CoinFubi

0G Foundation披露，一起定向攻击已入侵其奖励合约。攻击者利用该合约用于发放联盟奖励的紧急提款功能，窃取了520,010 $0G 代币，并通过 Tornado Cash 进行桥接与分散流向。

攻击者从负责管理 NFT 状态与奖励更新的 Alibaba Cloud 实例获取了泄露的私钥，该私钥在本地存储。由于 Next.js 的一个关键漏洞（CVE-2025-66478）在 December 5 被利用，多个 Alibaba Cloud 实例遭到入侵。攻击者通过内部 IP 地址横向移动，影响了包括校准服务、验证节点、Gravity NFT 服务、节点销售服务、计算、Aiverse、Perpdex、Ascend 等在内的多项服务。

已确认的总损失为 520,010 $0G 9.93 ETH，以及 4,200 USDT。核心链基础设施和用户资金未受影响，除了奖励分发合约。