Los hackers están explotando una biblioteca de JavaScript para instalar drenadores de criptomonedas

cointelegraphPublicado a 2025-12-15Actualizado a 2025-12-15

Resumen

Según la organización de ciberseguridad SEAL, se ha detectado un aumento en la explotación de una vulnerabilidad en la biblioteca JavaScript React (CVE-2025-55182), que permite a atacantes ejecutar código de forma remota sin autenticación. Los ciberdelincuentes están utilizando este fallo para inyectar drenadores de carteras (wallet drainers) en sitios web legítimos de criptomonedas, engañando a los usuarios para que firmen transacciones fraudulentas mediante ventanas emergentes falsas. SEAL recomienda a los administradores de sitios web escanear su código front-end en busca de activos sospechosos, verificar scripts ofuscados y actualizar inmediatamente las bibliotecas afectadas. El equipo de React ya publicó una corrección el 3 de diciembre e insta a los usuarios de react-server-dom-webpack y herramientas similares a actualizar sus sistemas. Los sitios que hayan sido marcados como riesgo de phishing deberían revisar su código antes de solicitar la eliminación de advertencias.

Según la organización sin fines de lucro de ciberseguridad Security Alliance (SEAL), ha habido un reciente en la subida de drenadores de criptomonedas que se cargan en sitios web a través de una vulnerabilidad en la biblioteca de JavaScript de front-end de código abierto React.

React se utiliza para construir interfaces de usuario, especialmente en aplicaciones web. El equipo de React informó el 3 de diciembre que un hacker de sombrero blanco, Lachlan Davidson, encontró una vulnerabilidad de seguridad en su software que permitía la ejecución remota no autenticada, lo que puede permitir a un atacante insertar y ejecutar su propio código.

Según SEAL, actores malintencionados han estado utilizando la vulnerabilidad, CVE-2025-55182, para agregar secretamente código de drenaje de billeteras a sitios web de criptomonedas.

“Estamos observando un gran aumento en los drenadores cargados en sitios web legítimos de criptomonedas mediante la explotación del CVE reciente de React. Todos los sitios web deberían revisar el código de front-end para detectar cualquier activo sospechoso AHORA”, dijo el Equipo SEAL.

“¡El ataque no solo está dirigido a protocolos Web3! Todos los sitios web están en riesgo. Los usuarios deben ejercer precaución al firmar CUALQUIER firma de permiso.”

Los drenadores de billeteras generalmente engañan a los usuarios para que firmen una transacción mediante métodos como una ventana emergente falsa que ofrece recompensas o tácticas similares.

Los sitios web con advertencia de phishing deberían verificar el código

Según el Equipo SEAL, los sitios web afectados pueden haber sido marcados repentinamente como un posible riesgo de phishing sin explicación. Recomiendan que los anfitriones de sitios web tomen precauciones para asegurarse de que no haya drenadores ocultos que puedan poner en riesgo a los usuarios.

“Escanee el host en busca de CVE-2025-55182. Verifique si su código de front-end está cargando repentinamente activos de hosts que no reconoce. Verifique si alguno de los scripts cargados por su código de front-end es JavaScript ofuscado. Inspeccione si la billetera muestra el destinatario correcto en la solicitud de firma de firma”, dijeron.

Relacionado: Los hacks de criptomonedas de ‘Zoom falso’ de Corea del Norte son ahora una amenaza diaria: SEAL

“Si su proyecto está siendo bloqueado, esa puede ser la razón. Por favor, revise su código primero antes de solicitar la eliminación de la advertencia de página de phishing”, agregó el Equipo SEAL.

React ha lanzado una solución para la vulnerabilidad

El equipo de React publicó una solución para CVE-2025-55182 el 3 de diciembre y aconseja a cualquier persona que use react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack, que actualice inmediatamente y cierre la vulnerabilidad.

“Si el código React de su aplicación no usa un servidor, su aplicación no se ve afectada por esta vulnerabilidad. Si su aplicación no utiliza un framework, un empaquetador o un complemento de empaquetador que admita React Server Components, su aplicación no se ve afectada por esta vulnerabilidad”, agregó el equipo.

Revista: Conoce a los detectives de criptomonedas onchain que combaten el crimen mejor que la policía

Preguntas relacionadas

Q¿Qué biblioteca de JavaScript está siendo explotada por hackers para instalar drenadores de criptomonedas?

