Les hackers exploitent une bibliothèque JavaScript pour installer des crypto-draineurs

cointelegraphPublié le 2025-12-15Dernière mise à jour le 2025-12-15

Résumé

Selon l'organisation de cybersécurité Security Alliance (SEAL), une augmentation significative d'attaques par "drainers" de cryptomonnaies exploitant une vulnérabilité de la bibliothèque JavaScript React a été observée. La faille, identifiée sous le code CVE-2025-55182, permet à des acteurs malveillants d'exécuter du code à distance et d'injecter discrètement des scripts frauduleux sur des sites web légitimes. Ces drainers trompent les utilisateurs en les incitant à signer de fausses transactions via de fausses promesses de récompenses. SEAL recommande aux propriétaires de sites de vérifier immédiatement leur code front-end pour détecter tout chargement suspect ou script obfusqué. L'équipe React a publié un correctif le 3 décembre et conseille une mise à jour urgente des bibliothèques concernées. Les sites utilisant exclusivement des composants clients ou sans serveur ne sont pas affectés.

Selon l'organisation à but non lucratif de cybersécurité Security Alliance (SEAL), on observe une récente augmentation des crypto-draineurs téléchargés sur des sites web via une vulnérabilité dans la bibliothèque JavaScript front-end open source React.

React est utilisé pour créer des interfaces utilisateur, en particulier dans les applications web. L'équipe React a divulgué le 3 décembre qu'un hacker white hat, Lachlan Davidson, a trouvé une faille de sécurité dans son logiciel qui permettait une exécution de code à distance non authentifiée, ce qui peut permettre à un attaquant d'insérer et d'exécuter son propre code.

Selon SEAL, des acteurs malveillants utilisent la vulnérabilité, CVE-2025-55182, pour ajouter secrètement du code de drainage de portefeuille sur des sites web de crypto.

« Nous observons une forte augmentation des draineurs téléchargés sur des sites web de crypto légitimes via l'exploitation de la récente CVE de React. Tous les sites web devraient examiner le code front-end pour tout actif suspect MAINTENANT », a déclaré le SEAL Team.

« L'attaque ne cible pas seulement les protocoles Web3 ! Tous les sites web sont à risque. Les utilisateurs doivent faire preuve de prudence lorsqu'ils signent TOUTE signature d'autorisation. »

Les draineurs de portefeuille dupent généralement les utilisateurs en les faisant signer une transaction par des méthodes telles qu'une fausse pop-up offrant des récompenses ou des tactiques similaires.

Les sites web avec un avertissement de phishing devraient vérifier leur code

Selon le SEAL Team, les sites web affectés peuvent avoir été soudainement signalés comme un risque d'hameçonnage potentiel sans explication. Ils recommandent aux hébergeurs de sites web de prendre des précautions pour s'assurer qu'il n'y a pas de draineurs cachés qui pourraient mettre les utilisateurs en danger.

« Scannez l'hôte pour CVE-2025-55182. Vérifiez si votre code front-end charge soudainement des actifs provenant d'hôtes que vous ne reconnaissez pas. Vérifiez si l'un des scripts chargés par votre code front-end est du JavaScript obfusqué. Vérifiez si le portefeuille affiche le bon destinataire sur la demande de signature », ont-ils déclaré.

Article connexe : Les piratages crypto 'faux Zoom' nord-coréens sont désormais une menace quotidienne : SEAL

« Si votre projet est bloqué, cela peut en être la raison. Veuillez examiner votre code d'abord avant de demander la suppression de l'avertissement de page de phishing », a ajouté le SEAL Team.

React a publié un correctif pour la vulnérabilité

L'équipe React a publié un correctif pour CVE-2025-55182 le 3 décembre et conseille à toute personne utilisant react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack, de mettre à niveau immédiatement et de fermer la vulnérabilité.

« Si le code React de votre application n'utilise pas de serveur, votre application n'est pas affectée par cette vulnérabilité. Si votre application n'utilise pas de framework, de bundler ou de plugin de bundler qui prend en charge les React Server Components, votre application n'est pas affectée par cette vulnérabilité », a ajouté l'équipe.

