최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- SEAL Security 연구원들은 React 플랫폼의 치명적인 결함으로 인해 암호화폐 웹사이트에 대한 지갑 탈취 공격이 급증했다고 경고했습니다.
- React 팀은 원격 코드 실행 및 서비스 거부 공격을 가능하게 하는 여러 가지 심각한 취약점을 공개했습니다.
- 공격자들은 서버 측 React의 치명적인 취약점을 악용하고 회피 전술을 정교하게 다듬었으며, 별도의 DeFi 해킹 사건으로 230만 달러가 도난당했습니다.
보안 연합(SEAL)은 해커들이 심각한 React 취약점을 악용하여 암호화폐 웹사이트를 장악하고 있다고 경고했습니다. SEAL은 이 취약점이 지갑에서 자금을 빼돌리는 공격을 급증시켜 사용자와 플랫폼을 즉각적인 위험에 빠뜨리고 있다고 밝혔습니다.
React 서버 컴포넌트(RSC)는 브라우저가 아닌 서버에서 작동하면서 렌더링된 결과를 클라이언트(브라우저)에 전달합니다. 그러나 React 팀은 이러한 패키지에서 심각도 10점 만점에 10점에 달하는 치명적인 취약점을 발견했습니다.
패치가 적용되지 않은 React 서버는 원격 코드 실행 공격에 취약합니다.
React 팀은 발표했습니다 React2Shell이라는 취약점(CVE-2025-55182)으로 인해 공격자가 인증 없이도 손상된 서버에서 원격으로 코드를 실행할 수 있다는 내용의 보안 경고를 . React 개발팀은 12월 3일에 이 취약점을 보고하고 최고 심각도 등급을 부여했습니다.
React 팀에 따르면 CVE-2025-55182는 19.0, 19.1.0, 19.1.1 및 19.2.0 버전의 react-server-dom-parcel, react-server-dom-turbopack 및 react-server-dom-webpack 패키지에 영향을 미칩니다.
React를 이용한 크립토 드레인 취약점(CVE-2025-55182)
최근 React CVE 취약점을 악용한 악성코드가 합법적인 (암호화폐) 웹사이트에 업로드되는 사례가 급증하고 있습니다.
모든 웹사이트는 지금 당장 프런트엔드 코드에서 의심스러운 요소가 있는지 검토해야 합니다.
— 보안 동맹 (@_SEAL_Org) 2025년 12월 13일
SEAL은 "모든 웹사이트는 의심스러운 자산이 있는지 프런트엔드 코드를 즉시 검토해야 한다"고 촉구했습니다. 또한 SEAL은 웹3 프로토콜을 사용하는 웹사이트뿐만 아니라 모든 웹사이트가 취약하므로 암호화 관련 권한 서명을 할 때 각별히 주의해야 한다고 밝혔습니다.
SEAL에 따르면 모든 웹 개발팀은 CVE-2025-55182 취약점을 검사하고 코드가 알 수 없는 호스트에서 자산을 예기치 않게 로드하는지 확인해야 합니다. 또한 SEAL은 지갑이 서명 요청에 올바른 수신자를 표시하는지 확인하고, 코드에서 로드되는 "스크립트" 중 난독화된 JavaScript가 있는지 여부도 확인해야 한다고 밝혔습니다.
CVE-2025-55182가 공개된 직후, SEAL은 이전 패치를 테스트하는 과정에서 React 서버 컴포넌트에서 두 가지 취약점을 추가로 발견했습니다. React 블로그에 따르면, SEAL은 되는dentCVE 서비스 거부(DoS) 및 높은 심각도의 취약점으로-2025-55183(CVSS 5.3)을 공개했습니다dent소스 코드 노출 및 중간 심각도의 취약점으로 분류
React 팀은 최근 발견된 취약점의 심각성 때문에 모든 웹사이트를 즉시 업그레이드해야 한다고 권고했습니다.
자바스크립트 보안팀의 권고에 따르면, CVE-2025-55184로dent된 서비스 거부 취약점은 공격자가 악의적인 HTTP 요청을 생성하여 모든 앱 라우터 또는 서버 함수 엔드포인트로 전송할 수 있도록 허용합니다. 보고서는 이러한 요청이 서버 프로세스를 멈추게 하는 무한 루프를 생성하여 이후의 HTTP 요청을 처리할 수 없게 만든다고 설명했습니다.
공통 취약점 점수 시스템(CVSS)에 따르면 CVE-2025-55184는 10점 만점에 7.5점으로 높은 심각도 점수를 받았습니다.
두 번째 소스 코드 유출 취약점인 CVE-2025-55183은 심각도 등급이 10점 만점에 5.3점으로 중간 수준입니다.
Next.js에 따르면, 공격 과정은 유사할 것으로 예상됩니다. Next.js는 설명했습니다 . Next.js 팀은 생성된 소스 코드가 공개될 경우 하드코딩된 비밀 키와 회사 내부 로직이 노출될 수 있다고 경고했습니다.
암호화폐 탈취범들은 은밀한 암호화폐 절도를 위해 회피 전술을 정교하게 다듬고 있다.
악용하기 위해 새로운 전략을 시험하는 시기와 맞물립니다 암호화폐 지갑을.
암호화폐 보안 전문가 단체인 보안 연합(SEAL)에 따르면, 암호화폐 탈취 악성코드 유포자들은 이제 평판이 좋은 도메인을 랜딩 페이지 및 페이로드 호스팅에 활용하고, 이전에 유효했던 도메인을 재등록하며, 정교한 핑거프린팅 기법을 사용하고 있다고 합니다. 보안 연구원들은 이들의 주장했습니다 목표가 피싱 웹사이트에 삽입되는 악성 자바스크립트 코드인 암호화폐 탈취 악성코드를 유포하고 보안 연구원들의 활동을 방해하는 것이라고
SEAL은 회피 전술이 특정 마약 밀매 조직의 계열사마다 다르며, 마약 밀매 조직 차원에서 일관되게 시행되지 않는다고 밝혔습니다.
또 다른 암호화폐 범죄 사례로, 탈중앙화 금융 DeFi 프로토콜인 Aevo(이전 Ribbon Finance)는 발표했습니다 일요일에 230만 달러가 자사 금고에서 인출되었다고 DeFi 창시자인 Anton Cheng은 누구나 새로운 자산의 가격을 설정할 수 있도록 만든 업데이트된 오라클 코드가 이번 해킹의 주요 원인이라고 주장했습니다.
아직도 가장 좋은 부분을 은행에 맡기고 계신가요? 나만의 은행이 되는 방법.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)