Actifs
Dépôt de cryptos
Acheter Crypto
Convertir
Transfert
Retrait
Mes coupons
Historique du fonds
Dashboard
Sécurité du compte
Vérification d'identité
Gestion des API
Rapport de la transaction
Déconnexion
inscrire
BTCC / BTCC Square / CryptopolitanFR /
Une vulnérabilité React fait exploser les vols de cryptomonnaies : ce que tout développeur doit savoir

Une vulnérabilité React fait exploser les vols de cryptomonnaies : ce que tout développeur doit savoir

Author:
CryptopolitanFR
Published:
2025-12-16 11:20:32
8
2

Une vulnérabilité de React provoque une forte augmentation des vols de cryptomonnaies.

Une faille dans la bibliothèque React ouvre une brèche béante dans la sécurité des portefeuilles numériques. Les attaques se multiplient, ciblant les applications web décentralisées les plus populaires.

Le mécanisme d'exploitation

Les pirates contournent les protocoles d'authentification en injectant du code malveillant directement dans les composants frontend. La vulnérabilité ne nécessite aucune interaction utilisateur—une simple visite sur une page compromise suffit à vider un portefeuille.

L'onde de choc dans l'écosystème

Les plateformes DeFi construites sur React sont en alerte maximale. Les équipes de sécurité travaillent sur des correctifs, mais la propagation est rapide. Les transactions suspectes affluent sur les blockchains principales.

La réaction du marché

Ironiquement, les cours résistent—comme si les investisseurs considéraient ces vols comme une simple taxe sur l'innovation. Une attitude typique dans la finance décentralisée, où chaque catastrophe semble juste renforcer la conviction des adeptes.

Protégez vos actifs maintenant

Mettez à jour vos dépendances React immédiatement. Vérifiez les autorisations de vos contrats intelligents. Et rappelez-vous : dans la cryptosphère, la sécurité n'est jamais un produit fini, mais une course sans fin contre ceux qui veulent votre argent numérique.

Les serveurs React non patchés sont vulnérables aux attaques d'exécution de code à distance.

L'équipe React a publié un avis de sécurité indiquant qu'une vulnérabilité, connue sous le nom de React2Shell et référencée CVE-2025-55182, permet à des attaquants d'exécuter du code à distance sur des serveurs compromis sans authentification. Les responsables de React ont signalé cette vulnérabilité le 3 décembre et lui ont attribué le niveau de gravité maximal.

Selon l'équipe React, la CVE-2025-55182 affecte les packages react-server-dom-parcel, react-server-dom-turbopack et react-server-dom-webpack dans les versions 19.0, 19.1.0, 19.1.1 et 19.2.0.

Voleurs de cryptomonnaie utilisant React CVE-2025-55182

Nous observons une forte augmentation du nombre de logiciels de piratage téléchargés sur des sites web légitimes (de cryptomonnaie) grâce à l'exploitation de la récente vulnérabilité CVE de React.

Tous les sites web devraient examiner dès maintenant leur code front-end afin de détecter tout élément suspect.

— Alliance pour la sécurité (@_SEAL_Org) 13 décembre 2025

SEAL a insisté sur le fait que « tous les sites web doivent examiner immédiatement leur code frontal afin de détecter tout actif suspect ». SEAL a également déclaré que les utilisateurs doivent faire preuve de prudence lorsqu'ils signent une autorisation relative aux cryptomonnaies, car tous les sites web, et pas seulement ceux utilisant Web3 , sont vulnérables.

Selon SEAL, toutes les équipes de développement web doivent analyser les serveurs à la recherche de la vulnérabilité CVE-2025-55182 et vérifier si leur code charge des ressources de manière inattendue depuis des serveurs inconnus. SEAL recommande également aux équipes de s'assurer que le portefeuille affiche le destinataire correct lors de la signature de la requête. Enfin, elles doivent déterminer si des scripts chargés par leur code contiennent du JavaScript obfusqué.

Peu après la divulgation de la vulnérabilité CVE-2025-55182, SEAL a découvert deux autres failles de sécurité dans les composants serveur de React lors de tests du correctif précédent. Selon le blog de React, SEAL a divulgué les vulnérabilités CVE-2025-55184 et CVE-2025-67779 (CVSS 7.5), identifiées dent des attaques par déni de service (DoS) de haute gravité , que les chercheurs ont dent comme une exposition du code source de gravité moyenne.

L'équipe React a conseillé à tous les sites web de procéder immédiatement à une mise à jour en raison de la gravité des vulnérabilités récemment révélées.