Magazine : Rencontrez les détectives onchain de la crypto qui luttent contre le crime mieux que la police

Questions liées

QQuelle bibliothèque JavaScript est exploitée par les hackers pour installer des crypto-drainers ?

ALes hackers exploitent une vulnérabilité dans la bibliothèque JavaScript open-source React.

QQuel est le numéro CVE de la vulnérabilité découverte dans React ?

ALe numéro CVE de cette vulnérabilité est CVE-2025-55182.

QQuel type d'exécution de code cette vulnérabilité permet-elle ?

AElle permet une exécution de code à distance non authentifiée, permettant à un attaquant d'insérer et d'exécuter son propre code.

QQue recommande l'équipe SEAL aux propriétaires de sites web pour se protéger ?

AIls recommandent de scanner l'hôte pour la CVE-2025-55182, de vérifier que le code front-end ne charge pas soudainement des ressources provenant d'hôtes non reconnus, et de s'assurer qu'aucun script obfusqué n'est chargé.

QQuand l'équipe React a-t-elle publié un correctif pour cette vulnérabilité ?

AL'équipe React a publié un correctif pour cette vulnérabilité le 3 décembre.

Lectures associées

La répartition de la valeur des stablecoins

L'article analyse la répartition de valeur dans l'écosystème des stablecoins, en le divisant en quatre couches : 1. **Couche d'émission** : (ex. : Tether, Circle) - Émettent les stablecoins, détiennent les actifs de réserve et capturent la marge d'intérêt. 2. **Couche d'infrastructure** : (ex. : Bridge, BVNK) - Relient les stablecoins au système financier traditionnel (connexions bancaires, conformité, gestion des entrées/sorties en fiat). C'est le travail le plus complexe et essentiel pour une adoption large. 3. **Couche d'acquisition/distribution** : (ex. : Stripe, Coinbase) - Intègrent les stablecoins dans les systèmes marchands et logiciels d'entreprise. 4. **Couche applicative** : Les utilisateurs finaux. Actuellement, la couche d'émission génère les profits les plus importants. L'auteur souligne que la **couche d'infrastructure**, bien que cruciale, est souvent sous-estimée. Son rôle de "trait d'union" entre la blockchain et le monde réel (règlement, conformité, intégration aux flux de trésorerie des entreprises) est difficile mais constitue un avantage concurrentiel durable. Des acquisitions comme celle de Bridge par Stripe ou de BVNK par Mastercard montrent l'importance stratégique de ce segment. Bien que cette couche nécessite d'importants investissements initiaux et fasse face à une pression de la part des autres couches, elle pourrait acquérir un fort pouvoir de négociation une fois que les stablecoins deviendront un canal de paiement par défaut pour les entreprises.

marsbitIl y a 19 mins

La répartition de la valeur des stablecoins

marsbitIl y a 19 mins

La répartition de la valeur dans les stablecoins

L'article analyse la répartition de la valeur dans l'écosystème des stablecoins, en identifiant quatre couches principales : 1. **Couche d'émission** : Émet les stablecoins, détient les actifs de réserve et bénéficie de l'écart d'intérêt (ex. Tether, Circle). 2. **Couche d'infrastructure** : Connecte les stablecoins au système financier réel – dépôts/retraits en fiat, conformité, intégration bancaire (ex. Bridge, BVNK). 3. **Couche d'acquisition/distribution** : Intègre les stablecoins dans les systèmes marchands et les processus de paiement (ex. Stripe, Coinbase). 4. **Couche applicative** : Utilisateurs et entreprises effectuant des paiements ou des règlements. L'auteur souligne que la couche d'infrastructure, bien que souvent négligée et impliquant un travail complexe (conformité, intégrations locales), est cruciale. C'est le pont entre la blockchain et le monde réel, et elle construit des barrières à l'entrée durables. Bien que la couche d'émission capture actuellement la plus grande part de valeur, l'article suggère qu'à mesure que les stablecoins deviendront un canal de paiement par défaut pour les entreprises, la couche d'infrastructure, ayant résolu les difficultés d'intégration, pourrait acquérir un pouvoir de négociation significatif.

链捕手Il y a 23 mins

La répartition de la valeur dans les stablecoins

链捕手Il y a 23 mins

Pourquoi Nvidia emprunte-t-elle 200 milliards de dollars si elle n'a pas besoin d'argent ?

