- 热门话题查看更多
6367 热度
1.27万 热度
13.75万 热度
7.02万 热度
18.87万 热度
- 热门 Gate Fun查看更多
- 市值:$3468.96持有人数:10.00%
- 市值:$3496.61持有人数:20.00%
- 市值:$3475.86持有人数:10.00%
- 市值:$3482.75持有人数:10.00%
- 市值:$3540.51持有人数:10.49%
- 置顶
- 🎄 圣诞季相遇 Gate 广场,共享节日惊喜!
🎉 Gate 广场社区成长值「圣诞抽奖狂欢」第 1️⃣ 5️⃣ 期火热开启!
立即参与 👉 https://www.gate.com/activities/pointprize?now_period=15
✨ 如何参与?
1️⃣ 前往 Gate 广场【积分中心】完成日常任务,轻松赚取成长值
2️⃣ 每累计 300 成长值,即可抽奖一次!
🎁 圣诞豪礼等你解锁:
金条 10g、Gate 圣诞限定周边等超值好礼,统统带回家!
📅 12 月 18 日 - 12 月 26 日 24:00 (UTC+8)
🎅 圣诞好运不停,惊喜轮番来袭!
了解更多 👉 https://www.gate.com/announcements/article/48766
#BTC #ETH #SOL #GT - 🎨 Gate AI 创作大赛|一句话,画出你的 2026
在 Gate 广场,人人都可以成为图文创作者,真正的 0 门槛。
只需一句话,就能生成一张图片,画出你心中的 2026。
使用 Gate 广场 AI 创作功能发布作品,参与活动,即有机会赢取 Gate 马年新春限定礼盒。
📅 活动时间
2025年12月17日 18:00 – 2026年1月3日 24:00(UTC+8)
🎯 参与方式
进入 Gate 广场,点击发帖,选择“AI 创作”功能
输入一句话,生成你的 2026 主题图片
发布帖子并添加话题 #GateAI创作
🎨 创作方向
围绕 2026、Crypto / Web3、Gate 平台元素或新年未来感 展开想象。风格与张数不限,每人可发布多篇作品参与。
🏆 奖励设置
优秀作品奖(5名): Gate 马年新春限定礼盒
📋 活动说明
作品需使用 Gate 广场 AI 创作功能生成,内容需为原创。
获奖用户需完成 Gate 广场 KYC 认证。
Gate 保留对活动的最终解释权。 - 🔥 Gate 广场活动:#分享我的交易 🔥
发帖分享你最近的一笔交易,赢 USDT 奖励!
无论是现货 / 合约 / 网格 / 跟单心得,
你的交易逻辑、复盘思考、经验总结,都值得被看见 👀
📅 活动时间
2025/12/16 18:00 – 12/28 23:59(UTC+8)
📌 参与方式
1️⃣ 在 Gate 广场发帖,分享你最近的一笔交易或交易思路
(可包含:进出场逻辑、盈亏复盘、策略心得、截图说明等)
2️⃣ 帖子需添加话题 👉 #分享我的交易 或 #ShareMyTrade
🏆 奖励设置(总预算 100 USDT)
🥇 Top 1 优质交易分享:20 USDT
🥈 Top 5 优质内容: 10 USDT / 人
🥉 Top 10 精选分享:3 USDT / 人
📄 注意事项
内容需 原创,严禁抄袭、刷帖或无效灌水
交易分享不构成任何投资建议
获奖用户需完成 Gate 广场身份认证
Gate 保留对本活动的最终解释权 - 🔥 报名正式开启!Gate 年度最大社区盛典
Gate 广场年度内容达人评选现已上线
登上年度舞台,闪耀你的高光时刻。
🏆 加入盛典,赢取荣耀
• 「Gate 广场内容达人」官方称号
• 官方认证奖杯 & 荣誉证书
• Gate 精美限定周边礼盒
• 专属创作者认证徽章
• 全平台曝光与流量扶持
• 粉丝回馈赞助支持
🚀 立即报名:
https://www.gate.com/activities/community-vote-2025 - 🎄 Gate 广场发帖体验与满意度调研
我们想听听你的真实想法 😊
无论你是在 Gate 广场发帖、偶尔分享,还是更多时间在浏览内容,你的体验都很重要。
这份小调研主要关注内容曝光、发帖收益和创作体验,帮助我们把 Gate 广场做得更好。
只需几分钟,欢迎填写:
