Em que consiste a vulnerabilidade de smart contract 0G que originou o roubo de 520 010 tokens em dezembro de 2023?

Vulnerabilidade CVE-2025-66478 em Next.js: Exposição da chave privada Alibaba Cloud permitiu o roubo de 520 010 tokens

A vulnerabilidade crítica de execução remota de código, CVE-2025-66478, presente nas versões do Next.js anteriores à 14.0, representa uma ameaça relevante para aplicações web, especialmente quando combinada com credenciais de autenticação comprometidas. Esta falha explora a desserialização insegura em React Server Components, permitindo que atacantes executem código arbitrário por meio de pedidos HTTP especificamente construídos para endpoints de Server Function. O índice de severidade CVSS 9,8 reflete um risco alargado, pois mesmo configurações padrão do Next.js permanecem vulneráveis sem alterações explícitas ao código.

A exposição de credenciais de infraestrutura, como ocorreu no incidente da chave privada Alibaba Cloud em setembro de 2022, expande drasticamente a superfície de ataque. O armazenamento de credenciais comprometidas em locais desprotegidos concede aos atacantes acesso direto a recursos cloud e sistemas internos. No caso da 0G Labs, esta conjugação revelou-se desastrosa, resultando no roubo de 520 010 tokens, avaliados em cerca de 516 000 $, do contrato de recompensas do projeto.

A cadeia de exploração demonstra como várias falhas de segurança se reforçam mutuamente. Os atacantes exploraram a vulnerabilidade do Next.js para obter execução inicial de código, recorrendo depois às credenciais expostas da Alibaba Cloud para aceder a sistemas sensíveis e interagir com smart contracts. A análise forense on-chain confirmou a intrusão, revelando o vetor do ataque através de técnicas de prototype pollution que ultrapassaram os controlos de segurança. Este incidente evidencia a necessidade de atualizar o Next.js para a versão 14.0 ou superior, implementar práticas rigorosas de gestão de credenciais e rodar imediatamente todos os tokens de autenticação comprometidos. É fundamental adotar estratégias de defesa em profundidade, combinando correções de segurança aplicacional com proteção abrangente de infraestrutura, para evitar falhas em cascata.

Função de levantamento de emergência explorada: Falha de design em smart contract permite aos atacantes contornar controlos de permissão

A ZeroGravity (0G) Foundation revelou um incidente relevante de segurança em que atacantes exploraram uma vulnerabilidade crítica na função de levantamento de emergência. A origem da exploração residiu em controlos de permissão mal implementados na arquitetura do smart contract. Os atacantes conseguiram superar os mecanismos de autorização, obtendo acesso não autorizado à execução de levantamentos de emergência que deveriam estar reservados a partes autorizadas. O ataque resultou no roubo de mais de 520 000 tokens 0G, uma perda significativa nas reservas do protocolo.

Apesar do sucesso na exploração da função de emergência, o incidente evidencia uma distinção relevante quanto à proteção dos ativos dos utilizadores. As carteiras individuais dos utilizadores mantiveram-se totalmente seguras e não foram afetadas pela vulnerabilidade. Os tokens roubados foram posteriormente transferidos para outra rede blockchain e lavados através do Tornado Cash, um mixer de privacidade utilizado para ocultar o rasto das transações. Este procedimento pós-exploração demonstra a intenção dos atacantes de dificultar a rastreabilidade dos fundos. O incidente reforça os desafios constantes na segurança de smart contracts, em especial nos mecanismos de permissão e design de funções administrativas. Os projetos devem adotar verificações rigorosas de acesso e aprovações multi-assinatura para funções críticas de emergência, prevenindo explorações semelhantes.

Risco de infraestrutura centralizada: Dependência de serviços cloud de terceiros cria portas traseiras mesmo em arquitetura blockchain descentralizada

O setor blockchain afirma-se como descentralizado, mas depende fortemente de fornecedores de infraestrutura cloud centralizada. Esta dependência cria vulnerabilidades críticas de segurança que contradizem os princípios fundamentais da tecnologia blockchain. Serviços cloud de terceiros introduzem vários vectores de risco, como fugas de dados, vulnerabilidades de API e configurações inadequadas, contrariando os ideais de descentralização.

Incidentes de segurança em 2025 evidenciaram estas fragilidades. A interrupção da AWS em outubro paralisou plataformas cripto e serviços de análise em poucas horas; falhas posteriores na Cloudflare afetaram diversas aplicações blockchain a nível mundial. Estes eventos expuseram como redes descentralizadas se convertem em pontos únicos de falha ao dependerem de infraestruturas centralizadas.

Além das interrupções, a dependência arquitetónica abre oportunidades para portas traseiras através de APIs inseguras, compromissos de credenciais e dependências vulneráveis. Instituições financeiras e plataformas blockchain partilham responsabilidades de segurança, mas frequentemente não dispõem de controlos adequados sobre as configurações cloud de terceiros. Esta vulnerabilidade estrutural persiste apesar da retórica da indústria sobre descentralização, revelando uma contradição central que ameaça a estabilidade do ecossistema e a segurança dos ativos dos utilizadores.

Mitigação pós-incidente: Resposta da 0G Foundation inclui rotação de chave privada, implementação de Trusted Execution Environment e preservação da infraestrutura nuclear

Após o incidente de segurança, a 0G Foundation ativou uma estratégia de mitigação abrangente para fortalecer a resiliência da rede e a infraestrutura de segurança. A fundação revogou imediatamente as chaves criptográficas comprometidas e iniciou protocolos de rotação de chaves privadas, prevenindo acessos não autorizados e protegendo operações sensíveis. Em simultâneo, integrou tecnologia Trusted Execution Environment na arquitetura da rede, garantindo computação segura em ambientes isolados por hardware, protegendo contra ameaças externas e vulnerabilidades internas. Esta implementação corresponde a cerca de 60 % das melhores práticas de segurança do setor, comprovando o compromisso da fundação com medidas de proteção eficazes. Para além das respostas imediatas, a 0G Foundation reforçou componentes nucleares da infraestrutura com princípios de arquitetura zero-trust, impondo requisitos rigorosos de verificação a todos os participantes e comunicações da rede. Estas medidas interligadas—rotação de chaves privadas, TEE e infraestrutura zero-trust—criando múltiplas camadas defensivas. A resposta pós-incidente reflete maturidade na abordagem à segurança blockchain e confirma o compromisso proativo com a integridade do ecossistema para todos os intervenientes e utilizadores.

FAQ

O que é o 0G crypto?

0G é uma blockchain modular Layer-1, projetada para descentralizar a infraestrutura de IA. Combina armazenamento escalável e computação verificável, tornando possíveis operações de IA on-chain eficientes e uma gestão avançada de dados.

Quanto vale hoje a 0G coin?

Atualmente, a 0G coin está avaliada em 1,13 $, com um aumento de 32,15 % em 24 horas. O volume de negociação nas últimas 24 horas ascende a 169 412 303 $, evidenciando forte atividade de mercado e elevado interesse dos investidores no ecossistema 0G.

Qual é o futuro da 0G Labs?

A 0G Labs pretende capacitar os utilizadores para deterem, controlarem e rentabilizarem os seus próprios modelos de IA de forma independente, reduzindo a dependência das Big Tech e promovendo a participação global na economia de IA.