严重漏洞警告：React服务器组件漏洞或导致数千网站代币被盗

欢迎来到 CoinDesk 的每周新闻汇总栏目“协议”（The Protocol），这里为您带来加密货币技术发展领域最重要新闻的每周回顾。我是 CoinDesk 的记者 Margaux Nijkerk。

欧易(OKX)

全球三大交易所之一，注册领50U数币盲盒，币圈常用的交易平台！

立即注冊立即下载

币安(Binance)

币安是世界领先的数字货币交易平台，注册领100U。

立即注冊立即下载

本期内容：

• 一个新的 React 漏洞会导致所有 token 被耗尽，影响“数千个”网站。
• Ripple 通过多链推送机制，利用 Wormhole 将价值 13 亿美元的 RLUSD 稳定币扩展到以太坊 L2 层。
• Aave DAO 反对接口费用从国库转移。
• NFT项目“胖企鹅”在假日活动中占领拉斯维加斯球体。

网络新闻

可能导致钱包被掏空的漏洞影响数千个网站：一个严重漏洞正在威胁加密生态系统。React 服务器组件中的漏洞正被多个威胁组织积极利用，使数千个网站（包括加密平台）面临直接风险，受影响的用户可能会损失所有资产。该漏洞编号为 CVE-2025-55182，别名为“CVE-2025-55182”。React2Shell此漏洞允许攻击者在未经身份验证的情况下，远程执行受影响服务器上的代码。React 的维护人员于 12 月 3 日披露了此问题，并将其严重性评级定为最高级别。

披露后不久，GTIG 观察到，出于经济利益驱动的犯罪分子和疑似国家支持的黑客组织都在广泛利用此漏洞，攻击目标是云环境中未打补丁的 React 和 Next.js 应用程序。React 服务器组件用于将 Web 应用程序的部分功能直接运行在服务器上，而不是在用户的浏览器中运行。该漏洞源于 React 解码这些服务器端函数的传入请求的方式。

简而言之，攻击者可以发送精心构造的 Web 请求，诱使服务器执行任意命令，从而有效地将系统控制权移交给攻击者。该漏洞影响 React 19.0 到 19.2.0 版本，包括 Next.js 等流行框架使用的软件包。仅仅安装了存在漏洞的软件包通常就足以使攻击者利用此漏洞。绍里亚·马尔瓦