Поділитися цією статтею
Новий баг у React, який може вивести з ладу всі ваші токени, впливає на «тисячі» вебсайтів
Зловмисники використовують цю вразливість для розгортання шкідливого програмного забезпечення та криптомайнінгового ПЗ, що призводить до компрометації ресурсів серверів і потенційного перехоплення взаємодій із гаманцями на криптоплатформах.
Що варто знати:
- Критична вразливість у React Server Components, відома як React2Shell, активно експлуатується, ставлячи під загрозу тисячі вебсайтів, включно з криптоплатформами.
- Уразливість, CVE-2025-55182, дозволяє виконання віддаленого коду без аутентифікації та впливає на версії React з 19.0 по 19.2.0.
- Зловмисники використовують уразливість для розгортання шкідливого програмного забезпечення та програм для криптомайнінгу, компрометуючи ресурси серверів і потенційно перехоплюючи взаємодії з криптогаманцями на криптоплатформах.
A критична вразливість у React Server Components активно експлуатується кількома загрозливими групами, що ставить під негайний ризик тисячі вебсайтів — включно з криптоплатформами — де користувачі можуть зіткнутися з повним виведенням усіх своїх активів у разі ураження.
Уразливість, відслідкована під ідентифікатором CVE-2025-55182 та отримала прізвисько React2Shell, дозволяє зловмисникам запускати код віддалено на уражених серверах без автентифікації. Розробники React оприлюднили це питання 3 грудня та присвоїли йому найвищий можливий рівень серйозності.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути всі розсилки
Незабаром після оприлюднення GTIG зафіксувала масове використання вразливостей як фінансово зацікавленими зловмисниками, так і підозрюваними хакерськими групами, що підтримуються державою, спрямоване на непатчені додатки React та Next.js у хмарних середовищах.
Loading...
Що робить ця вразливість
Компоненти React Server використовуються для запуску частин веб-застосунку безпосередньо на сервері замість браузера користувача. Уразливість виникає через те, як React декодує вхідні запити до цих серверних функцій.
Простими словами, зловмисники можуть надіслати спеціально підготовлений веб-запит, який вводить сервер в оману, змушуючи його виконувати довільні команди або фактично передаючи контроль над системою зловмиснику.
Помилка впливає на версії React від 19.0 до 19.2.0, включаючи пакети, які використовують популярні фреймворки, такі як Next.js. Саме наявність встановлених вразливих пакетів часто достатньо для можливості експлуатації.
Як зловмисники використовують це
Група Гугл з розвідки загроз (GTIG) задокументувала кілька активних кампаній, які використовують вразливість для розгортання шкідливого програмного забезпечення, бекдорів та криптомайнінгового програмного забезпечення.
Деякі зловмисники почали експлуатувати вразливість вже за кілька днів після її розкриття для встановлення програмного забезпечення майнінгу Monero. Ці атаки непомітно споживають ресурси серверів та електроенергію, приносячи прибуток зловмисникам водночас погіршуючи продуктивність систем для жертв.
Криптоплатформи значною мірою покладаються на сучасні JavaScript-фреймворки, такі як React та Next.js, часто обробляючи взаємодії з гаманцями, підписання транзакцій та затвердження дозволів через фронтенд-код.
Якщо вебсайт буде скомпрометовано, зловмисники можуть впровадити шкідливі скрипти, які перехоплюють взаємодії з гаманцем або перенаправляють транзакції на власні гаманці — навіть якщо базовий протокол блокчейну залишається безпечним.
Це робить уразливості на стороні клієнта особливо небезпечними для користувачів, які підписують транзакції через браузерні гаманці.
Більше для вас
Що варто знати:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Більше для вас
Найвпливовіший: Павло Дуров
Генеральний директор Telegram може вважатися найважливішою особою у справжньому масовому впровадженні криптовалюти.
Головне
