Los hackers están explotando una biblioteca de JavaScript para instalar drenadores de criptomonedas

cointelegraphPublicado a 2025-12-15Actualizado a 2025-12-15

Resumen

Según la organización de ciberseguridad SEAL, se ha detectado un aumento en la explotación de una vulnerabilidad en la biblioteca JavaScript React (CVE-2025-55182), que permite a atacantes ejecutar código de forma remota sin autenticación. Los ciberdelincuentes están utilizando este fallo para inyectar drenadores de carteras (wallet drainers) en sitios web legítimos de criptomonedas, engañando a los usuarios para que firmen transacciones fraudulentas mediante ventanas emergentes falsas. SEAL recomienda a los administradores de sitios web escanear su código front-end en busca de activos sospechosos, verificar scripts ofuscados y actualizar inmediatamente las bibliotecas afectadas. El equipo de React ya publicó una corrección el 3 de diciembre e insta a los usuarios de react-server-dom-webpack y herramientas similares a actualizar sus sistemas. Los sitios que hayan sido marcados como riesgo de phishing deberían revisar su código antes de solicitar la eliminación de advertencias.

Según la organización sin fines de lucro de ciberseguridad Security Alliance (SEAL), ha habido un reciente en la subida de drenadores de criptomonedas que se cargan en sitios web a través de una vulnerabilidad en la biblioteca de JavaScript de front-end de código abierto React.

React se utiliza para construir interfaces de usuario, especialmente en aplicaciones web. El equipo de React informó el 3 de diciembre que un hacker de sombrero blanco, Lachlan Davidson, encontró una vulnerabilidad de seguridad en su software que permitía la ejecución remota no autenticada, lo que puede permitir a un atacante insertar y ejecutar su propio código.

Según SEAL, actores malintencionados han estado utilizando la vulnerabilidad, CVE-2025-55182, para agregar secretamente código de drenaje de billeteras a sitios web de criptomonedas.

“Estamos observando un gran aumento en los drenadores cargados en sitios web legítimos de criptomonedas mediante la explotación del CVE reciente de React. Todos los sitios web deberían revisar el código de front-end para detectar cualquier activo sospechoso AHORA”, dijo el Equipo SEAL.

“¡El ataque no solo está dirigido a protocolos Web3! Todos los sitios web están en riesgo. Los usuarios deben ejercer precaución al firmar CUALQUIER firma de permiso.”

Los drenadores de billeteras generalmente engañan a los usuarios para que firmen una transacción mediante métodos como una ventana emergente falsa que ofrece recompensas o tácticas similares.

Fuente: Security Alliance

Los sitios web con advertencia de phishing deberían verificar el código

Según el Equipo SEAL, los sitios web afectados pueden haber sido marcados repentinamente como un posible riesgo de phishing sin explicación. Recomiendan que los anfitriones de sitios web tomen precauciones para asegurarse de que no haya drenadores ocultos que puedan poner en riesgo a los usuarios.

“Escanee el host en busca de CVE-2025-55182. Verifique si su código de front-end está cargando repentinamente activos de hosts que no reconoce. Verifique si alguno de los scripts cargados por su código de front-end es JavaScript ofuscado. Inspeccione si la billetera muestra el destinatario correcto en la solicitud de firma de firma”, dijeron.

Relacionado: Los hacks de criptomonedas de ‘Zoom falso’ de Corea del Norte son ahora una amenaza diaria: SEAL

“Si su proyecto está siendo bloqueado, esa puede ser la razón. Por favor, revise su código primero antes de solicitar la eliminación de la advertencia de página de phishing”, agregó el Equipo SEAL.

React ha lanzado una solución para la vulnerabilidad

El equipo de React publicó una solución para CVE-2025-55182 el 3 de diciembre y aconseja a cualquier persona que use react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack, que actualice inmediatamente y cierre la vulnerabilidad.

“Si el código React de su aplicación no usa un servidor, su aplicación no se ve afectada por esta vulnerabilidad. Si su aplicación no utiliza un framework, un empaquetador o un complemento de empaquetador que admita React Server Components, su aplicación no se ve afectada por esta vulnerabilidad”, agregó el equipo.

