Разберитесь в уязвимости смарт-контракта 0G, которая стала причиной хищения 520 010 токенов. Узнайте, почему некорректная реализация функций экстренного вывода средств и зависимость от централизованных облачных инфраструктур создают угрозы для безопасности блокчейна. Познакомьтесь с мерами 0G Foundation по снижению рисков — ротацией приватных ключей и внедрением Trusted Execution Environment для защиты сетевой целостности. Информация будет полезна менеджерам по безопасности, специалистам по рискам и руководителям, стремящимся понять причины и последствия инцидентов в области безопасности и управления рисками.
Уязвимость CVE-2025-66478 в Next.js: как утечка приватного ключа Alibaba Cloud привела к краже 520 010 токенов
Критическая уязвимость CVE-2025-66478 в Next.js до версии 14.0 представляет серьезную угрозу для веб-приложений, особенно при утечке учетных данных. Уязвимость связана с небезопасной десериализацией в React Server Components, что дает злоумышленникам возможность выполнять произвольный код с помощью специально сформированных HTTP-запросов к конечным точкам Server Function. Оценка CVSS 9.8 отражает масштаб риска — даже стандартная конфигурация Next.js остается уязвимой без изменений в коде.
При утечке инфраструктурных данных, как это произошло с приватным ключом Alibaba Cloud в сентябре 2022 года, площадь атаки резко увеличивается. Скомпрометированные данные, оставленные без защиты, позволяют злоумышленникам получить прямой доступ к облачным ресурсам и внутренним системам. В случае 0G Labs это привело к катастрофическим последствиям: было похищено 520 010 токенов на сумму около 516 000 $, принадлежавших контракту вознаграждений проекта.
Эксплуатация уязвимости показала, как совокупность ошибок безопасности усугубляет ущерб. Сначала злоумышленники получили возможность удаленного выполнения кода через Next.js, затем использовали утекшие ключи Alibaba Cloud для доступа к критическим системам и смарт-контрактам. Ончейн-расследование подтвердило факт взлома и точный вектор атаки: применялись методы прототипного загрязнения, позволяющие обходить проверки безопасности. Инцидент подчеркивает необходимость срочного обновления Next.js до версии 14.0 или выше, внедрения строгого управления учетными данными и немедленной ротации всех скомпрометированных токенов аутентификации. Организациям стоит внедрять многоуровневую защиту, сочетая обновления приложений с комплексной защитой инфраструктуры, чтобы не допустить подобных цепных сбоев.
Эксплуатация emergency withdraw: ошибка проекта смарт-контракта позволяет обходить контроль разрешений
Фонд ZeroGravity (0G) сообщил о серьезном инциденте безопасности: злоумышленники использовали критическую уязвимость в функции emergency withdraw. Причиной стала неправильная реализация контроля разрешений в архитектуре смарт-контракта. В результате атакующие обошли механизмы авторизации и получили несанкционированный доступ к экстренным выводам, которые должны были быть доступны только определенным лицам. В результате было похищено более 520 000 токенов 0G — значительная потеря для резервов протокола.
Однако этот случай показал важное отличие в вопросах безопасности пользовательских активов. Несмотря на компрометацию функции экстренного вывода, средства пользователей на их кошельках остались в полной безопасности и не пострадали. Похищенные токены были переведены на другую блокчейн-сеть и отмыты через Tornado Cash — миксер, позволяющий скрыть следы транзакций. Такое техническое поведение указывает на цель затруднить отслеживание происхождения средств. Инцидент еще раз подтверждает сложности с безопасностью смарт-контрактов, особенно в части контроля разрешений и проектирования административных функций. Для предотвращения подобных атак проектам нужно проверять права доступа и внедрять мультиподпись для критических экстренных функций.
Риски централизованной инфраструктуры: зависимость от облачных сервисов третьих сторон создает бэкдоры при децентрализированной архитектуре блокчейна
Хотя блокчейн-индустрия декларирует децентрализацию, на практике она сильно зависит от централизованных облачных провайдеров. Такая зависимость создает критические уязвимости, подрывающие ключевые принципы блокчейна. Сервисы третьих сторон привносят риски утечек данных, уязвимостей API и ошибок конфигурации, что противоречит идеям децентрализации.
Инциденты 2025 года наглядно это продемонстрировали. Октябрьский сбой AWS остановил работу крупных криптоплатформ и аналитических сервисов за считанные часы, после чего сбои Cloudflare привели к остановке множества блокчейн-приложений по всему миру. Эти события показали: при зависимости от централизованных провайдеров даже децентрализованные сети становятся системами с единой точкой отказа.
Кроме сбоев, архитектурная зависимость создает бэкдоры через небезопасные API, компрометацию учетных данных и уязвимые библиотеки. Финансовые институты и блокчейн-платформы несут совместную ответственность за безопасность, но часто не контролируют конфигурации сервисов третьих сторон. Эта структурная уязвимость сохраняется несмотря на риторику о децентрализации, показывая противоречие, которое угрожает стабильности экосистемы и безопасности активов пользователей.
Меры после инцидента: действия 0G Foundation — ротация приватных ключей, внедрение Trusted Execution Environment и защита ключевой инфраструктуры
После инцидента 0G Foundation реализовал комплексную стратегию по повышению устойчивости и безопасности сети. Фонд немедленно отозвал скомпрометированные криптографические ключи и начал ротацию приватных ключей, чтобы предотвратить несанкционированный доступ и обеспечить постоянную защиту критических операций. Одновременно в архитектуру сети внедрили технологию Trusted Execution Environment — она обеспечивает безопасные вычисления в изолированных аппаратных средах и защищает как от внешних, так и от внутренних угроз. Этот шаг соответствует примерно 60 % лучших отраслевых практик и демонстрирует приверженность фонда проверенным защитным мерам. Помимо этого, 0G Foundation сохранил и усилил ключевые инфраструктурные компоненты, внедрив zero-trust-архитектуру с жесткими требованиями к верификации всех участников и коммуникаций. Все эти меры — ротация ключей, внедрение TEE, zero-trust-инфраструктура — работают совместно и формируют многоуровневую защиту. Реакция фонда на инцидент демонстрирует глубокое понимание требований безопасности блокчейна и подтверждает приверженность целостности экосистемы для всех участников и пользователей.
FAQ
Что такое 0G crypto?
0G — модульный блокчейн первого уровня, созданный для децентрализации AI-инфраструктуры. Он сочетает масштабируемое хранение и верифицируемые вычисления, обеспечивая эффективную работу AI и управление данными на блокчейне.
Сколько стоит 0G coin сегодня?
Сейчас 0G coin стоит 1,13 $, за последние сутки цена выросла на 32,15 %. Суточный объем торгов достиг 169 412 303 $, что говорит о высокой рыночной активности и интересе инвесторов к экосистеме 0G.
Каковы перспективы 0G Labs?
0G Labs стремится дать пользователям возможность самостоятельно владеть, контролировать и монетизировать свои AI-модели, снижая зависимость от Big Tech и обеспечивая глобальное участие в AI-экономике.
* Информация не предназначена и не является финансовым советом или любой другой рекомендацией любого рода, предложенной или одобренной Gate.
