2023年12月，0G智能合約出現漏洞，造成520,010枚代幣遭竊。這項漏洞主要來自合約程式碼的安全缺陷，駭客藉此發動攻擊，成功盜取大量代幣。

CVE-2025-66478 Next.js 漏洞：阿里雲私鑰外洩導致 520,010 枚代幣遭竊

Next.js 14.0 之前的版本存在嚴重遠端程式碼執行漏洞 CVE-2025-66478，尤其在認證憑證外洩時，對 Web 應用安全造成重大威脅。此漏洞利用 React Server Components 的不安全反序列化，攻擊者可透過特製 HTTP 請求直接在 Server Function 端點執行任意程式碼。CVSS 評分高達 9.8，顯示即使未變更任何程式碼，Next.js 預設設定本身即處於極高風險。

基礎設施憑證一旦外洩，攻擊面會急遽擴大。以 2022年9月阿里雲私鑰外洩事件為例，未妥善保護的憑證使攻擊者能直接存取雲端資源及內部系統。0G Labs 事件即是攻擊者透過上述方式，竊取專案獎勵合約中價值約 516,000 美元的 520,010 枚代幣，造成重大損失。

攻擊鏈條反映多重安全疏失的連鎖效應。攻擊者先利用 Next.js 漏洞取得程式碼執行權限，再憑外洩的阿里雲憑證存取敏感系統並與智能合約互動。鏈上鑑識證實攻擊路徑，顯示攻擊者以原型污染繞過安全檢查。本次事件凸顯應立即升級 Next.js 至 14.0 或以上、強化憑證管理，並即刻更換所有外洩認證令牌。企業必須採取縱深防禦策略，結合應用程式安全修補與基礎設施防護，防堵類似連鎖安全事件。

緊急提領功能遭利用：智能合約設計缺陷使攻擊者繞過權限控管

ZeroGravity（0G）基金會指出，攻擊者利用緊急提領功能中的核心漏洞發起攻擊。該漏洞源自智能合約架構權限控管不當，攻擊者成功繞過授權機制，取得本應僅限授權方的緊急提領權限，最終盜走逾 520,000 枚 0G 代幣，嚴重衝擊協議儲備。

此事件明確切割用戶資產安全。即使緊急提領功能遭破壞，用戶個人錢包資產完全未受影響，始終安全。被盜代幣隨後透過跨鏈橋轉移至其他區塊鏈網路，並借助 Tornado Cash（主流隱私混幣工具）進行洗錢，隱藏資金流向並阻斷追蹤。此技術行為顯示攻擊者刻意規避追查。事件持續凸顯智能合約在權限管理與功能設計上的挑戰，專案需為關鍵緊急操作建立嚴格的存取控管驗證及多簽機制，防止類似漏洞重演。

中心化基礎設施風險：第三方雲端服務依賴為區塊鏈架構帶來後門

區塊鏈產業雖然強調去中心化，卻高度倚賴中心化雲端服務供應商，這種結構性矛盾帶來重大安全隱患。第三方雲端服務引入資料外洩、API 漏洞、設定錯誤等多重風險，直接違背去中心化初衷。

2025年多起安全事件清楚揭露這些風險。10月 AWS 當機數小時導致主流加密平台及分析服務癱瘓，Cloudflare 隨後當機又波及全球眾多區塊鏈應用。這些事件證明，即使去中心化網路，只要依賴中心化基礎設施，仍可能淪為單點故障系統。

除了當機外，架構依賴亦帶來不安全 API、憑證外洩及脆弱依賴等後門風險。金融機構與區塊鏈平台共同承擔安全責任，卻往往缺乏對第三方雲端服務設定的有效控管。產業持續宣揚去中心化，結構性弱點卻威脅生態系統穩定與用戶資產安全，暴露根本矛盾。

事件後應對：0G 基金會私鑰輪換、受信任執行環境部署及核心基礎設施保護

安全事件發生後，0G 基金會即刻採取全面緩解措施，提升網路韌性與安全。基金會立即撤銷受損加密金鑰，啟動私鑰輪換機制，防止未授權存取並維護敏感操作安全。同步將受信任執行環境（Trusted Execution Environment）技術整合進網路架構，於硬體隔離下確保安全運算，有效防禦外部威脅及內部漏洞。此舉與約 60% 業界領先安全實踐接軌，展現基金會積極導入成熟防護措施。除此之外，基金會亦依零信任架構原則強化核心基礎設施，對網路參與者及通訊設立嚴格驗證要求。私鑰輪換、TEE 部署及零信任基礎設施三大措施聯合構築多重安全防線。基金會事件後的因應展現對區塊鏈安全要求的成熟認知，並堅定維護生態系統完整性、保障所有用戶與利害關係人。

FAQ

什麼是 0G 加密貨幣？

0G 是模組化 Layer-1 區塊鏈，專注於 AI 基礎設施去中心化，整合可擴充儲存與可驗證運算，實現高效鏈上 AI 運算及資料管理。

0G 代幣目前價值多少？

0G 代幣目前價格為 1.13 美元，24 小時漲幅 32.15%。24 小時交易量達 169,412,303 美元，突顯 0G 生態市場活躍度與投資者熱情。

0G Labs 的未來展望為何？

0G Labs 致力於讓用戶自主擁有、掌控並變現個人 AI 模型，減少對大型科技公司的依賴，推動全球用戶參與 AI 經濟。