该协议：可导致“数千”网站资金被清空的漏洞 -pc6资讯

您的位置：首页 → 精文荟萃 → 综合新闻 → 该协议：可导致“数千”网站资金被清空的漏洞

该协议：可导致“数千”网站资金被清空的漏洞 时间：2025/12/19 23:26:24来源：互联网作者：Margaux Nijkerk我要评论(0)

需要了解的:

本文刊登于最新一期的协议，我们的每周通讯，逐块探索加密背后的技术。在此注册每周三直接发送到您的收件箱。

欢迎来到《The Protocol》，这是 CoinDesk 每周一次的加密货币技术发展重要新闻汇总。我是 CoinDesk 记者 Margaux Nijkerk。

本期内容：

故事继续

不要错过另一个故事.

今天订阅 The Protocol 新闻通讯. 查看所有新闻通讯

输入您的电子邮件

通过注册，您将收到有关 CoinDesk 产品的电子邮件，并且您同意我们的使用条款和隐私政策.

影响“数千”个网站的新React漏洞可导致所有代币被盗

瑞波通过 Wormhole 将价值 13 亿美元的 RLUSD 稳定币扩展至以太坊 L2，多链布局加速

Aave DAO 对界面费用脱离国库一事提出异议

NFT 项目 Pudgy Penguins 在假日活动中接管拉斯维加斯 Sphere

网络新闻

可能导致钱包资金被窃取的漏洞影响数千个网站：一个关键漏洞在 React 服务器组件中正被多个威胁组织积极利用，使数千个网站——包括加密平台——面临即时风险，受影响用户可能会看到其所有资产被清空。该漏洞编号为 CVE-2025-55182，代号为 React2Shell，使攻击者能够在无须认证的情况下远程执行受影响服务器上的代码。React 的维护者于 12 月 3 日披露了该问题，并给予其最高严重性评分。披露后不久，GTIG 观察到由财务动机驱动的犯罪分子和疑似国家支持的黑客组织广泛利用该漏洞，针对云环境中未打补丁的 React 和 Next.js 应用进行攻击。React 服务器组件用于直接在服务器上运行网页应用程序的部分功能，而非在用户的浏览器中运行。该漏洞源于 React 解码传入请求到这些服务器端函数的方式。简单来说，攻击者可以发送特制的网络请求，诱使服务器运行任意命令，或实际上将系统控制权交给攻击者。此漏洞影响 React 版本 19.0 至 19.2.0，包括被 Next.js 等流行框架使用的相关软件包。仅仅安装了受影响的软件包，往往就足以导致漏洞被利用。— Shaurya Malwa 阅读更多.

瑞波币即将登陆以太坊二层网络：专注于支付的区块链公司 Ripple，与 XRP 账本（XRP）紧密相关，正将其以美元为支持的稳定币推向以太坊第二层（L2）区块链，包括 Optimism、Coinbase 的 Base、Kraken 的 Ink 以及 Uniswap 的 Unichain，旨在将这枚价值 13 亿美元的代币更深嵌入多链生态系统。该公司表示，正在启动测试阶段，预计将在获得纽约金融服务部（NYDFS）监管批准后，于明年进行更广泛的推广。该试点项目整合了 Wormhole 的原生代币传输（NTT）标准，使 RLUSD 能够在链间原生转移，无需进行包裹或合成资产处理。这有助于维护流动性和监管控制，同时支持跨多个针对速度和成本优化的网络的去中心化金融（DeFi）多样化用例。稳定币作为连接传统金融与加密经济的数字金融基础设施，正快速增长，已成为价值 3000 亿美元的加密货币类别，其价格与法定货币如美元锚定。 — 克里斯蒂安·桑多尔阅读更多.

AAVE 协议界面争论升级：Aave DAO 内部的一场辩论正在引发关于谁控制该协议界面以及谁从中获得经济利益的问题。该问题首次出现于本月初，Aave Labs 将去中心化交易聚合器 CoWSwap 集成至 app.aave.com 界面，取代了此前用于抵押品兑换的 Paraswap 路由。尽管该变更被描述为提升用户体验、提供更优执行和 MEV 保护的升级，但代表们随后指出，与兑换相关的费用已不再流向 Aave DAO 金库。An 公开信来自 Orbit 代表 EzR3aL 认为，该整合引入了约 15 至 25 个基点的前端费用，这些费用归属于外部接收方，而非 DAO。帖子中引用的链上数据显示，与 CoWSwap 合作伙伴费用机制相关的以太坊每周分配覆盖多个网络，年金额可能达到数百万美元。随着路由转向优先执行确定性的 CoWSwap 批量拍卖模型，这部分盈余已逐渐减少，该模型优先考虑执行确定性而非价格改善。但辩论的核心是 Aave Labs 所称一直存在的区分：协议与产品之别。在论坛回复，Aave Labs 表示该界面由独立于 DAO 治理协议之外的实体运营、资助和维护。在此模式下，DAO 控制链上参数、利率及协议级别的费用，而 Labs 则保留对可选的应用层功能（如交换路由和界面货币化）的决策权。Aave Labs 写道：“任何货币化仅适用于辅助功能”，并认为这种分离保护了协议的中立性，避免了在基础层面集中的经济控制。然而，批评者表示实际情况并非如此。Aave Chan Initiative（ACI）的 Marc Zeller 表示，长期以来一直有一个预期，即与 aave.com 前端相关的货币化——包括交换盈余和闪电贷辅助执行——应当惠及 DAO，尤其考虑到品牌、治理合法性以及大部分基础开发均由代币持有者资助。 — Shaurya Malwa 阅读更多.

胖嘟嘟企鹅称霸拉斯维加斯：曾经是2021年加密货币热潮中的爆款非同质化代币（NFT）项目，Pudgy Penguins 正通过圣诞周在拉斯维加斯Sphere的高端广告投放，转向现实世界的可见度。只有少数加密相关品牌获得了Sphere的广告位，这一巨型LED覆盖场馆以其沉浸式展示和如U2及Eagles等乐队的表演而闻名。 A 比特币聚焦激活于七月播出，但其他类似案例较为罕见。知情人士表示，Pudgy Penguins 的广告将于12月24日开始播放，持续数天，并包含多个动画片段。该品牌在此广告投放上的花费约为50万美元——这是在 Sphere 播出广告的标准费用。Pudgy Penguins 战略与品牌负责人 Vedant Mangaldas 告诉 CoinDesk：“这在某种程度上表明一个加密项目能够超越加密领域，打动普通消费者的心灵与思维。”他表示，这笔交易得以达成，是因为该项目背后有“真实的业务”支持。– 海伦·布劳恩阅读更多.

相关阅读：

https://www.pc6.com/infoview/Article_327513.html

https://www.pc6.com/infoview/Article_327669.html

https://www.pc6.com/infoview/Article_327543.html

https://www.pc6.com/infoview/Article_327608.html

https://www.pc6.com/infoview/Article_327526.html

相关视频

没有数据

文章评论

查看所有0条评论>>