React曝严重漏洞致加密钱包遭窃，Web3安全警报拉响_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

React曝严重漏洞致加密钱包遭窃，Web3安全警报拉响

2025-12-15 17:33:50

React致命漏洞引发加密货币行业紧急警报

随着React致命漏洞的出现，加密货币行业拉响了警报。攻击者利用这一安全缺陷窃取加密钱包和传播恶意软件的事件接连发生。安全联盟近期发布警告称，攻击者已成功将CVE-2025-55182漏洞武器化。该漏洞影响所有基于React的网站，尤其对具有钱包连接功能的Web3站点造成直接冲击。当用户尝试交易签名时，恶意代码会拦截钱包通信并将资产转移至攻击者账户。

漏洞根源与特性

本次事件的根源在于React服务器组件的核心功能。该漏洞于11月29日由安全研究员拉克兰·戴维森报告，React团队于12月3日正式公开问题。根据CVSS评级体系，该漏洞被归类为最严重的10.0级，允许未经认证的恶意HTTP请求在服务器上执行任意命令。攻击者可利用此漏洞完全控制服务器。

受影响范围包括React 19.0、19.1.0、19.1.1、19.2.0版本，以及使用react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack软件包的项目。这直接波及Next.js、React Router、Waku、Expo等主流框架。React团队已紧急发布19.0.1、19.1.2、19.2.1修补版本，Next.js也同步支持14.2.35至16.0.10等多个版本。

持续演变的威胁态势

但这仅仅是开始。安全研究人员在最新补丁发布后仍发现两处重大缺陷，且攻击手段日趋精密。Vercel虽已积极部署Web应用防火墙规则保护其平台所有项目，但坦言单纯依靠防火墙远远不够。

谷歌威胁情报小组分析指出，自12月3日起持续发生大规模网络攻击，甚至包括国家级黑客组织参与其中。主要攻击目标聚焦亚马逊云服务、阿里云等云服务器，综合运用后门安装、文件伪装、持久化感染等技术手段。部分攻击者还滥用Cloudflare Pages、GitLab等合法平台隐藏通信链路。

自5日起，以犯罪收益为目的的加密货币挖矿攻击也开始涌现。门罗币挖矿恶意程序被悄然植入受害者系统，在产生电力成本的同时为攻击者带来源源不断的收益。

攻击模式与历史关联

网络攻击者通过地下论坛共享攻击代码与经验，使新型攻击技术快速扩散。这与去年9月npm软件包管理器账户遭入侵，导致18个热门软件包被植入恶意代码的事件如出一辙。当时这些软件包均为周下载量超26亿次的热门工具，甚至发现了专门窃取浏览器地址复制功能的“CryptoClipper”恶意软件。

雷蛇首席技术官夏尔·吉约姆将此漏洞定义为“威胁整个供应链的大型攻击”，强调非硬件钱包用户应尽量避免链上交易。此前黑客通过冒充npm客服的钓鱼邮件窃取账户，在此过程中实施了针对多重认证信息的精密侦察。

行业损失与防御措施

据全球数据统计，仅2025年上半年就发生119起黑客事件，损失金额超过30亿美元。其中70%的资金在事件曝光前已完成转移，资金追回率仅4.2%。区块链上的资金洗钱操作如今可在数秒内完成。

当前使用React或Next.js的所有机构应立即实施安全补丁，配置Web应用防火墙，重新核查依赖源代码。同时需重点监控服务器是否执行wget·cURL下载指令，及时检测非法目录或Shell配置篡改行为。

常见问题解答

问：React服务器组件漏洞是什么？

问：为何该漏洞对加密货币行业具有致命性？

问：有哪些应对措施？

问：普通用户如何预防？

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文