Revista: Conoce a los detectives de criptomonedas onchain que combaten el crimen mejor que la policía

Preguntas relacionadas

Q¿Qué biblioteca de JavaScript está siendo explotada por hackers para instalar drenadores de criptomonedas?

ALa biblioteca de JavaScript de código abierto React está siendo explotada a través de una vulnerabilidad de seguridad.

Q¿Qué es la vulnerabilidad específica mencionada en el artículo y cuándo fue descubierta?

ALa vulnerabilidad es identificada como CVE-2025-55182 y fue descubierta por el hacker de sombrero blanco Lachlan Davidson, siendo divulgada por el equipo de React el 3 de diciembre.

Q¿Cómo actúan los 'wallet drainers' o drenadores de carteras para robar criptoactivos?

ALos drenadores de carteras engañan a los usuarios para que firmen una transacción, a menudo mediante ventanas emergentes falsas que ofrecen recompensas u otras tácticas similares.

Q¿Qué recomienda SEAL Alliance a los propietarios de sitios web que podrían estar afectados?

ASEAL recomienda escanear el host en busca de CVE-2025-55182, verificar que el código front-end no cargue activos de hosts desconocidos, revisar si hay scripts ofuscados y comprobar que la cartera muestre el destinatario correcto en las solicitudes de firma.

Q¿Quiénes son los únicos usuarios de React que NO están afectados por esta vulnerabilidad según el equipo de React?

ASegún el equipo de React, no están afectadas las aplicaciones cuyo código React no utilice un servidor, o aquellas que no utilicen un framework, bundler o plugin de bundler que admita React Server Components.

Lecturas Relacionadas

¿Microsoft ha perdido el rumbo en la competencia de IA? ¿Puede Copilot devolverlo a la senda correcta?

**Resumen en español:** Microsoft, que inicialmente lideró la carrera de IA gracias a su asociación con OpenAI, enfrenta ahora una ventaja erosionada. Competidores como Claude y Gemini han reducido la exclusividad de GPT, mientras que la aparición de *AI Agents* amenaza su modelo de negocio SaaS tradicional. La baja tasa de adopción de pago de Copilot y la pérdida de cuota frente a herramientas como Cursor y Claude Code evidencian los desafíos. En respuesta, Microsoft está redefiniendo su estrategia: ya no apuesta todo a un solo modelo, sino que busca convertirse en una plataforma empresarial de IA "agnóstica de modelos". El objetivo es integrar diferentes modelos (OpenAI, Anthropic, futuros propios) en su ecosistema, reteniendo el valor central en las plataformas de trabajo, datos, seguridad y flujos de las empresas. El CEO Satya Nadella se ha involucrado directamente en el desarrollo de productos como Copilot Tasks y Copilot Cowork, impulsando una mayor velocidad interna. La compañía ha reestructurado equipos, invertido en Anthropic como respaldo, y relajado los términos con OpenAI. Su nueva apuesta es monetizar no solo el modelo, sino toda la infraestructura segura y conectada alrededor de él, incluso con nuevos modelos de precios híbridos. Sin embargo, el camino es costoso, con gastos de capital previstos de unos 190.000 millones de dólares para 2026. El verdadero reto no es ser el único ganador, sino mantener la entrada principal al software empresarial en un mundo donde los modelos se están convirtiendo en una commodity y los *Agents* siempre activos, como el proyecto OpenClaw, representan el siguiente cambio de paradigma. Para Nadella, esto no es solo un ajuste de producto, sino un "reinicio" de la compañía para la era de la IA.

marsbitHace 17 min(s)

¿Microsoft ha perdido el rumbo en la competencia de IA? ¿Puede Copilot devolverlo a la senda correcta?

marsbitHace 17 min(s)

¿Por qué los stablecoins de divisas nunca despegaron?