ALa biblioteca de JavaScript de código abierto React está siendo explotada a través de una vulnerabilidad de seguridad.

Q¿Qué es la vulnerabilidad específica mencionada en el artículo y cuándo fue descubierta?

ALa vulnerabilidad es identificada como CVE-2025-55182 y fue descubierta por el hacker de sombrero blanco Lachlan Davidson, siendo divulgada por el equipo de React el 3 de diciembre.

Q¿Cómo actúan los 'wallet drainers' o drenadores de carteras para robar criptoactivos?

ALos drenadores de carteras engañan a los usuarios para que firmen una transacción, a menudo mediante ventanas emergentes falsas que ofrecen recompensas u otras tácticas similares.

Q¿Qué recomienda SEAL Alliance a los propietarios de sitios web que podrían estar afectados?

ASEAL recomienda escanear el host en busca de CVE-2025-55182, verificar que el código front-end no cargue activos de hosts desconocidos, revisar si hay scripts ofuscados y comprobar que la cartera muestre el destinatario correcto en las solicitudes de firma.

Q¿Quiénes son los únicos usuarios de React que NO están afectados por esta vulnerabilidad según el equipo de React?

ASegún el equipo de React, no están afectadas las aplicaciones cuyo código React no utilice un servidor, o aquellas que no utilicen un framework, bundler o plugin de bundler que admita React Server Components.

Lecturas Relacionadas

Near vuelve al escenario de la IA: la transformación en cadena pública por problemas para pagar salarios, y los agentes y la privacidad como nueva narrativa de crecimiento

**Resumen: Near regresa a la IA: De una cadena de bloques por problemas de pago a Agentes y privacidad como nueva narrativa** Near, fundada por Illia Polosukhin, coautor del influyente artículo "Transformer" de IA, nació de manera inesperada en 2017. La razón original fue pragmática: una startup de IA que Polosukhin cofundó tuvo que pausar su trabajo en "síntesis de programas" (enseñar a máquinas a escribir código) debido a la dificultad de pagar a desarrolladores remotos en todo el mundo. Ante sistemas de pago transfronterizos ineficientes, él y su cofundador decidieron construir su propia cadena de bloques escalable y de bajo costo: Near. Aunque Near ganó tracción como cadena de alto rendimiento, su momento crucial llegó con el auge actual de la IA. La participación de Polosukhin en eventos como el GTC de Nvidia volvió a poner el foco en su legado en IA. Near ha reposicionado su tecnología hacia dos áreas clave: 1. **Near Intents (Intenciones):** Este sistema abstrae la complejidad de las transacciones entre cadenas. Los usuarios (o futuros Agentes de IA) solo declaran su objetivo (ej. "intercambiar BTC por ETH"), y una red de "solvers" (solucionadores) encuentra y ejecuta la mejor ruta, manejando los costos de gas de fondo. Esta capa ha procesado más de **200.000 millones de dólares** en volumen y generado **más de 34 millones** en tarifas, integrada en 25 cadenas. 2. **Transacciones Privadas:** Near ha lanzado funciones de "Intenciones Confidenciales" e "Intercambios Confidenciales" que ocultan los detalles de las operaciones (monto, dirección) hasta su liquidación. Esto protege a los grandes traders del "MEV" y del deslizamiento. Sorprendentemente, este tipo de transacciones ya representa **más del 40%** del volumen reciente en Near, mostrando una fuerte demanda, pero también planteando posibles desafíos regulatorios en el futuro. En resumen, Near ha vuelto a sus raíces en IA, aprovechando su tecnología de cadena abstracta para facilitar la economía de los Agentes de IA y abordando la creciente demanda de privacidad en DeFi, mientras navega por las oportunidades y riesgos de este nuevo capítulo.

marsbitHace 24 min(s)

Near vuelve al escenario de la IA: la transformación en cadena pública por problemas para pagar salarios, y los agentes y la privacidad como nueva narrativa de crecimiento

marsbitHace 24 min(s)

De Ethereum a la IA, 'CROPS': ¿Qué son estas 'variables lentas' que Vitalik enfatiza repetidamente?

