比推消息， 0G Foundation 在 X 平台发文表示，12 月 11 日，一个有针对性的攻击破坏了其奖励合约。

攻击者利用用于分发联盟奖励的 0G 奖励合约的紧急提款功能，窃取了 520,010 枚$0G 代币，这些代币随后通过 Tornado Cash 进行桥接和分散。

攻击者获取了阿里云实例中泄露的私钥，该实例负责管理 NFT 状态和奖励更新，并将私钥存储在本地。

由于 Next.js 的一个严重漏洞（CVE-2025-66478）于 12 月 5 日被利用，多个阿里云实例遭到入侵。攻击者通过内部 IP 地址横向移动，影响范围包括校准服务、验证器节点、Gravity NFT 服务、节点销售服务、计算、Aiverse、Perpdex、Ascend 等。

已确认损失总额：520,010 枚$0G、9.93 枚 ETH 及 4200 美元 USDT。除了奖励分配合同之外，核心链基础设施或用户资金均未受到影响。