طبق گزارش شرکت، یک حمله سایبری به بنیاد 0G منجر به سرقت ارز دیجیتال به ارزش بیش از نیم میلیون دلار شده است.
این بنیاد که در حال ساخت آنچه به عنوان اولین سیستم عامل هوش مصنوعی غیر متمرکز و باز جهان توصیف میکند، گزارش داد که یک مهاجم 520,010 توکن $0G را سرقت کرده که بعداً از طریق Tornado Cash منتقل و هدایت شده است. خسارات اضافی شامل 9.93 اتر و حدود 4,200 دلار در USDT بود که مجموع خسارت تأیید شده را در زمان سرقت به حدود 520,000 دلار رساند.
ردیابی سوءاستفاده به کلید خصوصی درز شده
طبق گفته این بنیاد، مهاجم پس از دسترسی به کلید خصوصی که به طور ناخواسته در یک سرور ابری آسیبپذیر ذخیره شده بود، از یک عملکرد برداشت اضطراری در قرارداد پاداش آسیبدیده سوءاستفاده کرد.
این کلید به یک نمونه Alibaba Cloud مرتبط بود که مسئول مدیریت وضعیت NFT و بهروزرسانیهای پاداش بود.
"مهاجم به یک کلید خصوصی درز شده از یک نمونه AliCloud دسترسی پیدا کرد،" این بنیاد گفت و افزود که ذخیره کلیدهای خصوصی متن ساده به صورت محلی یک شکست عملیاتی بحرانی بود و گفت: "این روشی است که اکنون میدانیم هرگز نباید دوباره اتفاق بیفتد."
تحقیقات بیشتر نشان داد که نقض امنیتی محدود به یک سرور نبوده است. این بنیاد گفت چندین نمونه AliCloud پس از اینکه مهاجمان از یک آسیبپذیری بحرانی در چارچوب وب محبوب Next.js، که به عنوان CVE-2025-66478 ردیابی میشود، در 5 دسامبر سوءاستفاده کردند، به خطر افتادند. مهاجم با استفاده از آدرسهای IP داخلی توانست به صورت جانبی در سیستمها حرکت کند و طیف گستردهای از خدمات را تحت تأثیر قرار دهد.
این موارد شامل سرویس تراز، یک نود اعتبارسنج، سرویس NFT گرانش، زیرساخت فروش نود و چندین محصول اکوسیستم مانند Compute، Aiverse، Perpdex و Ascend بود.
با این حال، این بنیاد اعلام کرده است که هیچ خسارت اضافی مرتبط مستقیم با داراییهای نگهداری شده توسط کاربران شناسایی نشده است.
CertiK، یک شرکت امنیت بلاک چین، قبلاً برداشتهای مشکوک از یک قرارداد پاداش مرتبط با 0G را پرچمگذاری کرده بود و خسارات را مطابق با ارقامی که بعداً توسط بنیاد تأیید شد، تخمین زده بود.
گام بعدی برای بنیاد 0G چیست؟
بنیاد 0G ادعا میکند که اقدامات امنیتی فوری را اجرا کرده است. این سازمان همچنین آسیبپذیری Next.js را برطرف کرده و سرویسهای آسیبدیده را بازسازی کرده است.
به عنوان بخشی از آنچه 0G گفته است برای جلوگیری از تکرار حادثه انجام میدهد، این بنیاد ادعا میکند که تمام سرویسهای دارای کلید را به محیطهای اجرای قابل اعتماد (TEEs) منتقل خواهد کرد، الزامات کیف پول چند امضایی را برای مدیریت وجوه حیاتی پیادهسازی خواهد کرد و اصول امنیتی اعتماد صفر را در سراسر زیرساخت خود اتخاذ خواهد کرد.
حادثه هک که بنیاد 0G گزارش کرد پس از آن رخ داد که این بنیاد در نوامبر 2024 بیش از 290 میلیون دلار جمعآوری کرد، از جمله یک دور سرمایهگذاری اولیه 40 میلیون دلاری به رهبری Hack VC با مشارکت Delphi Ventures، OKX Ventures، Samsung Next، Animoca Brands و دیگر سرمایهگذاران. این افزایش، مجموع سرمایهگذاری متعهد شده برای این پلتفرم را به 325 میلیون دلار رساند.
0G پذیرفت که این نقض امنیتی "یک زنگ بیدارباش دردناک اما ضروری" است. همچنین قول داد یک گزارش کامل پس از مرگ منتشر کند که جامعه آن میتواند منتظر دانستن بیشتر درباره چگونگی از دست دادن 520,000 دلار توسط این بنیاد به بازیگران بد باشد.
همین حالا به Bybit بپیوندید و در عرض چند دقیقه 50 دلار پاداش دریافت کنید
منبع: https://www.cryptopolitan.com/0g-foundation-reports-520k-defi-hack/