En las últimas semanas, Vitalik Buterin ha destacado repetidamente el concepto CROPS, definido en el mandato de la Fundación Ethereum (EF Mandate) como los principios rectores fundamentales para Ethereum: Resistencia a la Censura, Resistencia a la Captura, Código Abierto, Privacidad y Seguridad. Más que un lema, CROPS constituye un marco estratégico que orienta el desarrollo de Ethereum hacia la soberanía del usuario, la descentralización robusta y la sostenibilidad a largo plazo, priorizando estos valores sobre mejoras puramente transaccionales como velocidad y costes. La relevancia de CROPS se amplifica con el auge de la IA. A medida que los agentes de IA se integran en billeteras y automatizan operaciones financieras, surge un riesgo crítico: los usuarios podrían ceder el control sobre sus activos, datos e identidad a plataformas centralizadas de IA. Vitalik vincula así "CROPS Ethereum" con "CROPS AI", planteando la necesidad de un ecosistema donde el acceso a la cadena de bloques y la ejecución de modelos de IA sean privados, verificables y resistentes a la censura. Propone soluciones como llamadas remotas a LLM pagadas con pruebas de conocimiento cero (ZK) y lecturas confidenciales de RPC para proteger la privacidad del usuario. En esencia, CROPS trasciende a Ethereum para abordar una cuestión central de la era digital: cómo preservar la autonomía y seguridad del usuario frente a sistemas cada vez más poderosos y potencialmente opacos. Este enfoque podría redefinir el diseño de billeteras y la experiencia de interacción en Web3, posicionando la privacidad, la apertura y el control verificable como pilares esenciales para el futuro.

marsbitHace 35 min(s)

De Ethereum a la IA, 'CROPS': ¿Qué son estas 'variables lentas' que Vitalik enfatiza repetidamente?

marsbitHace 35 min(s)

Un error en Zcash podría haber creado una cantidad ilimitada de ZEC sin ser detectado

Una vulnerabilidad crítica en el grupo blindado Orchard de Zcash podría haber permitido a un atacante crear una cantidad ilimitada de ZEC falso sin ser detectado, según un nuevo informe de Zooko Wilcox, Jason McGee y el investigador de seguridad Taylor Hornby. La falla fue descubierta el 29 de mayo y reparada mediante una respuesta de emergencia completada antes del 2 de junio. El error, técnicamente un elemento infra-restringido en el circuito Orchard, permitía introducir entradas falsas en una multiplicación de curva elíptica. Existió desde la activación de Orchard en mayo de 2022 hasta su corrección. El modelo de privacidad de Orchard, que oculta los montos y el historial, imposibilita verificar criptográficamente si la vulnerabilidad fue explotada. Para abordar esto, Shielded Labs propone una actualización de red para implementar un nuevo grupo blindado y contabilidad de "torniquete" para verificar la integridad de la oferta. Los responsables enfatizan la necesidad de una verificación formal de los circuitos para prevenir fallas similares. Tras la noticia, el precio de ZEC cayó aproximadamente un 45% en 24 horas.

bitcoinistHace 44 min(s)

Un error en Zcash podría haber creado una cantidad ilimitada de ZEC sin ser detectado

bitcoinistHace 44 min(s)

Steve Hoffman, el 'gurú de capital riesgo' de Silicon Valley: Web3 + AI podría ser una trampa

El "gurú de las inversiones" de Silicon Valley, Steve Hoffman, advierte que la combinación de Web3 y IA podría ser una trampa. En una entrevista, Hoffman destaca el rápido avance de China en aplicaciones de IA y su dominio en robótica, mientras Silicon Valley lidera la investigación fundamental en modelos grandes. Aconseja a las startups enfocarse en nichos profundos y específicos para evitar la competencia directa con los gigantes tecnológicos. Hoffman predice que el punto de inflexión para los agentes autónomos de IA, capaces de colaborar entre sí, llegará en 2 a 4 años, lo que provocará una sustitución laboral significativa. Sugiere que las empresas deben rediseñarse en torno a la colaboración humano-IA y que se necesitan políticas sociales para gestionar esta transición. Respecto a Web3, Hoffman es escéptico sobre su utilidad para el mercado general, argumentando que añade fricción y complejidad sin resolver necesidades principales. En cambio, ve a la IA como una tecnología base universal. Su consejo para los fundadores es centrarse en sistemas robustos, necesidades reales de los usuarios y construir equipos adaptables, evitando la fusión forzada de Web3 e IA, que considera más un obstáculo que una oportunidad.

