最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- SEAL Securityの研究者は、Reactの重大な欠陥が暗号通貨ウェブサイトへのウォレット流出攻撃の急増を引き起こしたと警告した。
- React チームは、リモートコード実行やサービス拒否攻撃を可能にする、重大度の高い複数の脆弱性を公開しました。
- 攻撃者はサーバー側のReactの重大な欠陥を悪用し、回避戦術を改良したため、別の DeFi 侵害により230万ドルが盗まれた。
セキュリティ・アライアンス(SEAL)は、ハッカーがReactの深刻な脆弱性を悪用して暗号通貨ウェブサイトを乗っ取ろうとしていると警告を発しました。SEALは、この脆弱性がウォレットドレイン攻撃の急増を助長し、ユーザーとプラットフォームを差し迫った危険にさらしていると述べています。
React Server Components(RSC)は、ブラウザではなくサーバー上で動作し、レンダリング結果をクライアント(ブラウザ)に提供します。しかし、Reactチームはこれらのパッケージに、最大深刻度10/10の重大な脆弱性を発見しました。
パッチ未適用のReactサーバーはリモートコード実行攻撃の危険にさらされている
Reactチームは 発表した 、React2Shellと呼ばれる脆弱性(CVE-2025-55182)により、攻撃者が認証を必要とせずに侵害されたサーバー上でリモートからコードを実行できる可能性があるという勧告を 。Reactのメンテナーは12月3日にこの脆弱性を報告し、最高レベルの深刻度スコアを割り当てた。
React チームによると、CVE-2025-55182 は、バージョン 19.0、19.1.0、19.1.1、および 19.2.0 の react-server-dom-parcel、react-server-dom-turbopack、および react-server-dom-webpack パッケージに影響します。
React CVE-2025-55182 を使用した暗号ドレイン
最近の React CVE を悪用して、正当な (暗号) Web サイトにアップロードされる Drainer が大幅に増加しているのが確認されています。
すべてのウェブサイトは、今すぐフロントエンド コードに疑わしいアセットがないか確認する必要があります。
— セキュリティ・アライアンス(@_SEAL_Org) 2025年12月13日
SEALは「すべてのウェブサイトは、疑わしいアセットがないかフロントエンドのコードを今すぐ確認すべきだ」と強く訴えた。さらにSEALは、 Web3 プロトコルを使用しているウェブサイトだけでなく、すべてのウェブサイトが脆弱であるため、ユーザーは暗号関連の許可署名を行う際には注意を払うべきだと述べた。
SEALによると、すべてのWeb開発チームはホストをスキャンしてCVE-2025-55182の脆弱性を検知し、コードが予期せず未知のホストからアセットを読み込んでいないか確認する必要があるとのことです。さらにSEALは、ウォレットが署名署名リクエストで正しい受信者を表示していることを確認するよう指示しています。また、コードによって読み込まれる「スクリプト」の中に難読化されたJavaScriptが含まれていないかも確認する必要があります。
CVE-2025-55182の公開直後、SEALは以前のパッチのテスト中にReact Server Componentsにさらに2つの脆弱性を発見しました。Reactブログによると、SEALはCVE-2025-55184とCVE-2025-67779(CVSS 7.5)を公開しました。 これらはdentされてい サービス拒否(DoS)および高深刻度と。次にSEALはCVE-2025-55183(CVSS 5.3)を公開しました。研究者らはこれをdentソースコード露出(Source Code Exposure)および中深刻度と分類しています
React チームは、最近明らかになった脆弱性の深刻さを考慮して、すべての Web サイトをすぐにアップグレードする必要があるとアドバイスしました。
JSのアドバイザリによると、CVE-2025-55184としてdentされるサービス拒否脆弱性により、攻撃者は悪意のあるHTTPリクエストを作成し、任意のApp RouterまたはServer Functionエンドポイントに送信することができます。さらに、これらのリクエストは無限ループを引き起こし、サーバープロセスをハングさせ、将来のHTTPリクエストの処理を妨害するとレポートは説明しています。
共通脆弱性評価システム (CVSS) によれば、CVE-2025-55184 の重大度は 10 点満点中 7.5 と高いスコアです。
2 番目のソース コード漏洩の脆弱性である CVE-2025-55183 の重大度は、10 点満点中 5.3 と中程度です。
Next.jsによると、攻撃の連鎖は同様だという。Next.jsは、 説明 した。Next.jsチームは、生成されたソースコードが漏洩することで、ハードコードされた機密情報や企業のロジックが暴露される可能性があると警告した。
暗号資産窃盗犯は、暗号資産窃盗の回避戦術を洗練させている
Reactの脆弱性によって促進されたドレイナーの増加は、暗号資産を盗むドレイナー運営者とその関係者が検出を回避し、 暗号資産ウォレットを。
セキュリティ・アライアンス(SEAL)の暗号資産セキュリティ専門家によると、ドレイナーのアフィリエイトは現在、ランディングページやペイロードのホスティングに高評価のドメインを利用し、以前有効だったドメインを再登録し、高度なフィンガープリンティング技術を導入しているという。セキュリティ研究者らは、 主張し ている。
SEAL は、脱税戦術は特定のドレイナーファミリーの関連組織間で異なり、ドレイナーサービスレベルで一貫して実施されているわけではないと述べた。
仮想通貨犯罪の別の事例として、 DeFi プロトコルAevo(旧Ribbon Finance)は 発表した 日曜日、同社の金庫から230万ドルが流出したと DeFi 創設者アントン・チェン氏は、誰でも新しい資産の価格を設定できるようになったOracleコードの更新が、今回の侵害の主な原因だと主張した。
まだ銀行に一番大事な部分を預けていますか? 自分の銀行になる方法。
免責事項: 本情報は投資助言ではありません。Cryptopolitan.com Cryptopolitan、 本ページの情報に基づいて行われた投資について一切責任を負いません。投資判断を行う前に、ごtrondentdentdentdentdentdentdentdent で調査を行うか、資格のある専門家にご相談されることを
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)