👉 https://www.gate.com/questionnaire/7265
🎁 完成调研的用户中,将抽取 3 位 送出 Gate 广场圣诞主题礼盒。
React bug 触发钱包被盗攻击,黑客攻击加密货币网站
摘要
React服务器组件中的一个严重安全漏洞引发了加密行业的紧急警告,威胁行为者利用该漏洞窃取钱包并部署恶意软件,据安全联盟称。
安全联盟宣布,加密钱包被窃取者正积极利用CVE-2025-55182,敦促所有网站立即检查其前端代码是否存在可疑资产。该漏洞不仅影响Web3协议,还影响所有使用React的网站,攻击者针对跨平台的许可签名。
安全研究人员指出,用户在签署交易时面临风险,因为恶意代码会拦截钱包通信并将资金重定向到攻击者控制的地址。
React的官方团队于12月3日披露了CVE-2025-55182,评分为CVSS 10.0,此前在11月29日通过Meta漏洞赏金计划由Lachlan Davidson报告。该未授权远程代码执行漏洞利用React解码发送到服务器功能端点的有效载荷的方式,使攻击者能够构造恶意HTTP请求,在服务器上执行任意代码,披露中指出。
React新版本
该漏洞影响React版本19.0、19.1.0、19.1.1和19.2.0,涉及react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack包。包括Next.js、React Router、Waku和Expo在内的主要框架需要立即更新,安全公告中指出。
补丁已在版本19.0.1、19.1.2和19.2.1中推出,Next.js用户需在多个版本线上升级,从14.2.35到16.0.10,具体请参阅发布说明。
研究人员在尝试利用补丁时发现了React服务器组件中的两个新漏洞,报告指出这些是新的问题,独立于该关键CVE。研究人员表示,React2Shell的补丁仍然有效应对远程代码执行漏洞。
Vercel部署了Web应用防火墙(WAF)规则,以自动保护其平台上的项目,但公司强调仅靠WAF保护仍不足够。Vercel在其12月3日的安全公告中表示,必须立即升级到已修补的版本,漏洞影响处理不可信输入、可能导致远程代码执行的应用。
谷歌威胁情报组记录了从12月3日开始的大规模攻击,追踪到从机会主义黑客到政府支持行动的犯罪团伙。报告显示,中国黑客组织在被攻陷的系统上安装了各种恶意软件,主要针对亚马逊Web服务和阿里云的云服务器。
谷歌威胁情报组指出,这些攻击者采用多种技术以维持对受害系统的长期访问。一些团伙安装了创建远程访问隧道的软件,另一些则部署持续下载伪装成合法文件的恶意工具。研究人员报告称,这些恶意软件隐藏在系统文件夹中,自动重启以避免被检测。
以财务为目的的犯罪分子从12月5日开始加入攻击浪潮,安装利用受害者计算能力挖掘门罗币的矿工软件。这些矿工在后台持续运行,增加电费支出,同时为攻击者带来利润。地下黑客论坛迅速充满了分享攻击工具和利用经验的讨论。
React漏洞发生在9月8日,当时黑客攻破Josh Goldberg的npm账户,发布了包括chalk、debug和strip-ansi在内的18个广泛使用包的恶意更新。这些工具每周下载量超过26亿,研究人员发现了拦截浏览器功能的加密夹子(crypto-clipper)恶意软件,用以将合法的钱包地址替换为攻击者控制的地址。
Ledger首席技术官Charles Guillemet将此次事件描述为“规模庞大的供应链攻击”,建议没有硬件钱包的用户避免链上交易。攻击者通过假冒npm支持的钓鱼活动获得访问权限,声称账户将在9月10日之前被锁定,除非更新两因素认证凭据,Guillemet表示。
黑客正加快窃取加密货币的速度,据行业数据显示,一次洗钱过程仅需2分57秒。
全球账本数据显示,2025年前半年,黑客在119起事件中盗取了超过$3 十亿资金,70%的资金在被公开前已被转移。报告指出,只有4.2%的被盗资产被找回,因为洗钱时间已从小时缩短到几秒。
使用React或Next.js的组织被建议立即升级到19.0.1、19.1.2或19.2.1版本,部署WAF规则,审查所有依赖项,监控网络流量中由Web服务器进程发起的wget或cURL命令,并查找未授权的隐藏目录或恶意的Shell配置注入,安全公告中建议。