Hacker đang khai thác thư viện JavaScript để cài đặt trình rút tiền crypto

cointelegraphXuất bản vào 2025-12-15Cập nhật gần nhất vào 2025-12-15

Tóm tắt

Theo báo cáo từ tổ chức an ninh mạng SEAL, các tin tặc đang khai thác lỗ hổng bảo mật CVE-2025-55182 trong thư viện JavaScript React để cài đặt mã độc "crypto drainer" vào các trang web hợp pháp. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực, từ đó chèn các đoạn script đánh cắp tiền điện tử. SEAL cảnh báo sự gia tăng đáng kể các vụ tấn công này và khuyến nghị chủ sở hữu website kiểm tra mã front-end ngay lập tức, đặc biệt khi trang web bị đánh dấu là nguy cơ lừa đảo. Nhóm React đã phát hành bản vá vào ngày 3/12 và khuyến nghị nâng cấp khẩn cấp các gói react-server-dom. Người dùng nên thận trọng khi ký bất kỳ giao dịch nào.

Theo tổ chức an ninh mạng phi lợi nhuận Security Alliance (SEAL), gần đây đã có sự gia tăng các trình rút tiền crypto được tải lên trang web thông qua lỗ hổng trong thư viện JavaScript front-end mã nguồn mở React.

React được sử dụng để xây dựng giao diện người dùng, đặc biệt là trong các ứng dụng web. Đội ngũ React đã tiết lộ vào ngày 3/12 rằng một hacker mũ trắng, Lachlan Davidson, đã tìm thấy một lỗ hổng bảo mật trong phần mềm của họ cho phép thực thi mã từ xa không xác thực, điều này có thể cho phép kẻ tấn công chèn và chạy mã của riêng chúng.

Theo SEAL, các actor xấu đã sử dụng lỗ hổng CVE-2025-55182 để âm thầm thêm mã rút ví vào các trang web crypto.

“Chúng tôi đang quan sát thấy sự gia tăng lớn của các trình rút tiền được tải lên các trang web crypto hợp pháp thông qua khai thác CVE gần đây của React. Tất cả các trang web nên xem tra mã front-end để tìm bất kỳ tài sản đáng ngờ nào NGAY BÂY GIỜ,” SEAL Team cho biết.

“Cuộc tấn công không chỉ nhắm mục tiêu vào các giao thức Web3! Tất cả các trang web đều có nguy cơ. Người dùng nên thận trọng khi ký BẤT KỲ chữ ký ủy quyền nào.”

Các trình rút ví thường lừa người dùng ký vào một giao dịch thông qua các phương pháp như cửa sổ bật lên giả mạo cung cấp phần thưởng hoặc các chiến thuật tương tự.

Các trang web có cảnh báo lừa đảo nên kiểm tra mã

Theo SEAL Team, các trang web bị ảnh hưởng có thể đột nhiên bị đánh dấu là có nguy cơ lừa đảo mà không có giải thích. Họ khuyến nghị các chủ trang web nên thực hiện các biện pháp phòng ngừa để đảm bảo không có trình rút tiền ẩn nào có thể gây rủi ro cho người dùng.

“Quét máy chủ để tìm CVE-2025-55182. Kiểm tra xem mã front-end của bạn có đột nhiên tải tài sản từ các máy chủ mà bạn không nhận ra không. Kiểm tra xem có bất kỳ tập lệnh nào được tải bởi mã front-end của bạn là JavaScript bị làm xáo trộn không. Kiểm tra xem ví có hiển thị đúng người nhận trên yêu cầu ký chữ ký không,” họ nói.

Liên quan: Cuộc tấn công crypto ‘Zoom giả’ của Triều Tiên hiện là mối đe dọa hàng ngày: SEAL

“Nếu dự án của bạn đang bị chặn, đó có thể là lý do. Vui lòng xem xét mã của bạn trước khi yêu cầu gỡ cảnh báo trang lừa đảo,” SEAL Team nói thêm.

React đã phát hành bản sửa lỗi cho lỗ hổng

Đội ngũ React đã công bố bản sửa lỗi cho CVE-2025-55182 vào ngày 3/12 và khuyên bất kỳ ai đang sử dụng react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack, nên nâng cấp ngay lập tức và đóng lỗ hổng.