D'après l'avis de sécurité de JS, la vulnérabilité de déni de service,dentCVE-2025-55184, permet à un attaquant de créer des requêtes HTTP malveillantes et de les envoyer à n'importe quel point de terminaison d'App Router ou de Server Function. Le rapport explique également que ces requêtes créent une boucle infinie qui bloque le processus serveur et empêche le traitement des requêtes HTTP suivantes.

Selon le système de notation des vulnérabilités communes (CVSS), la vulnérabilité CVE-2025-55184 présente un score de gravité élevé de 7,5 sur 10.

CVE-2025-55183, la deuxième vulnérabilité de fuite de code source, a un niveau de gravité moyen de 5,3 sur 10.

D'après Next.js, la chaîne d'exploitation serait similaire. Next.js explique qu'un point d'accès vulnérable reçoit de l'attaquant une requête HTTP spécialement conçue, qui renvoie le code source d'une fonction serveur. L'équipe de Next.js prévient que la divulgation du code source généré pourrait exposer des secrets codés en dur et la logique de l'entreprise.

Les voleurs de cryptomonnaies perfectionnent leurs techniques d'évasion pour un vol de cryptomonnaies furtif.

L’essor des drainers, facilité par la vulnérabilité de React, coïncide avec le test de nouvelles stratégies par les opérateurs de drainers de crypto-monnaies et leurs affiliés pour échapper à la détection et exploiter les portefeuilles de crypto-monnaies .

D'après les spécialistes en sécurité des cryptomonnaies de la Security Alliance (SEAL), les groupes affiliés à des « drainers » utilisent désormais des domaines à forte réputation pour leurs pages d'atterrissage et l'hébergement de leurs charges utiles, réenregistrent des domaines auparavant valides et mettent en œuvre des techniques d'identification sophistiquées. Les chercheurs en sécurité affirment que leur objectif est de diffuser des « drainers », un programme JavaScript malveillant injecté dans les sites web d'hameçonnage, et de contrer les efforts des chercheurs en sécurité.

SEAL a déclaré que les tactiques d'évasion varient parmi les affiliés d'une même famille de draineurs et ne sont pas appliquées de manière uniforme au niveau du service de drainage.

Dans un autre cas de fraude aux cryptomonnaies, DeFi Aevo (anciennement Ribbon Finance) a annoncé dimanche le vol de 2,3 millions de dollars dans ses coffres. DeFi créateur, a affirmé qu'une mise à jour du code Oracle, permettant à quiconque de fixer le prix de nouveaux actifs, était la principale cause de cette violation.

de trading crypto premium pendant 30 jours - normalement 100 $/mois.

|Square

Obtenez l'application BTCC pour commencer votre expérience avec les cryptomonnaies

Download on the App Store GEI IT ON Google Play

Commencer aujourd'hui Scannez pour rejoindre nos + de 100 millions d’utilisateurs

Exchange for a better future

Produits
Services
Guides
À propos de nous
Conditions et accord
Service client

Avertissement concernant les risques : Le trading d’actifs numériques est une industrie émergente avec de belles perspectives, mais elle comporte également d’énormes risques car il s’agit d’un nouveau marché. Les risques sont particulièrement élevés dans le trading à effet de levier, car l’effet de levier amplifie les profits et amplifie en même temps les risques. Veuillez vous assurer d'avoir une très bonne compréhension du secteur, des modèles de trading à effet de levier et des règles de trading avant d'ouvrir une position. De plus, nous vous recommandons fortement d’identifier votre tolérance au risque et d’accepter uniquement les risques que vous êtes prêt à prendre. Tout trading comporte des risques, vous devez donc être prudent lorsque vous entrez sur le marché.

L'échange de cryptomonnaies le plus ancien au monde depuis 2011 © 2011 - 2025 BTCC.com. All rights reserved

Avertissement : Les articles reproduits sur ce site proviennent de réseaux publics et sont partagés dans le seul but de transmettre des informations sectorielles, sans représenter une position officielle de BTCC. Les droits de création reviennent à leurs auteurs respectifs. Si vous constatez des violations de droits d’auteur ou de contenu litigieux, veuillez nous contacter à [email protected] pour que nous puissions traiter la demande conformément à la loi. BTCC ne garantit pas l'exactitude, l'actualité ou l'exhaustivité des informations reproduites et décline toute responsabilité, explicite ou implicite, découlant de l'utilisation de ces informations. Tous les contenus sont fournis à titre de référence pour la recherche sectorielle et ne constituent en aucun cas une suggestion d'investissement, de décision juridique ou commerciale. BTCC ne saurait être tenu responsable des actes entrepris sur la base de ces informations.