**Por qué los stablecoins de forex nunca despegaron** Los stablecoins digitales están avanzando más allá de los criptonativos, con un potencial de crecimiento masivo en banca minorista. Sin embargo, actualmente solo ofrecen cuentas en dólares, limitando su alcance global donde el 95-99% de las transacciones son en otras monedas. Los stablecoins de forex directos (como EURC) enfrentan obstáculos enormes: baja liquidez (solo ~$600M vs. $400B en dólares), problemas de paridad, baja adopción en exchanges y FinTechs, y complejidades regulatorias. Tether y Circle tienen una ventaja casi insuperable en efectos de red. La solución no es competir con nuevos stablecoins *spot*, sino adoptar un enfoque *sintético* inspirado en las finanzas tradicionales, donde el 69% del mercado de divisas son derivados. La respuesta son los **NDF (Non-Deliverable Forwards) ajustados a mercado**: * Los usuarios **mantienen sus fondos en USDT/USDC** (con su liquidez, canales on/off-ramp y oportunidades de yield). * Mediante un NDF sintético, obtienen exposición a una moneda extranjera (ej. EUR, CHF). * Su saldo se **cotiza y gana/pierde valor en la moneda objetivo**, pero la liquidación subyacente sigue siendo en dólares. Esto ofrece una paridad sólida (via oráculos), máxima liquidez, eficiencia de capital y escalabilidad a múltiples divisas sin infraestructura bancaria local. **Casos de uso clave:** 1. **Bancos digitales y carteras:** Pueden ofrecer cuentas multicurva a usuarios y empresas, aumentando depósitos y retención sin que los fondos abandonen la red estable del dólar. 2. **Carry Trade (arbitraje de tasas):** Permite ganar el diferencial de tasas de interés entre monedas (ej., JPY vs. BRL) de manera sintética y estable, con un mercado potencial mayor que productos como Ethena. 3. **Pagos globales para empresas:** Similar al modelo de Stripe, permite a comerciantes recibir pagos en stablecoins de dólar pero fijar precios y gestionar riesgos en su moneda local. En resumen, el futuro del forex en blockchain pasa por **exposición sintética sobre la red de stablecoins de dólar dominante**, no por crear nuevos stablecoins *spot* para cada divisa. Esta capa de infraestructura es crucial para que la banca digital con stablecoins alcance una escala global de billones de dólares.

链捕手Hace 46 min(s)

¿Por qué los stablecoins de divisas nunca despegaron?

链捕手Hace 46 min(s)

Esperanza para la Temporada de Altcoins: El Movimiento de Bitcoin que Podría Desencadenarlo Todo

La esperanza para una temporada de altcoins: El movimiento de Bitcoin que podría impulsar todo A pesar de años de bajo rendimiento frente a Bitcoin, el análisis de Cryptollica sugiere que el "altseason" podría no estar muerto. El gráfico de dominio de las altcoins (capitalización excluyendo los 10 principales activos frente a Bitcoin) muestra que este ratio se encuentra actualmente cerca de su piso histórico a largo plazo dentro de un canal alcista que se mantiene desde 2017. Esta es la misma zona desde la que comenzaron las rotaciones alcistas de 2017 y 2021. Sin embargo, para una confirmación sólida se necesitan dos señales clave que aún no están completamente presentes: un suelo en el par ETH/BTC antes del repunte general de las altcoins, y un aumento de la liquidez en stablecoins mientras cae el dominio de Bitcoin. Actualmente, el índice de temporada de altcoins está en 38, muy por debajo del umbral de 75, y el dominio de Bitcoin es del 59.9%. La proyección de Cryptollica indica que, si se produce una ruptura, el valor total del mercado de altcoins (excluyendo el top 10) podría pasar del 0.10 actual a entre 0.6 y 0.8 de la capitalización de Bitcoin. Por ahora, el escenario es más una sala de espera que una ruptura confirmada.

bitcoinistHace 57 min(s)

Esperanza para la Temporada de Altcoins: El Movimiento de Bitcoin que Podría Desencadenarlo Todo

bitcoinistHace 57 min(s)

Fundador de IOSG: Web3 está 'sangrando', ¿cómo pueden sobrevivir mejor los profesionales?