“Nếu mã React ứng dụng của bạn không sử dụng máy chủ, ứng dụng của bạn không bị ảnh hưởng bởi lỗ hổng này. Nếu ứng dụng của bạn không sử dụng framework, bundler hoặc bundler plugin hỗ trợ React Server Components, ứng dụng của bạn không bị ảnh hưởng bởi lỗ hổng này,” đội ngũ nói thêm.

Tạp chí: Gặp gỡ các thám tử crypto onchain chống tội phạm tốt hơn cả cảnh sát

Câu hỏi Liên quan

QThư viện JavaScript nào đang bị tin tặc khai thác để cài đặt phần mềm đánh cắp tiền mã hóa?

AThư viện React đang bị tin tặc khai thác thông qua lỗ hổng bảo mật CVE-2025-55182 để cài đặt crypto drainer.

QLỗ hổng CVE-2025-55182 trong React cho phép tin tặc thực hiện hành động gì?

ALỗ hổng này cho phép thực thi mã từ xa không xác thực, giúp kẻ tấn công chèn và chạy mã độc của chúng.

QTổ chức an ninh mạng nào đã cảnh báo về sự gia tăng của các vụ tấn công này?

ATổ chức phi lợi nhuận Security Alliance (SEAL) đã đưa ra cảnh báo về sự gia tăng đáng kể của các cuộc tấn công này.

QCác trang web bị ảnh hưởng có thể gặp phải dấu hiệu cảnh báo nào?

ACác trang web có thể đột nhiên bị đánh dấu là có nguy cơ lừa đảo (phishing) mà không có giải thích rõ ràng.

QNhóm React đã làm gì để khắc phục lỗ hổng này?

ANhóm React đã phát hành bản sửa lỗi vào ngày 3 tháng 12 và khuyến nghị người dùng các gói react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack nâng cấp ngay lập tức.

Nội dung Liên quan

Người Sáng Lập Zcash Cho Biết Kiểm Toán AI Của Anthropic Không Phát Hiện Lỗi Nghiêm Trọng Trong Giao Thức

Zcash founder Zooko Wilcox announced that Anthropic's Mythos AI model, at the request of Shielded Labs, conducted a security audit of the Zcash protocol and found no new serious bugs. The result provides a positive security headline for the privacy-focused cryptocurrency amid ongoing regulatory and technical scrutiny. While not a replacement for human review, AI-assisted audits are becoming a valuable tool for analyzing complex codebases. The audit's outcome is significant as privacy protocols require high security standards to maintain user trust. The absence of major findings suggests the core protocol remains robust, though it does not eliminate all risks. This event also highlights the growing trend of integrating AI tools into crypto infrastructure security processes. Observers should watch for further technical details from Shielded Labs or Zcash developers regarding the audit's scope. The story reflects a broader shift in crypto where security, protocol updates, and on-chain data are increasingly central to market narratives, alongside price action.

bitcoinist22 phút trước

Người Sáng Lập Zcash Cho Biết Kiểm Toán AI Của Anthropic Không Phát Hiện Lỗi Nghiêm Trọng Trong Giao Thức

bitcoinist22 phút trước

Bitcoin sẽ lên 400.000 USD? Nhà phân tích sử dụng biểu đồ chồng lấp với Vàng để đưa ra dự báo táo bạo cho năm 2026

Phân tích viên Vivek Sen cho rằng Bitcoin (BTC) có thể đạt 400.000 USD vào năm 2026 dựa trên việc so sánh biểu đồ hiện tại của BTC với cấu trúc phá vỡ đỉnh trong lịch sử của vàng. Tuyên bố này xuất phát từ một phân tích chồng lớp biểu đồ trực quan, không phải từ một mô hình định giá chính thức. So sánh với vàng được đưa ra vì Bitcoin thường được coi là tài sản lưu trữ giá trị kỹ thuật số, và các quỹ ETF Bitcoin đã củng cố thêm nhận định này. Tuy nhiên, bài viết chỉ ra rằng đây không phải là một dự báo chắc chắn. Bitcoin và vàng có quy mô thị trường, tính thanh khoản, mức độ biến động và nhóm nhà đầu tư khác biệt. Giá Bitcoin còn chịu ảnh hưởng mạnh bởi các luồng ETF, vị thế phái sinh và đòn bẩy trong thị trường tiền mã hóa. Để kịch bản 400.000 USD có thể xảy ra, thị trường cần có dòng tiền thể chế ổn định, điều kiện vĩ mô hỗ trợ nhu cầu với tài sản cứng, và một môi trường crypto tăng trưởng rộng rãi. Mục tiêu này chủ yếu nên được xem như một kịch bản lạc quan từ một nhà phân tích mạng xã hội, chứ không phải là dự báo có trọng số xác suất. Nó nhấn mạnh rằng so sánh với vàng cung cấp một khuôn khổ tăng giá, nhưng cần được xác nhận bởi hành động giá và dòng tiền thực tế trên thị trường.

