- 热门 Gate Fun查看更多
- 市值:$4067.55持有人数:22.09%
- 市值:$3583.19持有人数:20.00%
- 市值:$3526.59持有人数:20.00%
- 市值:$3527.52持有人数:20.01%
- 市值:$3526.59持有人数:20.00%
- 置顶
- 🔥 报名正式开启!Gate 年度最大社区盛典
Gate 广场年度内容达人评选现已上线
登上年度舞台,闪耀你的高光时刻。
🏆 加入盛典,赢取荣耀
• 「Gate 广场内容达人」官方称号
• 官方认证奖杯 & 荣誉证书
• Gate 精美限定周边礼盒
• 专属创作者认证徽章
• 全平台曝光与流量扶持
• 粉丝回馈赞助支持
🚀 立即报名:
https://www.gate.com/activities/community-vote-2025 - 🎄 Gate 广场发帖体验与满意度调研
我们想听听你的真实想法 😊
无论你是在 Gate 广场发帖、偶尔分享,还是更多时间在浏览内容,你的体验都很重要。
这份小调研主要关注内容曝光、发帖收益和创作体验,帮助我们把 Gate 广场做得更好。
只需几分钟,欢迎填写:
👉 https://www.gate.com/questionnaire/7265
🎁 完成调研的用户中,将抽取 3 位 送出 Gate 广场圣诞主题礼盒。 - 🔥 Gate 广场活动:#发帖赢代币NIGHT 🔥
发布任意与 NIGHT 相关内容即可参与!
观点分享、行情分析、参与体验、投研笔记通通都算有效参与。
📅 活动时间:2025/12/10 16:00 - 12/21 24:00(UTC+8)
📌 参与方式
1️⃣ 在 Gate 广场发帖(文字 / 图文 / 分析 / 观点均可)
2️⃣ 帖子需添加话题 #发帖赢代币NIGHT 或 #PostToWinNIGHT
🏆 奖励设置(总计 1,000 NIGHT)
🥇 Top 1:200 NIGHT
🥈 Top 4:100 NIGHT / 人
🥉 Top 10:40 NIGHT / 人
📄 注意事项
内容需原创,不得抄袭或灌水
获奖者需完成 Gate 广场身份认证
Gate 对活动拥有最终解释权 - 👀 家人们,每天看行情、刷大佬观点,却从来不开口说两句?你的观点可能比你想的更有价值!
广场新人 & 回归福利正式上线!不管你是第一次发帖还是久违回归,我们都直接送你奖励!🎁
每月 $20,000 奖金等你来领!
📅 活动时间: 长期有效(月底结算)
💎 参与方式:
用户需为首次发帖的新用户或一个月未发帖的回归用户。
发帖时必须带上话题标签: #我在广场发首帖 。
内容不限:币圈新闻、行情分析、晒单吐槽、币种推荐皆可。
💰 奖励机制:
必得奖:发帖体验券
每位有效发帖用户都可获得 $50 仓位体验券。(注:每月奖池上限 $20,000,先到先得!如果大家太热情,我们会继续加码!)
进阶奖:发帖双王争霸
月度发帖王: 当月发帖数量最多的用户,额外奖励 50U。
月度互动王: 当月帖子互动量(点赞+评论+转发+分享)最高的用户,额外奖励 50U。
📝 发帖要求:
帖子字数需 大于30字,拒绝纯表情或无意义字符。
内容需积极健康,符合社区规范,严禁广告引流及违规内容。
💡 你的观点可能会启发无数人,你的第一次分享也许就是成为“广场大V”的起点,现在就开始广场创作之旅吧! - ✍️ Gate 广场「创作者认证激励计划」优质创作者持续招募中!
Gate 广场现正面向优质创作者开放认证申请!
立即加入,发布优质内容,参与活动即可瓜分月度 $10,000+ 创作奖励!
📕 认证申请步骤:
1️⃣ 打开 App 首页底部【广场】 → 点击右上角头像进入个人主页
2️⃣ 点击头像右下角【申请认证】,提交申请等待审核
注:请确保 App 版本更新至 7.25.0 或以上。
👉 立即报名:https://www.gate.com/questionnaire/7159
豪华代币奖池、Gate 精美周边、流量曝光等超 $10,000 丰厚奖励等你拿!