Résumé de l'article : Nvidia, qui dispose d'une trésorerie abondante (flux de trésorerie libre d'environ 48,6 milliards de dollars pour son dernier trimestre), prévoit d'émettre des obligations (notes senior) pour au moins 20 milliards de dollars. Contrairement à une lecture simpliste sur un besoin de liquidités, cette opération s'analyse plutôt comme une optimisation active de la structure financière. L'entreprise profite de sa solide notation de crédit (AA) et de conditions de marché favorables pour lever des fonds à long terme (jusqu'à 30 ans) à un coût faible. Cette dette servira à financer des investissements à long cycle comme les infrastructures de datacenters IA, la R&D, les paiements anticipés à la chaîne d'approvisionnement et les investissements stratégiques. Cette approche permet à Nvidia de poursuivre son expansion dans l'écosystème IA sans diluer les actionnaires (alternative à une augmentation de capital), tout en maintenant parallèlement un retour aux actionnaires via un important programme de rachats d'actions et une augmentation du dividende. Elle reflète une évolution vers une gestion du capital plus mature, typique des grandes plateformes technologiques, et s'inscrit dans une tendance où les géants de la tech utilisent la dette pour financer le cycle d'investissements lourds de l'IA. La réussite de cette stratégie dépendra de la capacité future de Nvidia à générer des rendements supérieurs au coût de sa dette et à maintenir sa forte génération de flux de trésorerie.

marsbitIl y a 56 mins

Pourquoi Nvidia emprunte-t-elle 200 milliards de dollars si elle n'a pas besoin d'argent ?

marsbitIl y a 56 mins

Liberland révoque son secrétaire à la technologie après une tentative présumée de prise de contrôle de la blockchain et du site web

Le congrès de Liberland a voté le renvoi du secrétaire à la Technologie, Dorian Stern Vukotić, selon une résolution officielle de ce projet de micronation. Il est accusé d'avoir supprimé les protections multisignatures sur le compte administrateur Sudo, tenté de détourner le domaine Liberland.org, bloqué le président Vít Jedlička du vote et lancé des jetons non autorisés. Cette affaire sert d'étude de cas sur les risques de gouvernance dans la blockchain, qui dépassent les simples contrats intelligents. Elle implique le contrôle des permissions, des noms de domaine, des droits de vote et des comptes administrateurs. Ceci rappelle que pour de nombreux projets crypto, la décentralisation réelle doit être vérifiée au-delà des déclarations, car un petit nombre d'acteurs peut contrôler des fonctions clés. L'article précise que Liberland est un projet de micronation et non un État souverain largement reconnu. Pour les observateurs, il est conseillé de suivre les enregistrements sur l'explorateur blockchain, les votes ultérieurs et les éventuelles mises à jour juridiques ou liées au registre des domaines. Dans le contexte plus large, cette histoire s'inscrit dans une tendance où l'infrastructure, la sécurité et la gouvernance deviennent aussi importantes que l'évolution des prix. Elle illustre la nécessité pour les traders de comprendre les systèmes et les risques sous-jacents. Le traitement éditorial doit se baser sur les sources vérifiées, expliquer les risques pratiques et éviter les conclusions prématurées, en présentant cela comme un signal d'information à suivre.

bitcoinistIl y a 1 h

Liberland révoque son secrétaire à la technologie après une tentative présumée de prise de contrôle de la blockchain et du site web

bitcoinistIl y a 1 h

Comment bien mener une recherche : cultiver les compétences qui peuvent être réellement « pratiquées délibérément »

