Analice la vulnerabilidad en los smart contracts de 0G que permitió el robo de 520 010 tokens. Comprenda cómo las funciones de retirada de emergencia mal implementadas y la dependencia de servicios cloud centralizados comprometen la seguridad de la blockchain. Descubra las medidas de mitigación adoptadas por 0G Foundation, como la rotación de claves privadas y la implantación de Trusted Execution Environment, para salvaguardar la integridad de la red. Un contenido imprescindible para responsables de seguridad, profesionales de riesgos y directivos interesados en el análisis de incidentes y la gestión de riesgos en el ámbito blockchain.
CVE-2025-66478 vulnerabilidad en Next.js: cómo la filtración de la clave privada de Alibaba Cloud permitió el robo de 520 010 tokens
La vulnerabilidad crítica de ejecución remota de código CVE-2025-66478 en Next.js (versiones anteriores a la 14.0) supone una amenaza relevante para las aplicaciones web, especialmente si se combina con credenciales de autenticación comprometidas. Esta vulnerabilidad explota la deserialización insegura en React Server Components y permite a los atacantes ejecutar código arbitrario mediante solicitudes HTTP diseñadas específicamente a los endpoints de Server Function. La puntuación CVSS 9,8 evidencia el riesgo extendido, pues incluso las configuraciones predeterminadas de Next.js permanecen expuestas si no se modifican expresamente.
Cuando las credenciales de infraestructura quedan expuestas, como ocurrió con la clave privada de Alibaba Cloud en septiembre de 2022, la superficie de ataque se amplía drásticamente. Las credenciales comprometidas y almacenadas sin protección facilitan el acceso directo de los atacantes a recursos en la nube y sistemas internos. En el caso de 0G Labs, esta combinación resultó devastadora, con el robo de 520 010 tokens valorados en unos 516 000 dólares desde el contrato de recompensas del proyecto.
La cadena de explotación revela cómo los fallos de seguridad se agravan. Los atacantes aprovecharon la vulnerabilidad de Next.js para lograr la ejecución de código inicial y, posteriormente, usaron las credenciales expuestas de Alibaba Cloud para acceder a sistemas sensibles e interactuar con contratos inteligentes. Los análisis on-chain confirmaron la intrusión, identificando el vector exacto del ataque mediante contaminación de prototipos, técnica que logró eludir los controles de seguridad. Este incidente recalca la importancia de actualizar Next.js a la versión 14.0 o superior, aplicar una gestión de credenciales sólida y rotar de inmediato todos los tokens de autenticación expuestos. Las organizaciones deben adoptar estrategias de defensa en profundidad, combinando parches de seguridad de aplicaciones con protección integral de infraestructura para evitar el efecto cascada de este tipo de fallos.
Función de retirada de emergencia explotada: el fallo de diseño del contrato inteligente permite a los atacantes eludir los controles de permisos
ZeroGravity (0G) Foundation reveló un grave incidente de seguridad en el que los atacantes aprovecharon una vulnerabilidad crítica en la función de retirada de emergencia. El origen de la explotación fue una implementación deficiente del control de permisos en la arquitectura del contrato inteligente. Los atacantes lograron saltarse los mecanismos de autorización, obteniendo acceso no autorizado para ejecutar retiradas de emergencia que deberían estar reservadas exclusivamente a partes autorizadas. Este ataque supuso el robo de más de 520 000 tokens 0G, una pérdida considerable para las reservas del protocolo.
No obstante, este incidente evidencia una diferencia relevante en la seguridad de los activos de los usuarios. Aunque la función de retirada de emergencia fue vulnerada, los fondos principales de los usuarios guardados en wallets individuales permanecieron completamente seguros y no se vieron afectados por la brecha. Los tokens robados se transfirieron posteriormente a otra red blockchain y se blanquearon a través de Tornado Cash, un mezclador de privacidad utilizado habitualmente para ocultar el rastro de las transacciones. Este comportamiento técnico tras la explotación confirma la intención de los atacantes de ocultar el origen de los fondos y dificultar su trazabilidad. El incidente pone de manifiesto los desafíos persistentes en la seguridad de los contratos inteligentes, especialmente en lo referente a los mecanismos de control de permisos y la función administrativa. Los proyectos deben implementar controles de acceso rigurosos y aprobaciones multi-firma en las funciones de emergencia críticas para evitar explotaciones similares.
