協議漏洞：可能導致所有代幣被盜，影響“數千”個網站

歡迎來到 CoinDesk 的每週新聞匯總欄目“協議”（The Protocol），這里為您帶來加密貨幣技術發展領域最重要新聞的每週回顧。 我是 CoinDesk 的記者 Margaux Nijkerk。

本期內容：

• 一個新的 React 漏洞會導致所有 token 被耗盡，影響“數千個”網站。
• Ripple 通過多鏈推送機制，利用 Wormhole 將價值 13 億美元的 RLUSD 穩定幣擴展到以太坊 L2 層。
• Aave DAO 反對接口費用從國庫轉移
• NFT項目“胖企鵝”在假日活動中佔領拉斯維加斯球體

網絡新聞

：A嚴重漏洞React 服務器組件中的一個漏洞正被多個威脅組織積極利用，使數千個網站（包括加密平台）面臨直接風險，受影響的用戶可能會損失所有資產。 該漏洞編號為 CVE-2025-55182，別名為“CVE-2025-55182”。 React2Shell該漏洞允許攻擊者在未經身份驗證的情況下，遠程執行受影響服務器上的代碼。 React 的維護人員於 12 月 3 日披露了此問題，並將其嚴重性評級定為最高級別。 披露後不久，GTIG 觀察到，出於經濟利益驅動的犯罪分子和疑似國家支持的黑客組織都在廣泛利用此漏洞，攻擊目標是雲環境中未打補丁的 React 和 Next.js 應用程序。 React 服務器組件用於將 Web 應用程序的部分功能直接運行在服務器上，而不是在用戶的瀏覽器中運行。 該漏洞源於 React 解碼這些服務器端函數的傳入請求的方式。 簡而言之，攻擊者可以發送精心構造的 Web 請求，誘使服務器執行任意命令，從而有效地將系統控制權移交給攻擊者。 該漏洞影響 React 19.0 到 19.2.0 版本，包括 Next.js 等流行框架使用的軟件包。 僅僅安裝了存在漏洞的軟件包通常就足以使攻擊者利用此漏洞。 紹里亞·馬爾瓦