O que motivou a falha no smart contract 0G que permitiu o roubo de 520.010 tokens em dezembro de 2023?

Vulnerabilidade CVE-2025-66478 no Next.js: Como a exposição da chave privada da Alibaba Cloud permitiu o roubo de 520.010 tokens

A vulnerabilidade crítica de Execução Remota de Código identificada pela CVE-2025-66478 nas versões do Next.js anteriores à 14.0 representa uma ameaça relevante para aplicações web, especialmente quando combinada ao comprometimento de credenciais de autenticação. Essa falha explora a desserialização insegura nos React Server Components, permitindo que atacantes executem códigos arbitrários por meio de requisições HTTP especialmente estruturadas para endpoints de Server Function. A severidade CVSS 9,8 evidencia o risco amplo, já que até as configurações padrão do Next.js permanecem vulneráveis sem ajustes explícitos no código.

Caso credenciais de infraestrutura sejam expostas, como ocorreu no incidente da chave privada da Alibaba Cloud em setembro de 2022, a superfície de ataque se amplia drasticamente. Credenciais comprometidas e armazenadas em locais desprotegidos concedem acesso direto de atacantes a recursos em nuvem e sistemas internos. No episódio da 0G Labs, essa combinação foi devastadora, resultando no roubo de 520.010 tokens avaliados em aproximadamente US$516.000 do contrato de recompensas do projeto.

O encadeamento de exploração mostra como falhas de segurança se acumulam. Os atacantes exploraram a vulnerabilidade do Next.js para obter execução inicial de código e, em seguida, usaram credenciais expostas da Alibaba Cloud para acessar sistemas sensíveis e interagir com contratos inteligentes. A análise forense on-chain confirmou o ataque, revelando o vetor exato por meio de técnicas de poluição de protótipo que driblaram barreiras de segurança. O caso destaca a importância de atualizar o Next.js para versões 14.0 ou superiores, adotar práticas rigorosas de gestão de credenciais e rotacionar imediatamente todos os tokens de autenticação expostos. Organizações devem investir em estratégias de defesa em profundidade, combinando atualizações de segurança de aplicações com proteção de infraestrutura ampla, para evitar falhas em cascata.

Função de saque emergencial explorada: Falha de design em smart contract permite invasores contornarem controles de permissão

A ZeroGravity (0G) Foundation revelou um incidente crítico de segurança no qual invasores exploraram uma vulnerabilidade na função de saque emergencial. A exploração ocorreu devido a falhas no controle de permissões na arquitetura do smart contract. Os atacantes conseguiram burlar mecanismos de autorização, obtendo acesso indevido para executar saques emergenciais que deveriam ser restritos apenas a partes autorizadas. O ataque resultou no roubo de mais de 520.000 tokens 0G, causando uma perda expressiva nas reservas do protocolo.

Apesar disso, o episódio trouxe uma distinção relevante sobre a segurança dos ativos dos usuários. Embora a função de saque emergencial tenha sido violada, os fundos principais mantidos em carteiras individuais permaneceram completamente seguros e não foram afetados pela falha. Os tokens furtados foram transferidos para outra rede blockchain e lavados por meio do Tornado Cash, mixer de privacidade amplamente utilizado para mascarar rastros de transações. Esse comportamento técnico pós-exploração evidencia a intenção dos invasores de ocultar a origem dos ativos e impedir rastreabilidade. O caso ressalta desafios persistentes na segurança de smart contracts, especialmente em relação ao controle de permissões e à arquitetura de funções administrativas. Projetos devem adotar verificações rigorosas de acesso e aprovações por múltiplas assinaturas para funções emergenciais críticas, visando prevenir novas explorações.

Risco de infraestrutura centralizada: Dependências de serviços de nuvem terceirizados criam brechas mesmo em arquiteturas blockchain descentralizadas

O setor blockchain se autodeclara descentralizado, mas depende fortemente de provedores centralizados de infraestrutura em nuvem. Essa dependência gera vulnerabilidades críticas que comprometem os princípios fundamentais da blockchain. Serviços de nuvem terceirizados introduzem riscos diversos, como vazamentos de dados, vulnerabilidades de API e configurações inadequadas, contrariando diretamente os ideais de descentralização.

Incidentes de segurança em 2025 evidenciaram essas vulnerabilidades de forma contundente. A indisponibilidade da AWS em outubro paralisou grandes plataformas cripto e serviços analíticos em poucas horas, enquanto quedas subsequentes na Cloudflare impactaram diversas aplicações blockchain globalmente. Esses episódios expuseram como redes descentralizadas podem se tornar pontos únicos de falha ao depender de infraestrutura centralizada.

Além das indisponibilidades, a dependência arquitetural abre brechas por meio de APIs inseguras, comprometimento de credenciais e dependências vulneráveis. Instituições financeiras e plataformas blockchain compartilham a responsabilidade pela segurança, mas frequentemente carecem de controles adequados para configurações em nuvem terceirizada. Essa fraqueza estrutural persiste mesmo diante do discurso da indústria sobre descentralização, revelando uma contradição essencial que ameaça a estabilidade do ecossistema e a segurança dos ativos dos usuários.

Mitigação pós-incidente: Resposta da 0G Foundation inclui rotação de chave privada, implementação de Trusted Execution Environment e reforço da infraestrutura principal

Após o incidente de segurança, a 0G Foundation adotou uma estratégia abrangente de mitigação para fortalecer a resiliência da rede e a infraestrutura de segurança. A fundação revogou imediatamente as chaves criptográficas comprometidas e implementou protocolos de rotação de chave privada para bloquear acessos não autorizados e garantir proteção contínua de operações sensíveis. Simultaneamente, a tecnologia Trusted Execution Environment foi integrada à arquitetura da rede, permitindo computação protegida em ambientes isolados com base em hardware, que defendem contra ameaças externas e vulnerabilidades internas. Essa medida está alinhada com cerca de 60% das melhores práticas de segurança do setor, demonstrando o compromisso da fundação com padrões robustos. Além das respostas imediatas, a 0G Foundation reforçou componentes essenciais da infraestrutura por meio de arquitetura zero-trust, estabelecendo requisitos rigorosos de verificação para todos os participantes e comunicações da rede. Essas ações integradas—rotação de chave privada, implantação de TEE e infraestrutura zero-trust—atuam em conjunto para criar múltiplas camadas de defesa. A resposta pós-incidente da fundação evidencia uma compreensão avançada das exigências de segurança blockchain e demonstra compromisso proativo com a integridade do ecossistema para todos os stakeholders e usuários.

FAQ

O que é 0G crypto?

0G é uma blockchain modular de camada 1 criada para descentralizar a infraestrutura de IA. Reúne armazenamento escalável e computação verificável, permitindo operações de IA on-chain eficientes e gestão avançada de dados.

Quanto vale o 0G coin hoje?

O 0G coin está atualmente cotado em US$1,13, com valorização de 32,15% nas últimas 24 horas. O volume negociado em 24 horas soma US$169.412.303, indicando forte atividade de mercado e elevado interesse de investidores no ecossistema 0G.

Qual é o futuro da 0G Labs?

A 0G Labs tem como objetivo capacitar usuários para que possam possuir, controlar e monetizar seus próprios modelos de IA de forma independente, reduzindo a dependência das Big Techs e promovendo a participação global na economia de IA.