Ознайомтеся з вразливістю смартконтракту 0G, яка стала причиною викрадення 520 010 токенів. Дізнайтеся, як помилки у функціях екстреного виведення коштів та залежність від централізованих хмар підвищують ризики для безпеки блокчейна. Перегляньте стратегії зниження ризиків від 0G Foundation, серед яких ротація приватних ключів і впровадження Trusted Execution Environment, що підсилюють цілісність мережі. Матеріал розраховано на менеджерів з безпеки, фахівців з ризик-менеджменту та осіб, які приймають рішення і зацікавлені в аналізі подій у сфері безпеки та ризиків.
CVE-2025-66478 уразливість Next.js: як викриття приватного ключа Alibaba Cloud дозволило викрасти 520 010 токенів
Критична уразливість віддаленого виконання коду CVE-2025-66478 у версіях Next.js до 14.0 створює серйозну загрозу для вебзастосунків, особливо якщо автентифікаційні дані скомпрометовано. Уразливість використовує небезпечну десеріалізацію у React Server Components. Це дозволяє зловмисникам виконувати довільний код через спеціальні HTTP-запити до кінцевих точок Server Function. Оцінка CVSS 9,8 вказує на масштаб ризику, адже навіть типові налаштування Next.js залишаються вразливими без спеціальних змін у коді.
У випадках розкриття інфраструктурних облікових даних, як під час інциденту з приватним ключем Alibaba Cloud у вересні 2022 року, поверхня атаки значно розширюється. Збереження скомпрометованих даних у незахищених місцях відкриває прямий доступ до хмарних ресурсів і внутрішніх систем. У ситуації з 0G Labs це призвело до викрадення 520 010 токенів на суму близько $516 000 із контракту винагороди проєкту.
Ланцюг експлуатації показує, як кілька збоїв безпеки призводять до масштабної атаки. Зловмисники спершу використали уразливість Next.js для отримання можливості виконувати код, а потім застосували розкриті дані Alibaba Cloud для доступу до критичних систем і взаємодії зі смартконтрактами. Ончейн-форензіка підтвердила порушення, визначивши точний вектор атаки через "prototype pollution" (забруднення прототипу), що дозволило обійти перевірки безпеки. Інцидент доводить необхідність оновлення Next.js до версії 14.0 або вище, впровадження надійного управління обліковими даними та негайної ротації всіх розкритих токенів автентифікації. Організації мають впроваджувати багаторівневий захист: поєднувати патчі безпеки застосунків із комплексним захистом інфраструктури, щоб уникати каскадних збоїв.
Зловживання функцією термінового виведення: проєктувальна помилка смартконтракту дозволила зловмисникам обійти контроль дозволів
Фундація ZeroGravity (0G) повідомила про серйозний інцидент безпеки, під час якого зловмисники використали критичну уразливість у функції термінового виведення. Причиною стала некоректна реалізація контролю дозволів у архітектурі смартконтракту. Зловмисники обійшли механізми авторизації та отримали несанкціонований доступ до виконання термінових виведень, які мали бути доступні виключно для уповноважених сторін. Унаслідок атаки викрадено понад 520 000 токенів 0G — це суттєва втрата резервів протоколу.
Водночас інцидент показує важливу відмінність у безпеці активів користувачів. Хоча функцію термінового виведення було скомпрометовано, основні кошти на індивідуальних гаманцях залишилися повністю захищеними й не постраждали. Викрадені токени були переведені до іншої блокчейн-мережі й відмиті через Tornado Cash — міксер конфіденційності, який використовують для приховування слідів транзакцій. Така технічна поведінка після експлуатації вказує на прагнення зловмисника приховати походження коштів і уникнути відстеження. Інцидент підкреслює постійні виклики безпеки смартконтрактів, насамперед у механізмах контролю дозволів і проєктуванні адміністративних функцій. Проєктам слід впроваджувати сувору перевірку доступу та мультипідписи для критичних функцій термінового реагування, щоб не допустити подібних атак.
Ризик централізованої інфраструктури: залежність від сторонніх хмарних сервісів створює бекдори попри децентралізовану архітектуру блокчейну
Блокчейн-індустрія декларує фундаментальну децентралізацію, проте фактично значною мірою залежить від централізованих хмарних інфраструктурних провайдерів. Така залежність створює критичні вразливості безпеки, які підривають основи блокчейну. Сторонні хмарні сервіси породжують численні ризики: витоки даних, уразливості API, неправильні налаштування — усе це суперечить принципам децентралізації.
Інциденти безпеки у 2025 році чітко продемонстрували ці слабкі місця. Жовтнева аварія AWS паралізувала основні криптоплатформи та аналітичні сервіси за кілька годин, а збої Cloudflare згодом порушили роботу багатьох блокчейн-застосунків по всьому світу. Ці випадки показали, як децентралізовані мережі стають системами з однією точкою відмови через залежність від централізованих провайдерів інфраструктури.
Окрім збоїв, така архітектурна залежність дає можливість для бекдорів через небезпечні API, компрометовані облікові дані та вразливі залежності. Фінансові інституції й блокчейн-платформи несуть спільну відповідальність за безпеку, але часто не контролюють налаштування сторонніх хмарних сервісів. Ця структурна слабкість триває, попри заяви індустрії про децентралізацію, і становить фундаментальну суперечність, що загрожує стабільності екосистеми і безпеці активів користувачів.
Мітгація після інциденту: реакція фундації 0G, включаючи ротацію приватних ключів, впровадження Trusted Execution Environment та збереження основної інфраструктури
Після інциденту фундація 0G впровадила комплексну мітгаційну стратегію для посилення стійкості мережі та інфраструктури безпеки. Скомпрометовані криптографічні ключі було негайно відкликано та застосовано ротацію приватних ключів для запобігання несанкціонованому доступу й постійного захисту чутливих операцій. Одночасно у мережу інтегровано технологію Trusted Execution Environment, що забезпечує захищені обчислення в ізольованих апаратних середовищах, убезпечуючи від зовнішніх і внутрішніх загроз. Це впровадження охоплює близько 60 % провідних галузевих практик безпеки, підтверджуючи прагнення фундації застосовувати перевірені заходи захисту. Окрім негайних дій, 0G Foundation зберегла й укріпила основні інфраструктурні компоненти за принципами архітектури нульової довіри, впровадивши жорсткі вимоги до перевірки всіх учасників і комунікацій мережі. Ці заходи—ротація ключів, впровадження TEE та інфраструктура нульової довіри—створюють багаторівневий захист. Реакція фундації після інциденту свідчить про глибоке розуміння вимог безпеки блокчейну та демонструє проактивну позицію щодо підтримки цілісності екосистеми для всіх учасників і користувачів.
FAQ
Що таке 0G crypto?
0G — модульний блокчейн першого рівня, створений для децентралізації інфраструктури штучного інтелекту. Він поєднує масштабоване зберігання і перевірювані обчислення, забезпечуючи ефективну роботу AI та керування даними на блокчейні.
Яка вартість монети 0G сьогодні?
Монета 0G коштує $1,13, за 24 години зросла на 32,15 %. Обсяг торгів за 24 години становить $169 412 303, що свідчить про високу ринкову активність і зацікавленість інвесторів в екосистемі 0G.
Яке майбутнє у 0G Labs?
0G Labs прагне надати користувачам повний контроль, право власності та можливість монетизувати власні AI-моделі без залежності від великих технологічних компаній, забезпечуючи глобальну участь в AI-економіці.
* Ця інформація не є фінансовою порадою чи будь-якою іншою рекомендацією, запропонованою чи схваленою Gate, і не є нею.