Personne ne vous a jamais vraiment appris à faire de la recherche. On vous donne un bureau, un problème choisi par d'autres, et des instructions vagues pour "produire quelque chose de nouveau". Ainsi, la plupart des gens rétroconçoient le métier à partir de ce qu'ils voient (articles, posts), apprenant à *sembler* chercheurs plutôt qu'à en *devenir*. Les véritables compétences en recherche sont un empilement de micro-compétences, presque toutes cultivables par la pratique délibérée. **Choisir ses propres problèmes.** Nous absorbons souvent des problèmes (du superviseur, des tendances) sans en comprendre le raisonnement sous-jacent, nous plaçant en retard face à des concurrents nombreux. John Schulman recommande de choisir un résultat que l'on souhaite réellement atteindre et de raisonner à rebours pour concevoir les expériences. Cette approche mène à l'originalité. Le "bon goût" est un muscle : prédire les résultats d'expériences, deviner les conclusions d'articles à partir des méthodes, noter quelles avancées resteront pertinentes, puis vérifier. **Améliorer ses sources.** S'alimenter aux mêmes sources (arXiv, discussions) génère les mêmes idées que tout le monde. Les archives anciennes sont sous-estimées : les idées clés (MoE, LSTM) sont souvent des réinventions. Lire des textes fondateurs comme "The Bitter Lesson" de Sutton ou le discours de Shannon sur la pensée créative est crucial. La **largeur** (neurosciences, conception de mécanismes, statistiques, architecture matérielle) est aussi importante que la profondeur. Lisez les **articles eux-mêmes**, surtout les annexes et les sections sur les limites. **Tout noter.** L'écriture révèle les failles des idées qui semblaient matures. C'est le mécanisme de défense le moins cher contre l'auto-tromperie, un point souligné par Feynman. Darwin notait systématiquement les faits contredisant sa théorie, craignant que sa mémoire ne les efface. Tenez un journal : hypothèses, paramètres, attentes, résultats, connaissances révisées. Relire ses notes d'il y a un mois est une leçon d'humilité sans égale.

marsbitIl y a 2 h

Comment bien mener une recherche : cultiver les compétences qui peuvent être réellement « pratiquées délibérément »

marsbitIl y a 2 h

Trading

Spot

Futures

Articles tendance

Qu'est ce que ATWO

I. Introduction au projetArena Two est une plateforme interactive décentralisée qui permet aux fans de jouer un rôle actif et tokenisé dans les résultats des événements en temps réel. Contrairement aux modèles de diffusion traditionnels qui réduisent les fans à des spectateurs passifs, Arena Two exploite la technologie blockchain pour permettre aux fans de voter directement en temps réel et d'influencer les résultats sur le terrain.II. Informations sur le tokenNom du token : ATWO (Arena Two)III. Liens connexesSite web : https://arenatwo.com/Explorateurs : https://basescan.org/token/0x499D35eBE6cEe9B2Ac35Fd003fcBbeeB9CFc7B32Twitter : https://x.com/arenatwoXNote : L'introduction du projet provient des documents publiés ou fournis par l'équipe officielle du projet, qui est à titre de référence uniquement et ne constitue pas un conseil en investissement. HTX ne prend pas la responsabilité des pertes directes ou indirectes qui en résultent.

217 vues totalesPublié le 2026.05.18Mis à jour le 2026.06.02

Comment acheter ATWO

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Arena Two (ATWO) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Arena Two (ATWO).Solde ：utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers ：pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P ：tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Arena Two (ATWO)Après avoir acheté vos Arena Two (ATWO), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Arena Two (ATWO)Tradez facilement Arena Two (ATWO) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

