Theo công ty, một cuộc tấn công mạng nhằm vào Quỹ 0G đã dẫn đến việc đánh cắp hơn nửa triệu USD tiền điện tử.
Tổ chức đang phát triển hệ điều hành AI phi tập trung cho biết đã bị tấn công, khiến 520.010 token $0G bị đánh cắp và rửa qua Tornado Cash. Ngoài ra còn mất 9,93 ETH và khoảng 4.200 USDT, nâng tổng thiệt hại xác nhận lên khoảng 520.000 USD.
Lỗ hổng bảo mật bắt nguồn từ khóa riêng bị rò rỉ
Tổ chức cho biết tin tặc đã khai thác chức năng rút tiền khẩn cấp sau khi lấy được khóa riêng bị lưu trữ sai cách trên máy chủ Alibaba Cloud bị xâm nhập.
Khóa này thuộc máy chủ quản lý trạng thái NFT và phần thưởng, và việc lưu trữ khóa dưới dạng văn bản thuần được thừa nhận là sai sót nghiêm trọng.
Điều tra cũng chỉ ra vụ tấn công không chỉ giới hạn ở một máy chủ: nhiều phiên bản AliCloud bị xâm nhập sau khi tin tặc khai thác lỗ hổng Next.js (CVE-2025-66478), cho phép chúng di chuyển ngang và ảnh hưởng tới nhiều dịch vụ.
Các dịch vụ bị ảnh hưởng gồm dịch vụ căn chỉnh, nút xác thực, Gravity NFT, hạ tầng bán nút và một số sản phẩm hệ sinh thái như Compute, Aiverse, Perpdex, Ascend. Tổ chức khẳng định chưa ghi nhận thiệt hại trực tiếp đối với tài sản người dùng.
Trước đó, CertiK đã cảnh báo về các khoản rút tiền bất thường từ hợp đồng thưởng liên quan đến 0G, với ước tính thiệt hại trùng khớp với số liệu sau này được quỹ xác nhận.
Bước tiếp theo của 0G Foundation là gì?
0G Foundation cho biết đã ứng phó ngay lập tức, vá lỗ hổng Next.js và xây dựng lại các dịch vụ bị ảnh hưởng.
Để ngăn sự cố tái diễn, 0G sẽ chuyển lưu trữ khóa sang TEE, áp dụng ví đa chữ ký cho quản lý quỹ quan trọng và triển khai mô hình bảo mật zero-trust trên toàn hệ thống.
Vụ việc xảy ra sau khi 0G huy động hơn 290 triệu USD (11/2024), nâng tổng vốn cam kết lên 325 triệu USD. Quỹ thừa nhận đây là “lời cảnh tỉnh”, cam kết công bố báo cáo điều tra đầy đủ về vụ mất ~520.000 USD.
