新聞 
幣種資訊 
關於我們 
React 爆出重大安全漏洞,Web3 應用面臨廣泛風險
隨著 React 的嚴重「安全漏洞」被揭露,整個加密貨幣產業已進入高度警戒狀態。駭客已開始利用該「漏洞」植入惡意程式、竊取使用者「加密貨幣錢包」,並發動有計劃的攻擊,業界已出現多起相關案例。
根據 Security Alliance 於 24 日(當地時間)發布的警告,新曝光的 CVE-2025-55182 安全漏洞已遭駭客「武器化」,針對 React 所建構之網站展開攻擊。特別是整合「錢包連結」功能的 Web3 平台,遭受影響程度更為嚴重。攻擊手法主要發生於使用者簽署交易時,駭客透過該「漏洞」攔截錢包通訊,將資產轉出至惡意帳戶。
此次安全問題源於 React Server Components 的核心運作邏輯,該漏洞最早於 11 月 29 日被資安研究員 Lachlan Davidson 通報,並於 12 月 3 日由 React 官方正式發布公告。根據 CVSS 標準,此漏洞被評為最嚴重等級 10.0,可允許無需認證的惡意 HTTP 請求,在伺服器上任意執行命令,導致駭客能完全掌控受害系統。
遭殃的不僅是主程式本身。受影響版本包含 React 19.0、19.1.0、19.1.1 和 19.2.0,以及附屬套件如 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack。主流框架如 Next.js、React Router、Waku、Expo 等也在波及範圍內。React 團隊已緊急釋出修補版本 19.0.1、19.1.2 和 19.2.1,Next.js 則支援至 16.0.10 版本。
然而,事件並未就此止步。資安專家指出,即使安裝最新補丁,仍回報發現另外兩個重大漏洞,攻擊手法也正持續演化。網站平台商 Vercel 已主動部署網頁應用程式防火牆(WAF)規則以強化防禦機制,但坦言僅靠防火牆仍不足以全面應對此波攻擊。
Google 威脅情報團隊於 12 月 3 日通報發現大規模網路攻擊現象,指出包含中國在內的「國家級駭客集團」可能參與其中。主要攻擊對象依附於雲端平台,例如亞馬遜網路服務(AWS)與阿里巴巴雲,駭客藉此安裝後門程式、隱匿惡意檔案和強化「持續滲透性」。他們甚至濫用 Cloudflare Pages、GitLab 這類「合法平台」來遮掩惡意通訊流量。
自 5 日起,以獲利為目的的「加密貨幣挖礦攻擊」也湧入戰場。駭客在受害者系統中悄悄安裝針對「門羅幣(XMR)」的挖礦程式,藉由消耗電力產生收益並長期維持感染狀態。
評論:這場攻擊不僅鎖定開發者端,也重創端對端使用者體驗。區塊鏈世界對去信任與自主管理高度依賴,使此類伺服器漏洞極具殺傷力。
更令人擔憂的是,攻擊者透過地下論壇共享攻擊程式碼與入侵流程,顯示出手法快速擴散的高度風險。此現象與今年 9 月 npm 開源套件管理平台的入侵事件類似,當時有 18 個熱門套件遭駭,並在每週 26 億次下載中分發「加密剪貼板」惡意軟體,可在瀏覽器中竊取錢包地址資訊。
雷蛇(Razer)首席技術長夏爾·吉也姆(Charles Guillaume)指出,這起事件構成擴及整個供應鏈的「系統性攻擊」,使用者若非仰賴「硬體錢包」,應盡量避免於不明網站進行「鏈上交易」。他並補充,駭客過往曾偽裝成 npm 客服,藉由精心設計的釣魚信件竊取帳密,並鎖定多重驗證資訊。
根據 Global Ledger 統計,僅 2025 年上半年,就有 119 宗「加密貨幣駭侵事件」,其中損失總額超過 30 億美元(約新台幣 4,400 億元)。更令人憂心的是,約七成資金在事件公開前已遭轉移,最終追回率僅 4.2%;顯示現今於區塊鏈上進行資金洗白,僅需數秒鐘即可完成。
目前,所有使用 React 或 Next.js 的開發者與企業,應立即更新至最新版本,啟用 WAF 並全面清查相依套件來源。技術團隊也需持續監控伺服器中是否執行 wget、cURL 等可疑下載命令,並加強檔案目錄與 shell 設定的變更監控。
評論:這起 React 漏洞事件反映 Web3 生態正逐漸暴露傳統網路架構下的安全死角。去中心化雖重視資料主權,但仍須與現代資安機制融合,以承擔更複雜的威脅環境。更新與防護,不能再只是開發流程的附屬選項,而是整個服務設計的一環。
加密貨幣與 Web3 相關關鍵詞:React 安全漏洞、Web3 平台、錢包攻擊、惡意程式、CVSS 10.0、CVE-2025-55182、加密貨幣駭客、硬體錢包、Next.js、門羅幣(XMR) 挖礦、區塊鏈資金洗白。
留言 0