0G 재단이 $520,000 상당의 암호화폐 해킹 피해를 입었습니다. Alibaba Cloud 서버에 유출된 개인키와 Next.js 취약점이 원인으로, 0G 토큰, 이더리움, USDT가 도난당했습니다. 이번 사건의 상세 내용과 보안 교훈을 확인하세요.
세계 최초의 탈중앙화 개방형 AI 운영체제를 구축하는 0G 재단이 최근 $520,000 상당의 암호화폐 해킹 피해를 입었습니다. 도난당한 자산은 520,010 $0G 토큰, 9.93 이더리움(ETH), 그리고 약 $4,200 USDT였습니다. 공격자는 이 토큰들을 브릿지를 통해 외부로 빼돌린 후, 유명한 암호화폐 믹서인 토네이도 캐시(Tornado Cash)를 통해 라우팅하여 추적을 어렵게 했습니다.
0G 재단의 조사에 따르면, 이번 해킹의 주 원인은 Alibaba Cloud 서버에 부주의하게 저장된 개인키 유출이었습니다. 공격자는 이 개인키를 이용해 보상 계약의 비상 인출 기능을 악용했습니다. 추가적으로, 재단은 12월 5일에 발생한 인기 웹 프레임워크 Next.js의 치명적 취약점(CVE-2025-66478)을 통해 여러 AliCloud 인스턴스가 침해되었음을 밝혀냈습니다. 공격자는 내부 IP 주소를 활용하여 시스템 전반에 걸쳐 횡적 이동을 감행했습니다.
이 침해로 인해 얼라인먼트 서비스, 검증자 노드, Gravity NFT 서비스, 노드 판매 인프라, 그리고 Compute, Aiverse, Perpdex, Ascend 등 여러 생태계 제품들이 영향을 받았습니다. 그러나 0G 재단은 사용자 보유 자산과 직접 관련된 추가 손실은 확인되지 않았다고 강조했습니다. 재단은 평문 개인키를 로컬에 저장한 것을 “치명적인 운영상 실패”로 인정하며, 이러한 관행이 재발하지 않도록 강력한 보안 조치를 약속했습니다. 블록체인 보안 기업 CertiK은 이 사건의 의심스러운 인출을 사전에 감지하여 경고한 바 있습니다.
📚 용어 설명
- 개인키: 암호화폐 지갑 접근 및 거래 승인에 쓰이는 비밀 코드.
- Tornado Cash: 이더리움 기반 프라이버시 믹서로, 거래 추적을 어렵게 함.
- USDT: 미국 달러에 가치가 고정된 스테이블코인, 테더가 발행.
- Next.js: 웹 애플리케이션 개발에 사용되는 인기 있는 자바스크립트 프레임워크.
- 탈중앙화 (Decentralized): 중앙 기관 없이 네트워크 참여자들이 분산 관리.
키워드: 0G Foundation, 암호화폐 해킹, 개인키 유출, Next.js 취약점, 사이버 보안