0G 재단, DeFi 해킹으로 52만 달러 손실 보고

0G 재단에 대한 사이버 공격으로 50만 달러 상당의 암호화폐가 도난당했다고 회사 측이 밝혔습니다.

세계 최초의 탈중앙화 개방형 AI 운영 체제를 구축 중이라고 밝힌 해당 재단은 공격자가 520,010개의 $0G 토큰을 훔쳐 토네이도 캐시(Tornado Cash를 통해 송금했다고 보고했습니다. 추가 손실에는 9.93 이더리움과 약 4,200달러 상당의 USDT가 포함되어, 도난 당시 확인된 총 손실액은 약 52만 달러에 달했습니다.

유출된 개인 키를 이용한 공격 trac되었습니다.

재단에 따르면공격자는trac해킹당한 클라우드 서버에 실수로 저장된 개인 키에 접근한 후

관리를 담당하는 알리바바 클라우드 인스턴스에 연결되어 있었습니다 NFT 상태 및 보상 업데이트

재단 측은 "공격자가 알리클라우드 인스턴스에서 유출된 개인 키에 접근했다"며, 평문 개인 키를 로컬에 저장하는 것은 심각한 운영상의 오류라며 "이러한 관행은 다시는 일어나서는 안 된다는 것을 이제 알게 됐다"고 덧붙였다.

추가 조사 결과, 침해는 단일 서버에만 국한되지 않은 것으로 드러났습니다. 알리클라우드 재단은 공격자들이 12월 5일 인기 웹 프레임워크인 Next.js의 심각한 취약점(CVE-2025-66478)을 악용하여 여러 알리클라우드 인스턴스를 해킹했다고 trac습니다. 공격자는 내부 IP 주소를 이용해 시스템 간 이동을 반복하며 광범위한 서비스에 영향을 미쳤습니다.

여기에는 정렬 서비스, 검증자 노드, Gravity NFT 서비스, 노드 판매 인프라, 그리고 Compute, Aiverse, Perpdex, Ascend와 같은 여러 생태계 제품이 포함되었습니다.

하지만 재단 측은 사용자 보유 자산과 직접적으로 관련된 추가 손실은dent되지 않았다고 주장해왔습니다.

블록체인 보안 회사인 CertiK는 의심스러운 인출 건을 지적했으며 0G 관련 보상 계약에서trac, 재단이 나중에 확인한 수치와 일치하는 손실액을 추정했습니다.

0G 재단의 다음 행보는 무엇일까요?

0G 재단은 즉각적인 보안 조치를 시행했다고 밝혔습니다. 또한 Next.js 취약점을 패치하고 영향을 받는 서비스를 재구축했습니다.

0G는 유사한 사건dent방지를 위해 모든 키 기반 서비스를 TEE(Trusted Execution Environments)로 이전하고, 중요 자금 관리에 다중 서명 지갑 요건을 도입하며, 인프라 전반에 걸쳐 제로 트러스트 보안 원칙을 채택할 것이라고 밝혔습니다.

해킹dent 0G 재단이 보고한 총 2억 9천만 달러 이상 을 유치한 이후에 발생했습니다. 이로써 플랫폼에 대한 누적 투자 약정액은 3억 2천 5백만 달러에 달하게 되었습니다.

0G는 이번 해킹 사건이 "고통스럽지만 필요한 경각심을 일깨워주는 사건"이라고 인정했습니다. 또한, 재단이 악의적인 공격자들에게 52만 달러를 잃게 된 경위를 자세히 밝히는 사후 분석 보고서를 공개할 예정이라고 밝혔습니다.