热门话题
查看更多1.06万 热度
2.19万 热度
1.55万 热度
7311 热度
9.82万 热度
热门 Gate Fun
查看更多- 市值:$3568.96持有人数:10.00%
- 市值:$3562.06持有人数:10.00%
- 市值:$3603.44持有人数:10.00%
- 市值:$3628.16持有人数:20.00%
- 市值:$4185.01持有人数:22.78%
置顶
每天看行情、刷大佬观点,却不发声?你的观点可能比你想的更有价值!
广场新人 & 回归福利进行中!首次发帖或久违回归,直接送你奖励!
每月 $20,000 奖金等你瓜分!
在广场带 #我在广场发首帖 发布首帖或回归帖即可领取 $50 仓位体验券
月度发帖王和互动王还将各获额外 50U 奖励
你的加密观点可能启发无数人,开始创作之旅吧!
👉️ https://www.gate.com/postGate 广场「创作者认证激励计划」优质创作者持续招募中!
立即加入,发布优质内容,参与活动即可瓜分月度 $10,000+ 创作奖励!
认证申请步骤:
1️⃣ 打开 App 首页底部【广场】 → 点击右上角头像进入个人主页
2️⃣ 点击头像右下角【申请认证】,提交申请等待审核
立即报名:https://www.gate.com/questionnaire/7159
豪华代币奖池、Gate 精美周边、流量曝光等超 $10,000 丰厚奖励等你拿!
活动详情:https://www.gate.com/announcements/article/47889年度捷报,因你而就!
感谢近 5000 万小伙伴同行,这扇大门我们一起打开
🔹现货冲进全球前二
🔹合约市占突破 10.6%
🔹储备金率 124% 稳稳守护
🔹链上交易笔数突破 650 万
🔹Gate Layer 地址破 1 亿
🔹战绩不止于此,步伐从未停歇...
未来已来,我们一起走
更多战绩可查:https://gate.com/announcements/article/49035你的第一句话,值得被记录!
把 2026 的第一句话留在 Gate 广场,瓜分$10,000 新年大奖!
发布 #我的2026第一条帖 ,无论是年度总结、Web3 新计划,都有机会赢取大奖!
2026U 仓位体验券、Gate 新年限定礼盒、F1 红牛新年周边礼包等你拿!
活动截止于 2026/01/15 23:59(UTC+8)
2026 已启程,从这一帖开始!Gate 2025 年终盛典|广场 TOP50 榜单正式公布!
冲榜关键期已开启,看直播、发帖即可获得助力值
30 助力值 = 1 票,快来为你喜爱的创作者投票
👉 https://www.gate.com/activities/community-vote-2025
iPhone 17 Pro Max、京东 E 卡、小米手环、Gate 独家周边、仓位体验券等你赢!
内容达人也欢迎积极发帖拉票,冲榜赢取荣誉与奖励!
投票截止:1 月 20 日 10:00(UTC+8)
详情:https://www.gate.com/announcements/article/48693
React bug 触发钱包被盗攻击,黑客攻击加密货币网站
摘要
React服务器组件中的一个严重安全漏洞引发了加密行业的紧急警告,威胁行为者利用该漏洞窃取钱包并部署恶意软件,据安全联盟称。
安全联盟宣布,加密钱包被窃取者正积极利用CVE-2025-55182,敦促所有网站立即检查其前端代码是否存在可疑资产。该漏洞不仅影响Web3协议,还影响所有使用React的网站,攻击者针对跨平台的许可签名。
安全研究人员指出,用户在签署交易时面临风险,因为恶意代码会拦截钱包通信并将资金重定向到攻击者控制的地址。
React的官方团队于12月3日披露了CVE-2025-55182,评分为CVSS 10.0,此前在11月29日通过Meta漏洞赏金计划由Lachlan Davidson报告。该未授权远程代码执行漏洞利用React解码发送到服务器功能端点的有效载荷的方式,使攻击者能够构造恶意HTTP请求,在服务器上执行任意代码,披露中指出。
React新版本
该漏洞影响React版本19.0、19.1.0、19.1.1和19.2.0,涉及react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack包。包括Next.js、React Router、Waku和Expo在内的主要框架需要立即更新,安全公告中指出。
补丁已在版本19.0.1、19.1.2和19.2.1中推出,Next.js用户需在多个版本线上升级,从14.2.35到16.0.10,具体请参阅发布说明。
研究人员在尝试利用补丁时发现了React服务器组件中的两个新漏洞,报告指出这些是新的问题,独立于该关键CVE。研究人员表示,React2Shell的补丁仍然有效应对远程代码执行漏洞。
Vercel部署了Web应用防火墙(WAF)规则,以自动保护其平台上的项目,但公司强调仅靠WAF保护仍不足够。Vercel在其12月3日的安全公告中表示,必须立即升级到已修补的版本,漏洞影响处理不可信输入、可能导致远程代码执行的应用。
谷歌威胁情报组记录了从12月3日开始的大规模攻击,追踪到从机会主义黑客到政府支持行动的犯罪团伙。报告显示,中国黑客组织在被攻陷的系统上安装了各种恶意软件,主要针对亚马逊Web服务和阿里云的云服务器。
谷歌威胁情报组指出,这些攻击者采用多种技术以维持对受害系统的长期访问。一些团伙安装了创建远程访问隧道的软件,另一些则部署持续下载伪装成合法文件的恶意工具。研究人员报告称,这些恶意软件隐藏在系统文件夹中,自动重启以避免被检测。
以财务为目的的犯罪分子从12月5日开始加入攻击浪潮,安装利用受害者计算能力挖掘门罗币的矿工软件。这些矿工在后台持续运行,增加电费支出,同时为攻击者带来利润。地下黑客论坛迅速充满了分享攻击工具和利用经验的讨论。
React漏洞发生在9月8日,当时黑客攻破Josh Goldberg的npm账户,发布了包括chalk、debug和strip-ansi在内的18个广泛使用包的恶意更新。这些工具每周下载量超过26亿,研究人员发现了拦截浏览器功能的加密夹子(crypto-clipper)恶意软件,用以将合法的钱包地址替换为攻击者控制的地址。
Ledger首席技术官Charles Guillemet将此次事件描述为“规模庞大的供应链攻击”,建议没有硬件钱包的用户避免链上交易。攻击者通过假冒npm支持的钓鱼活动获得访问权限,声称账户将在9月10日之前被锁定,除非更新两因素认证凭据,Guillemet表示。
黑客正加快窃取加密货币的速度,据行业数据显示,一次洗钱过程仅需2分57秒。
全球账本数据显示,2025年前半年,黑客在119起事件中盗取了超过$3 十亿资金,70%的资金在被公开前已被转移。报告指出,只有4.2%的被盗资产被找回,因为洗钱时间已从小时缩短到几秒。
使用React或Next.js的组织被建议立即升级到19.0.1、19.1.2或19.2.1版本,部署WAF规则,审查所有依赖项,监控网络流量中由Web服务器进程发起的wget或cURL命令,并查找未授权的隐藏目录或恶意的Shell配置注入,安全公告中建议。