币态网根据网络安全非营利组织Security Alliance(SEAL)的最新报告,近期通过开源前端JavaScript库React中的漏洞,黑客利用加密钱包抽取程序的事件有所增加。
React是用于构建用户界面的工具,尤其适用于Web应用。React团队于12月3日发布声明,指出白帽黑客Lachlan Davidson发现了一个允许未认证远程代码执行的安全漏洞,攻击者可以借此插入并运行恶意代码。
SEAL报告称,不法分子正在利用漏洞CVE-2025-55182,将提取钱包资金的代码偷偷植入加密网站中。
SEAL团队表示:“我们观察到,利用最近React相关CVE将抽取程序上传至合法加密网站的事件显著增加。所有网站现在应检查前端代码中是否存在可疑资源。”同时,他们提醒:“该攻击不仅限于Web3协议,所有网站都面临风险。用户在签署任何permit签名时应保持警惕。”
钱包抽取程序通常通过伪造奖励弹窗等手段诱导用户签署交易。
网站需检查代码以防钓鱼风险
SEAL团队指出,受影响的网站可能会在未事先通知的情况下被标记为潜在钓鱼风险。他们建议网站托管方采取预防措施,以确保没有隐藏的抽取程序危及用户安全。
他们建议:“扫描主机是否存在CVE-2025-55182漏洞,检查前端代码是否从不明主机加载资产,确认加载的任何脚本是否为混淆的JavaScript,并核对钱包签名请求中显示的收款方是否正确。”
SEAL团队补充道:“如果你的项目被拦截,这可能是原因所在。在申请移除钓鱼页面警告之前,请先审查你的代码。”
React已发布漏洞修复
React团队已于12月3日发布了针对CVE-2025-55182的修复,建议所有使用react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的开发者立即升级,以关闭此漏洞。
该团队进一步指出:“如果你的应用中不使用服务器的React代码,那么你的应用不受此漏洞影响。如果你的应用未使用支持React服务器组件的框架、打包器或插件,那么你的应用同样不受影响。”
