया।
0G ने स्वीकार किया कि उल्लंघन "एक दर्दनाक लेकिन आवश्यक जागृति का कॉल है।" इसने एक पूर्ण पोस्ट-मॉर्टम रिपोर्ट जारी करने का भी वादा किया, जिससे इसके समुदाय को यह जानने की उम्मीद है कि फाउंडेशन ने बुरे अभिनेताओं को $520,000 कैसे खो दिए।
अभी Bybit से जुड़ें और मिनटों में $50 बोनस का दावा करें
स्रोत: https://www.cryptopolitan.com/0g-foundation-reports-520k-defi-hack/