El fundador de IOSG analiza la preocupante situación actual del ecosistema Web3, destacando una "fuga de sangre" masiva de talentos hacia la IA y otros sectores. El artículo señala la rotura de los mecanismos de retroalimentación positiva en la industria, la feroz competencia por el talento y la falta de atractivo para las nuevas generaciones. Se expresa una preocupación particular por el futuro de Ethereum, la percepción social negativa de los profesionales de la criptografía y la crisis de financiación en Asia. El autor hace un llamamiento a los fundadores y profesionales veteranos (OGs) para que asuman responsabilidad, actúen como faros, apoyen a la próxima generación de constructores y reinviertan en el ecosistema. Concluye instando a la resiliencia personal, la búsqueda de alianzas y la construcción continua como claves para sobrevivir en este difícil período.

marsbitHace 1 hora(s)

Fundador de IOSG: Web3 está 'sangrando', ¿cómo pueden sobrevivir mejor los profesionales?

marsbitHace 1 hora(s)

Déficit, Inflación y la Nueva Fed: La Lógica Profunda de los Rendimientos de los Bonos de EEUU Superando el 5% y el Reajuste del Mercado

Durante la semana del 15 al 19 de mayo de 2026, los rendimientos de los bonos del Tesoro estadounidense a largo plazo alcanzaron máximos históricos, con el bono a 30 años llegando al 5,2%. Este aumento fue impulsado por la persistente inflación (los precios mayoristas subieron un 6% en abril), el deterioro de las finanzas públicas y la incertidumbre bajo el nuevo presidente de la Fed, Kevin Warsh. La ley de reducción de impuestos "OBBB" incrementará el déficit en billones de dólares. El alza de rendimientos presiona a las acciones al reducir los valores presentes de los flujos de caja futuros y al ofrecer una alternativa más atractiva y menos riesgosa. Sectores como la tecnología son particularmente vulnerables. Para los inversores en bonos, los rendimientos actuales (4,6% para el bono a 10 años) ofrecen una oportunidad atractiva, especialmente en bonos de plazo medio. Los mercados observarán de cerca la primera reunión de la Fed presidida por Warsh y los futuros datos de inflación para evaluar si los rendimientos continuarán su ascenso, acercándose potencialmente al 6% para el bono a 30 años.

marsbitHace 1 hora(s)

Déficit, Inflación y la Nueva Fed: La Lógica Profunda de los Rendimientos de los Bonos de EEUU Superando el 5% y el Reajuste del Mercado

marsbitHace 1 hora(s)

