Le contrat de récompense 0G a été victime d'une attaque — environ 520 000 tokens, d'une valeur d'environ 4 200 dollars, ont été dérobés.

Selon des informations révélées par la fondation 0G, le 11 décembre, une attaque ciblée a compromis le contrat de récompense, entraînant le vol de fonds importants. Lors de cet incident, la fonction de retrait d’urgence du contrat de récompense 0G a été exploitée, ce qui a permis la fuite de 520 010 tokens 0G, 9,93 ETH et 4 200 dollars en USDT. Il est supposé que les actifs volés ont ensuite été distribués vers plusieurs destinations via le mixeur de confidentialité Tornado Cash.

Une vulnérabilité à l’origine — Détails du contexte technique

L’attaque a été rendue possible par une vulnérabilité critique de Next.js (CVE-2025-66478), découverte le 5 décembre. L’attaquant a exploité cette faille pour s’infiltrer latéralement dans le système de la fondation 0G via une adresse réseau interne. Cette méthode aurait permis d’accéder à plusieurs services à partir d’un seul point d’entrée.

Services affectés et portée des dégâts

L’attaque a touché plusieurs services gérés par la fondation 0G. Parmi eux, on compte le service de calibration, les nœuds validateurs, le service NFT Gravity, la plateforme de vente de nœuds, les services liés au calcul, Aiverse, Perpdex, Ascend, et d’autres. Cependant, la fondation 0G insiste sur le fait que l’infrastructure blockchain principale et les fonds des utilisateurs n’ont pas été affectés.

Actuellement, le token 0G se négocie à environ 0,75 $, et les 520 010 tokens dérobés ont une valeur approximative de 390 007 $ selon le prix actuel. Cet incident souligne à nouveau l’importance des mesures de sécurité et de la gestion des vulnérabilités dans les équipes de développement blockchain.