Riesgo de infraestructura centralizada: la dependencia de servicios cloud de terceros crea puertas traseras pese a la arquitectura blockchain descentralizada
La industria blockchain se define por su naturaleza descentralizada, aunque en la práctica depende ampliamente de proveedores de infraestructura cloud centralizados. Esta dependencia genera vulnerabilidades de seguridad críticas que socavan los principios básicos de la tecnología blockchain. Los servicios cloud de terceros introducen riesgos como filtraciones de datos, vulnerabilidades de API y errores de configuración, contraviniendo los ideales de descentralización.
Los incidentes de seguridad de 2025 pusieron en evidencia estas debilidades. El colapso de AWS en octubre paralizó en pocas horas las principales plataformas cripto y servicios de análisis, mientras que las posteriores caídas de Cloudflare interrumpieron aplicaciones blockchain a escala global. Estos eventos demuestran cómo las redes descentralizadas se convierten en sistemas de punto único de fallo al depender de proveedores de infraestructura centralizada.
Además de las caídas, la arquitectura dependiente crea oportunidades de puertas traseras a través de APIs inseguras, filtraciones de credenciales y dependencias vulnerables. Tanto instituciones financieras como plataformas blockchain comparten la responsabilidad de la seguridad, pero a menudo carecen de controles adecuados sobre la configuración de terceros en la nube. Esta debilidad estructural se mantiene pese al discurso de la descentralización, mostrando una contradicción que amenaza la estabilidad del ecosistema y la seguridad de los activos de los usuarios.
Mitigación tras el incidente: respuesta de 0G Foundation, con rotación de claves privadas, integración de Trusted Execution Environment y preservación de la infraestructura principal
Tras el incidente de seguridad, 0G Foundation desplegó una estrategia integral de mitigación para reforzar la resiliencia y la seguridad de la red. La fundación revocó inmediatamente las claves criptográficas comprometidas e implementó protocolos de rotación de claves privadas para impedir accesos no autorizados y proteger de forma continua las operaciones sensibles. Paralelamente, se integró la tecnología Trusted Execution Environment en la arquitectura de red, permitiendo cálculos seguros en entornos aislados basados en hardware, lo que protege frente a amenazas externas y vulnerabilidades internas. Esta implementación se ajusta a cerca del 60 % de las mejores prácticas de seguridad del sector, demostrando el compromiso de 0G Foundation con medidas de protección probadas. Además de estas acciones inmediatas, 0G Foundation reforzó los componentes esenciales de infraestructura aplicando principios de arquitectura zero-trust, estableciendo estrictos requisitos de verificación para todos los participantes y comunicaciones de la red. Estas acciones (rotación de claves privadas, despliegue de TEE y arquitectura zero-trust) se combinan para crear múltiples capas de defensa. La respuesta post-incidente de la fundación refleja una visión madura de la seguridad blockchain y demuestra un compromiso proactivo con la integridad del ecosistema para todos los participantes y usuarios.
Preguntas frecuentes
¿Qué es 0G crypto?
0G es una blockchain modular de capa 1 diseñada para descentralizar la infraestructura de IA. Ofrece almacenamiento escalable y capacidades de cómputo verificable, lo que permite operaciones de IA y gestión de datos eficientes en la cadena.
¿Cuánto vale el 0G coin hoy?
El 0G coin cotiza actualmente a 1,13 dólares, con una subida de precio de 32,15 % en las últimas 24 horas. El volumen negociado en 24 horas alcanza los 169 412 303 dólares, lo que refleja una fuerte actividad de mercado y un elevado interés inversor en el ecosistema 0G.
¿Cuál es el futuro de 0G Labs?
0G Labs busca que los usuarios posean, controlen y moneticen sus propios modelos de IA de manera independiente, reduciendo la dependencia de Big Tech y permitiendo la participación global en la economía de la inteligencia artificial.
* La información no pretende ser ni constituye un consejo financiero ni ninguna otra recomendación de ningún tipo ofrecida o respaldada por Gate.
