交易所
交易所排行榜
24小时成交排行榜
人气排行榜
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
账号安全
资讯收藏
自选币种
我的关注
Unity引擎构建的加密与游戏应用面临安全漏洞风险
使用Unity引擎开发的加密货币和游戏应用正面临一项安全威胁——已存在于设备上的恶意应用可通过漏洞诱导存在缺陷的Unity应用加载敌对代码。
漏洞详情与影响范围
Unity于10月2日披露编号为CVE-2025-59489的漏洞,指出在Android平台上,攻击代码能以游戏自身权限运行,实现本地代码执行;而在桌面平台主要表现为权限提升风险。官方表示尚未发现野外利用证据,但强烈建议立即更新。
该漏洞会强制Unity运行时接受特定预初始化参数,这些参数会改变原生库的搜索路径。若攻击者控制该路径,Unity应用可能加载并执行攻击者的库。安全公司GMO Flatt分析指出,该产品会盲目信任外部或攻击者影响路径下的资源。
潜在危害场景
众多Unity应用集成了钱包SDK、托管登录或WalletConnect式会话。注入的代码可读取应用私有文件、劫持WebView、调用签名API或窃取会话令牌。虽然代码无法突破沙箱影响其他钱包应用,但存在漏洞的Unity应用可能持有密钥或通过Android Keystore请求签名,使攻击者可借机执行授权操作。
Unity公告特别强调,影响范围仅限于应用自身权限,而这恰恰是游戏内置钱包所依赖的权限级别。
检测与防护措施
用户自查:
• 检查应用商店页面更新日期:Android平台上,若游戏或钱包类应用在10月2日或之后有更新,开发者可能已使用修复版Unity编辑器重新构建
• 早期版本在更新前应视为潜在风险源
• 保持Play Protect开启状态,避免侧载应用,及时清理可疑应用
开发者建议:
• 核对当前使用的Unity编辑器版本,与官方修复版本表比对
• 已修复版本包括:6000.0.58f2(Unity 6 LTS)、2022.3.67f2及2021.3.56f2
• 对2019.1之后已停止支持的版本流,Unity也发布了首个修复标签
纵深防御策略
即使完成补丁更新,用户仍需采取防御性措施:
• 绝不存储明文助记词
• 为每笔交易启用生物识别验证
• 利用Android Keystore存储需用户确认的签名密钥
• 断开残留的WalletConnect会话
• 在开发者确认修复版本上线前,将大额资产保留在硬件钱包
这些措施能有效降低潜在攻击的影响范围。尽管CVE-2025-59489危害严重,但现有修复方案明确,用户和开发者遵循指引即可保障安全。