📅 活动自 11 月 1 日起持续进行
在 Gate 广场让优质内容变现,创作赚取奖励!
活动详情:https://www.gate.com/announcements/article/47889
React bug 触发钱包被盗攻击,黑客攻击加密货币网站
摘要
React服务器组件中的一个严重安全漏洞引发了加密行业的紧急警告,威胁行为者利用该漏洞窃取钱包并部署恶意软件,据安全联盟称。
安全联盟宣布,加密钱包被窃取者正积极利用CVE-2025-55182,敦促所有网站立即检查其前端代码是否存在可疑资产。该漏洞不仅影响Web3协议,还影响所有使用React的网站,攻击者针对跨平台的许可签名。
安全研究人员指出,用户在签署交易时面临风险,因为恶意代码会拦截钱包通信并将资金重定向到攻击者控制的地址。
React的官方团队于12月3日披露了CVE-2025-55182,评分为CVSS 10.0,此前在11月29日通过Meta漏洞赏金计划由Lachlan Davidson报告。该未授权远程代码执行漏洞利用React解码发送到服务器功能端点的有效载荷的方式,使攻击者能够构造恶意HTTP请求,在服务器上执行任意代码,披露中指出。
React新版本
该漏洞影响React版本19.0、19.1.0、19.1.1和19.2.0,涉及react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack包。包括Next.js、React Router、Waku和Expo在内的主要框架需要立即更新,安全公告中指出。
补丁已在版本19.0.1、19.1.2和19.2.1中推出,Next.js用户需在多个版本线上升级,从14.2.35到16.0.10,具体请参阅发布说明。
研究人员在尝试利用补丁时发现了React服务器组件中的两个新漏洞,报告指出这些是新的问题,独立于该关键CVE。研究人员表示,React2Shell的补丁仍然有效应对远程代码执行漏洞。
Vercel部署了Web应用防火墙(WAF)规则,以自动保护其平台上的项目,但公司强调仅靠WAF保护仍不足够。Vercel在其12月3日的安全公告中表示,必须立即升级到已修补的版本,漏洞影响处理不可信输入、可能导致远程代码执行的应用。
谷歌威胁情报组记录了从12月3日开始的大规模攻击,追踪到从机会主义黑客到政府支持行动的犯罪团伙。报告显示,中国黑客组织在被攻陷的系统上安装了各种恶意软件,主要针对亚马逊Web服务和阿里云的云服务器。
谷歌威胁情报组指出,这些攻击者采用多种技术以维持对受害系统的长期访问。一些团伙安装了创建远程访问隧道的软件,另一些则部署持续下载伪装成合法文件的恶意工具。研究人员报告称,这些恶意软件隐藏在系统文件夹中,自动重启以避免被检测。
以财务为目的的犯罪分子从12月5日开始加入攻击浪潮,安装利用受害者计算能力挖掘门罗币的矿工软件。这些矿工在后台持续运行,增加电费支出,同时为攻击者带来利润。地下黑客论坛迅速充满了分享攻击工具和利用经验的讨论。
React漏洞发生在9月8日,当时黑客攻破Josh Goldberg的npm账户,发布了包括chalk、debug和strip-ansi在内的18个广泛使用包的恶意更新。这些工具每周下载量超过26亿,研究人员发现了拦截浏览器功能的加密夹子(crypto-clipper)恶意软件,用以将合法的钱包地址替换为攻击者控制的地址。
Ledger首席技术官Charles Guillemet将此次事件描述为“规模庞大的供应链攻击”,建议没有硬件钱包的用户避免链上交易。攻击者通过假冒npm支持的钓鱼活动获得访问权限,声称账户将在9月10日之前被锁定,除非更新两因素认证凭据,Guillemet表示。
黑客正加快窃取加密货币的速度,据行业数据显示,一次洗钱过程仅需2分57秒。
全球账本数据显示,2025年前半年,黑客在119起事件中盗取了超过$3 十亿资金,70%的资金在被公开前已被转移。报告指出,只有4.2%的被盗资产被找回,因为洗钱时间已从小时缩短到几秒。
使用React或Next.js的组织被建议立即升级到19.0.1、19.1.2或19.2.1版本,部署WAF规则,审查所有依赖项,监控网络流量中由Web服务器进程发起的wget或cURL命令,并查找未授权的隐藏目录或恶意的Shell配置注入,安全公告中建议。