marsbitHace 1 hora(s)

Steve Hoffman, el 'gurú de capital riesgo' de Silicon Valley: Web3 + AI podría ser una trampa

marsbitHace 1 hora(s)

Token no es económico, economía no es Token

La industria de la IA se encuentra en un punto de inflexión, transitando desde una narrativa centrada en la innovación tecnológica hacia un enfoque dominado por la eficiencia del capital. Dos tendencias clave definen este cambio: la escasez de financiación y la escisión de activos por parte de los grandes conglomerados. La competencia actual se ha transformado en una carrera de activos pesados por la potencia de cálculo (compute), con costos operativos que escalan junto con el uso, un modelo "anti-internet" donde más usuarios significan mayores pérdidas. Este problema se ve agravado por prácticas de "contabilidad circular", como los acuerdos de créditos en la nube entre empresas, que inflan los ingresos sin generar flujo de caja real. La desconexión entre las valoraciones y los flujos de efectivo plantea un desafío estructural para el modelo de negocio. Paralelamente, grandes empresas como Baidu, Alibaba, ByteDance y Kuaishou están escindiendo sus unidades de IA (por ejemplo, Kling/Kunlunxin). Estos activos, valorados mucho más alto una vez independientes, pasan de ser vistos como "centros de coste" dentro del grupo a "centros de valor" en el mercado. La lógica cambia: mientras que en los estados financieros consolidados se miden por su impacto en los beneficios, como empresas independientes se valoran por su potencial de crecimiento futuro, su escasez en el mercado y su capacidad para atraer inversión. La industria evoluciona desde la "adoración del modelo" hacia la "realización de valor". Aunque la inversión en infraestructura (con un gasto de capital previsto de 805.000 millones de dólares para 2026 en EE.UU.) es enorme, la comercialización a gran escala aún está en sus inicios. El foco se desplaza de la potencia bruta de la GPU a la eficiencia integral del sistema, donde la CPU y la orquestación determinan la rentabilidad. En 2026, la pregunta central que la industria debe responder es: ¿cuánto vale realmente esta tecnología? La respuesta definirá el panorama del poder en la IA para la próxima década.

marsbitHace 2 hora(s)

Token no es económico, economía no es Token

marsbitHace 2 hora(s)

Trading

Spot

Futuros

Artículos destacados

Cómo comprar BILL

¡Bienvenido a HTX.com! Hemos hecho que comprar Billions Network (BILL) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Billions Network (BILL) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Billions Network (BILL)Después de comprar tu Billions Network (BILL), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Billions Network (BILL)Tradear fácilmente con Billions Network (BILL) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

222 Vistas totalesPublicado en 2026.05.07Actualizado en 2026.06.02

Qué es ATWO

I. Introducción al ProyectoArena Two es una plataforma interactiva descentralizada que permite a los aficionados desempeñar un papel activo y tokenizado en los resultados de eventos en tiempo real. A diferencia de los modelos de transmisión tradicionales que reducen a los aficionados a espectadores pasivos, Arena Two aprovecha la tecnología blockchain para permitir que los aficionados voten directamente en tiempo real e influyan en los resultados en el campo.II. Información del TokenNombre del token: ATWO (Arena Two)III. Enlaces RelacionadosSitio web: https://arenatwo.com/Exploradores: https://basescan.org/token/0x499D35eBE6cEe9B2Ac35Fd003fcBbeeB9CFc7B32Twitter: https://x.com/arenatwoXNota: La introducción al proyecto proviene de los materiales publicados o proporcionados por el equipo oficial del proyecto, que es solo para referencia y no constituye asesoramiento de inversión. HTX no se hace responsable de ninguna pérdida directa o indirecta resultante.

173 Vistas totalesPublicado en 2026.05.18Actualizado en 2026.06.02

Cómo comprar ATWO

¡Bienvenido a HTX.com! Hemos hecho que comprar Arena Two (ATWO) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Arena Two (ATWO) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Arena Two (ATWO)Después de comprar tu Arena Two (ATWO), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Arena Two (ATWO)Tradear fácilmente con Arena Two (ATWO) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

195 Vistas totalesPublicado en 2026.05.18Actualizado en 2026.06.02

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de A (A).