136 vues totalesPublié le 2026.05.18Mis à jour le 2026.06.02

Qu'est ce que ZEST

I. Introduction au Projet1. Qu'est-ce que le Zest Protocol ?Le Zest Protocol est un protocole de prêt natif de Bitcoin construit sur Stacks Layer 2 qui permet aux utilisateurs de gagner des rendements avec BTC ou d'emprunter des actifs en utilisant BTC comme garantie. Les contrats intelligents du protocole sont écrits dans le langage Clarity, fonctionnent entièrement sur la chaîne et sont open-source, avec un design inspiré par Aave v3. Zest est actuellement le plus grand protocole DeFi sur Stacks, avec plus de 800 BTC déposés et un TVL culminant à plus de 100 millions de dollars. En mai 2026, le protocole a également introduit des Coffres de Garantie Bitcoin, étendant les capacités de prêt de Stacks au réseau principal Bitcoin. Cela permet aux utilisateurs d'emprunter des stablecoins sans déplacer BTC hors du réseau Bitcoin, permettant ainsi un prêt en auto-gérance.2. Comment fonctionne le Zest Protocol ?Le Zest Protocol se compose de deux marchés. Le marché Stacks est construit sur Aave v3, permettant aux utilisateurs de déposer des actifs comme sBTC, STX et USDC pour gagner des rendements ou prendre des prêts sur-garantis. Le LTV maximum par défaut est de 50 % (70 % pour sBTC). Le marché Bitcoin fonctionne à travers les nouveaux Coffres de Garantie Bitcoin lancés. Les utilisateurs empruntent des stablecoins en verrouillant BTC dans des coffres en auto-gérance sur la chaîne Bitcoin. La garantie reste sur le réseau principal Bitcoin tout au long du processus, et les utilisateurs conservent la garde à moins que la position ne soit liquidée.3. Qui a fondé le Zest Protocol ?Tycho Onnasch (Co-fondateur) : Diplômé de l'Université d'Oxford. Impliqué dans la recherche et les subventions pour la Stacks Open Internet Foundation. Ancien Responsable chez Trust Machines et Fondateur de Deedmob. Profil LinkedIn : https://www.linkedin.com/in/tychokoonnasch/.Fernando Foy (Co-fondateur) : A précédemment travaillé dans le conseil en informatique chez Objectif Emploi. Profil LinkedIn : https://www.linkedin.com/in/fernando-foy/.Emil E. (Co-fondateur) : Titulaire d'un Master en Physique de l'Université de Warwick. Ancien Partenaire Technique chez Trust Machines, Développeur Full-Stack pour des projets Web3, et Data Scientist chez HSBC. Profil LinkedIn : https://www.linkedin.com/in/emil-e-49771a145/.Détails du financement : En mai 2024, le Zest Protocol a annoncé l'achèvement d'un tour de financement de démarrage de 3,5 millions de dollars dirigé par Tim Draper, avec la participation de Binance Labs, Flow Traders, Trust Machines, et d'autres.4. Tokenomics de $ZEST$ZEST est le token natif du Zest Protocol avec une offre totale fixe de 1 milliard de tokens et aucun mécanisme inflationniste.Communauté (27,83 %) : Utilisé pour des airdrops et des incitations aux utilisateurs ;Développement de l'écosystème (24,82 %) : Utilisé pour la liquidité, les partenariats, le marketing, les cotations en bourse, etc. ;Investisseurs (22,35 %) : Soutien aux parties prenantes qui ont soutenu le développement précoce du Zest Protocol ;Équipe (25 %) : Alloué aux contributeurs principaux.Calendrier de vesting : Les tokens de l'équipe et des investisseurs sont soumis à une période de blocage de 1 an suivie de 3 ans de déblocage linéaire.5. Chronologie des Jalons Clés2022 : Le Zest Protocol est officiellement fondé.Mars 2024 : Audit de sécurité terminé et lancement du marché de prêt Stacks sur le mainnet.En février 2026, le marché Stacks V2 est lancé, introduisant des Groupes de Risque.En mai 2026, les Coffres de Garantie Bitcoin ont été introduits, et un prototype opérationnel sur le mainnet est désormais disponible. Cela permet aux utilisateurs d'utiliser des BTC en auto-gérance sur le L1 Bitcoin comme garantie pour emprunter des stablecoins sur des chaînes EVM, mettant fin au bridging, au wrapping et à la garde par des tiers. Ce déploiement est divisé en deux phases. Phase 1 : Utilise des transactions pré-signées pour contraindre le mouvement de BTC ; Phase 2 : Utilise BitVM pour la vérification. II. Informations sur le TokenNom du token : ZEST (Zest Protocol)III. Liens ConnexesSite Web : https://www.zestprotocol.com/Explorateurs : https://bscscan.com/token/0x5506599c722389a60580b5213ea1da60d64754a1Twitter : https://twitter.com/ZestProtocolNote : L'introduction du projet provient des documents publiés ou fournis par l'équipe officielle du projet, qui est à titre de référence uniquement et ne constitue pas un conseil en investissement. HTX ne prend aucune responsabilité pour les pertes directes ou indirectes qui en résultent.

180 vues totalesPublié le 2026.05.19Mis à jour le 2026.06.02

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de A (A) sont présentées ci-dessous.