2023年12月，0G智能合约漏洞导致了520,010枚代币被盗。具体而言，这一漏洞源于合约代码中的安全缺陷，黑客利用该漏洞实施了攻击，成功窃取了大量代币。

CVE-2025-66478 Next.js 漏洞：阿里云私钥泄漏引发 520,010 枚代币失窃

Next.js 14.0 之前版本存在严重的远程代码执行漏洞 CVE-2025-66478，尤其在认证凭据遭泄漏时，对 Web 应用安全构成极大威胁。此漏洞利用 React Server Components 的不安全反序列化，攻击者可通过特制 HTTP 请求对 Server Function 端点执行任意代码。CVSS 评分高达 9.8，显示即便未修改代码，默认 Next.js 配置也处于高风险。

基础设施凭据一旦泄露，攻击面便急剧扩大。例如 2022年9月阿里云私钥泄漏事件，未受保护的凭据让攻击者能够直接访问云资源和内部系统。以 0G Labs 事件为例，攻击者通过上述方式盗走了项目奖励合约中价值约 516,000 美元的 520,010 枚代币，造成严重损失。

攻击链条展示了多重安全失误的叠加效应。攻击者先利用 Next.js 漏洞获取代码执行权限，继而凭借泄露的阿里云凭据访问敏感系统并与智能合约交互。链上取证结果确认了攻击路径，显示攻击者通过原型污染绕过安全检测。本次事件凸显了及时升级 Next.js 至 14.0 或以上版本、强化凭据管理、以及立即轮换所有泄露认证令牌的紧迫性。企业必须采取纵深防御策略，将应用安全补丁与基础设施保护相结合，防范类似连锁安全事件发生。

紧急提现功能遭利用：智能合约设计缺陷使攻击者绕过权限控制

ZeroGravity（0G）基金会披露，攻击者利用紧急提现功能中的关键漏洞发起攻击。漏洞源于智能合约架构权限管控不当，攻击者成功绕过授权机制，获得本应仅限授权方的紧急提现权限，最终盗走逾 520,000 枚 0G 代币，严重损害协议储备。

值得注意的是，事件明确区分了用户资产安全。虽然紧急提现功能被攻破，用户个人钱包中的资产完全未受影响，始终安全。被盗代币随后通过跨链桥转移至其他区块链网络，并利用 Tornado Cash（常用隐私混币器）进行洗钱，隐藏资金流向，阻断追踪。此技术行为表明攻击者有意规避追查。事件持续暴露智能合约在权限管控与管理功能设计上的挑战，项目需为关键紧急操作引入严格的访问控制验证与多签机制，防止类似漏洞。

中心化基础设施风险：第三方云服务依赖为区块链架构带来后门

区块链行业虽强调去中心化，却高度依赖中心化云服务商，这一结构性矛盾带来关键安全隐患。第三方云服务引入数据泄露、API 漏洞、配置失误等多重风险，直接违背去中心化初衷。

2025年多起安全事件清晰揭示了这些风险。10月 AWS 宕机数小时内瘫痪主流加密平台及分析服务，随后 Cloudflare 宕机又导致全球众多区块链应用受影响。这些事件证明，依赖中心化基础设施，去中心化网络也会沦为单点故障系统。

除宕机外，架构依赖还带来不安全 API、凭据泄漏和脆弱依赖等后门风险。金融机构与区块链平台共同承担安全责任，但往往缺乏对第三方云服务配置的有效管控。行业虽持续宣传去中心化，结构性弱点却威胁生态系统稳定与用户资产安全，暴露出根本矛盾。

事件后应对：0G 基金会私钥轮换、受信任执行环境部署与核心基础设施保护

安全事件发生后，0G 基金会迅速执行全方位缓解措施，提升网络韧性与安全。基金会立即撤销受损加密密钥，启动私钥轮换机制，防止未授权访问并保障敏感操作安全。与此同时，受信任执行环境（Trusted Execution Environment）技术集成至网络架构，实现硬件隔离下的安全计算，有效防御外部威胁与内部漏洞。此举与约 60% 业界领先安全实践接轨，彰显基金会对成熟防护措施的积极采纳。除上述举措外，基金会还通过零信任架构原则强化核心基础设施，为网络参与者与通信设立严格验证要求。私钥轮换、TEE 部署与零信任基础设施三大举措协同构建多重安全防线。基金会事件后响应体现出对区块链安全要求的成熟认知，展现维护生态系统完整性、保障所有用户与利益相关者的坚定承诺。

FAQ

什么是 0G 加密货币？

0G 是模块化 Layer-1 区块链，专注于 AI 基础设施去中心化，融合可扩展存储与可验证计算，实现高效链上 AI 运算及数据管理。

0G 代币当前价值多少？

0G 代币当前价格为 1.13 美元，24 小时涨幅 32.15%。24 小时交易量达 169,412,303 美元，显示 0G 生态市场活跃度与投资者热情。

0G Labs 的未来是什么？

0G Labs 致力于让用户自主拥有、掌控并变现个人 AI 模型，减少对大型科技公司的依赖，推动全球范围内用户参与 AI 经济。