Trading

Spot
Futuros

Artículos destacados

Qué es GENIUS

I. Introducción al Proyecto1. ¿Qué es Genius?Genius (GENIUS) se posiciona como el “terminal en cadena definitivo”, una plataforma de trading descentralizada centrada en la privacidad y la velocidad. Al integrar tecnología de privacidad de primer nivel, tiene como objetivo construir una infraestructura de trading en privacidad de próxima generación a través de redes como BNB Chain, permitiendo a los usuarios interactuar en cadena con una experiencia fluida comparable a los intercambios centralizados.2. ¿Cómo Funciona Genius?La arquitectura técnica central de Genius está estructurada de la siguiente manera:(1) Invisible en la cadena: Los usuarios no necesitan manejar manualmente aprobaciones de múltiples pasos para operaciones entre cadenas, envoltura de activos o gestión compleja de gas.(2) Trading sin Firma: A través de integraciones como Turnkey, Genius permite trading instantáneo sin confirmaciones emergentes ni autorización por transacción.(3) Agregador de Agregadores: Genius está impulsado por una pila de agregación de clase mundial integrada con más de 150 DEXs, reclamando una eficiencia de cotización superior en comparación con productos competidores.(4) Gestión de Cuentas: La plataforma adopta una arquitectura no custodial y aprovecha Turnkey y Lit Protocol para la gestión de claves, permitiendo a los usuarios acceder de forma segura a sus cuentas a través de claves de acceso.3. ¿Quién Creó Genius?Según sus Términos de Servicio oficiales, Genius fue desarrollado por Shuttle Labs, Inc. Basado en la cuenta oficial de X del proyecto, Ryan Myher es uno de los contribuyentes clave que impulsa la iteración del producto, incluyendo desarrollos como el lanzamiento del protocolo Ghost, así como un mayor compromiso de la comunidad.El fundador de Binance, CZ, se ha unido oficialmente al proyecto como asesor, con el objetivo de ayudar al equipo a construir una experiencia de trading en cadena más rápida y que preserve la privacidad.Además, el proyecto ha recibido un fuerte respaldo de YZi Labs, que ha invertido en Genius y trabaja junto a la Genius Foundation, responsable de mantener el Protocolo Genius Bridge (GBP).4. Tokenómica de GeniusGENIUS es el token nativo del ecosistema Genius. Hasta ahora, el proyecto no ha publicado un documento completo de tokenómica.Según las últimas divulgaciones oficiales, Genius incorpora un mecanismo deflacionario, y el 4.6% del suministro total de tokens ya había sido quemado durante la fase de lanzamiento inicial.Sistema de Puntos Genius (GP):(1) Comercio para Ganar: La plataforma ha establecido un fondo de recompensas de 200 millones de Puntos Genius, y los usuarios ganan GP por cada comercio ejecutado a través del terminal.(2) Clasificación y Insignias: Genius presenta un sistema de insignias basado en la progresión que va desde Smart hasta God, con niveles más altos desbloqueando beneficios y ventajas adicionales.(3) Rendimiento Nativo: Los usuarios que posean activos designados como usdGG en el panel pueden ganar rendimiento nativo directamente sin pasar por un staking complejo.(4) Incentivos por Referidos: Los referidores pueden ganar reembolsos de tarifas de más del 45% pagados en USDC, junto con GP adicionales.5. Cronograma y Hitos ClaveMarzo de 2020: Se creó la cuenta oficial de X del proyecto, marcando el inicio de su fase de preparación temprana.13 de enero de 2026: Genius anunció una inversión multimillonaria de YZi Labs y simultáneamente confirmó a CZ como asesor para acelerar la construcción de su infraestructura de trading en privacidad.18 de abril de 2026: El proyecto anunció que el protocolo de privacidad Ghost se lanzaría pronto.29 de abril de 2026: El protocolo Ghost se abrió oficialmente a sus primeros 50 testers, marcando el inicio de una nueva era para el trading en privacidad en BNB Chain. Al mismo tiempo, el equipo confirmó que el 4.6% de los tokens han sido quemados.​II. Información del Token1) Información BásicaNombre del token: GENIUS (Genius)III. Enlaces RelacionadosSitio web: https://www.tradegenius.com/homeExploradores: https://bscscan.com/address/0x1f12b85aac097e43aa1555b2881e98a51090e9a6Redes Sociales: https://x.com/GeniusTerminalNota: La introducción del proyecto proviene de los materiales publicados o proporcionados por el equipo oficial del proyecto, que es solo para referencia y no constituye asesoramiento de inversión. HTX no se hace responsable de ninguna pérdida directa o indirecta resultante.

279 Vistas totalesPublicado en 2026.04.29Actualizado en 2026.05.12

Qué es GENIUS

Cómo comprar GENIUS

¡Bienvenido a HTX.com! Hemos hecho que comprar Genius (GENIUS) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Genius (GENIUS) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Genius (GENIUS)Después de comprar tu Genius (GENIUS), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Genius (GENIUS)Tradear fácilmente con Genius (GENIUS) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

199 Vistas totalesPublicado en 2026.04.29Actualizado en 2026.05.12

Cómo comprar GENIUS

Cómo comprar MEGA

¡Bienvenido a HTX.com! Hemos hecho que comprar MegaETH (MEGA) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar MegaETH (MEGA) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu MegaETH (MEGA)Después de comprar tu MegaETH (MEGA), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear MegaETH (MEGA)Tradear fácilmente con MegaETH (MEGA) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

190 Vistas totalesPublicado en 2026.04.30Actualizado en 2026.04.30

Cómo comprar MEGA

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de A (A).

活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow