0G 파운데이션이 52만 달러 상당의 $0G 토큰, 이더리움, USDT를 해킹당했습니다. 유출된 개인 키와 Next.js 취약점이 원인으로 지목되며, 암호화폐 보안의 중요성이 다시 부각됩니다. 사용자 자산은 안전하다고 밝혔습니다.
탈중앙화 AI 운영 체제(OS)를 구축 중인 0G 파운데이션이 최근 사이버 공격으로 약 52만 달러 상당의 암호화폐를 탈취당했습니다. 공격자들은 520,010개의 $0G 토큰을 포함, 9.93 이더리움, 약 4,200달러 상당의 USDT를 빼돌렸으며, 탈취된 $0G 토큰은 토네이도 캐시로 전송되었습니다. 이 사건은 블록체인 프로젝트의 보안 취약성을 다시금 보여주는 사례입니다.
0G 파운데이션은 해킹의 주요 원인으로 ‘유출된 개인 키’를 지목했습니다. NFT 상태 및 보상 업데이트를 관리하는 알리바바 클라우드(Alibaba Cloud) 서버에 부주의하게 저장된 개인 키가 노출되었고, 이를 통해 공격자가 보상 계약의 비상 인출 기능을 악용했습니다. 재단 측은 평문 개인 키를 로컬에 저장한 것은 “치명적인 운영 실패”임을 인정하며 재발 방지를 약속했습니다.
또한, 해킹은 단일 서버에 그치지 않고 확산되었습니다. 공격자들은 인기 웹 프레임워크인 Next.js의 치명적인 취약점(CVE-2025-66478)을 이용, 여러 알리바바 클라우드 인스턴스를 침해했습니다. 내부 IP 주소를 통해 시스템 전반에 걸쳐 측면 이동(lateral movement)을 감행했으며, 검증자 노드, NFT 서비스, 노드 판매 인프라 등 광범위한 내부 시스템과 Compute, Aiverse 같은 생태계 제품들이 영향을 받았습니다. 다행히 사용자 보유 자산에 대한 직접적인 추가 손실은 없었습니다. 블록체인 보안 기업 CertiK도 이전에 의심스러운 인출을 감지하여 경고한 바 있습니다.
📚 용어 설명
- **$0G 토큰:** 0G Foundation이 발행하는 자체 암호화폐.
- **Tornado Cash (토네이도 캐시):** 이더리움 기반 암호화폐 믹서. 자금 추적을 어렵게 함.
- **Private Key (개인 키):** 암호화폐 지갑 접근 및 거래 서명에 사용되는 비밀 코드.
- **USDT:** 미국 달러에 가치가 고정된 스테이블코인 (테더).
- **Next.js:** 자바스크립트 기반의 웹 애플리케이션 프레임워크.
키워드: 0G 파운데이션, 암호화폐 해킹, 개인 키 유출, Next.js 취약점, 블록체인 보안