El contrato de recompensa 0G ha sido víctima de un ataque—se han drenado aproximadamente 520,000 tokens, incluyendo unos 4,200 dólares en valor.

Según reveló la Fundación 0G, el 11 de diciembre se produjo un incidente en el que un ataque dirigido comprometió un contrato de recompensas y se sustrajeron activos de gran valor. En esta ocasión, la función de retiro de emergencia del contrato de recompensas 0G fue explotada, lo que resultó en la salida de 520,010 tokens 0G, 9.93 ETH y USDT por un valor equivalente a 4,200 dólares. Se cree que los activos robados fueron posteriormente distribuidos a múltiples destinos a través del mezclador de privacidad Tornado Cash.

Vulnerabilidad como detonante — Detalles del contexto técnico

El ataque fue posible gracias a una vulnerabilidad grave en Next.js (CVE-2025-66478), descubierta el 5 de diciembre. Los atacantes aprovecharon esta vulnerabilidad para infiltrarse lateralmente en los sistemas de la Fundación 0G a través de direcciones de red internas. Se considera que esta técnica permitió acceder a múltiples servicios desde un único punto de entrada.

Servicios afectados y alcance del daño

El ataque se extendió a varios servicios operados por la Fundación 0G. Entre ellos se encuentran los servicios de calibración, nodos validadores, Gravity NFT, plataformas de venta de nodos, servicios relacionados con computación, Aiverse, Perpdex y Ascend. Sin embargo, la Fundación 0G enfatiza que la infraestructura central de la cadena de bloques y los fondos de los usuarios no se vieron afectados.

Actualmente, el token 0G se negocia a aproximadamente $0.75, y los 520,010 tokens que se extrajeron representan un valor de aproximadamente $390,007 según el precio actual. Este incidente subraya la importancia de las medidas de seguridad y la gestión de vulnerabilidades en los equipos de desarrollo de blockchain.