bitcoinist1 giờ trước

Bitcoin sẽ lên 400.000 USD? Nhà phân tích sử dụng biểu đồ chồng lấp với Vàng để đưa ra dự báo táo bạo cho năm 2026

bitcoinist1 giờ trước

Đồng Hồ Halving Bitcoin Chỉ Ra Giai Đoạn Đáy, Nhưng Tín Hiệu Chu Kỳ Cần Thận Trọng

Crypto Rover, một nhà phân tích và người có ảnh hưởng trong không gian tiền điện tử, đã chia sẻ biểu đồ chu kỳ halving của Bitcoin, cho rằng BTC hiện đang ở trong "giai đoạn đáy" điển hình trước khi bước vào một pha tăng giá mạnh. Bài đăng dựa trên so sánh mô hình và nhịp điệu với các chu kỳ trước đó, gợi ý rằng thị trường có thể đang lặp lại lịch sử. Tuy nhiên, tuyên bố này cần được tiếp cận một cách thận trọng. Bài viết được xếp vào dạng bình luận của nhà giao dịch và có tính đầu cơ cao, không phải là tín hiệu xác nhận. Tác giả được đánh dấu là nguồn có rủi ro cao, thường có xu hướng quảng bá lạc quan. Biểu đồ không cung cấp mô hình thống kê, xác nhận on-chain hay mức giá vô hiệu hóa rõ ràng. Hơn nữa, phân tích chu kỳ halving trở nên kém tin cậy hơn khi Bitcoin trưởng thành. Các chu kỳ trước diễn ra trong một thị trường nhỏ, ít thanh khoản hơn, trong khi thị trường hiện tại chịu ảnh hưởng bởi các quỹ ETF spot, dòng tiền phái sinh lớn và các điều kiện vĩ mô. Bài báo kết luận rằng lập luận về "đồng hồ halving" chỉ cung cấp một khuôn khổ tham khảo về thời gian cho phe tăng giá, chứ không phải là tín hiệu giao dịch chắc chắn. Tín hiệu thị trường thực sự sẽ phụ thuộc vào việc Bitcoin có thể giữ vùng hỗ trợ then chốt, hình thành các đáy cao hơn và được hỗ trợ bởi thanh khoản cũng như cấu trúc thị trường rộng hơn. Một sự phục hồi mạnh mẽ sẽ củng cố lập luận này, trong khi một đợt giảm sâu sẽ biến nó thành một dự đoán sai lầm khác.

bitcoinist3 giờ trước

Đồng Hồ Halving Bitcoin Chỉ Ra Giai Đoạn Đáy, Nhưng Tín Hiệu Chu Kỳ Cần Thận Trọng

bitcoinist3 giờ trước

Nhà Giao Dịch Bitcoin Cho Biết Các Đỉnh Và Đáy Chu Kỳ Khớp Chính Xác Số Ngày

Nhà giao dịch Ryan (tài khoản X @DodysDD) đã chia sẻ một lý thuyết gây chú ý, cho rằng chu kỳ giá Bitcoin lặp lại với độ chính xác đáng kinh ngạc về số ngày. Theo đó, các đợt tăng giá (từ đáy chu kỳ đến đỉnh) trong các giai đoạn 2014–2017, 2018–2021 và 2022–2025 đều kéo dài đúng 1.064 ngày. Trong khi đó, các đợt giảm giá (từ đỉnh đến đáy) trong các pha 2017–2018 và 2021–2022 đều kéo dài đúng 364 ngày. Mô hình này hấp dẫn giới giao dịch vì gợi ý một cấu trúc thời gian có thể dự đoán. Tuy nhiên, lập luận này tiềm ẩn rủi ro về việc "chọn lọc dữ liệu" (cherry-picking), vì độ chính xác phụ thuộc vào việc lựa chọn các mốc đỉnh và đáy cụ thể, bỏ qua các điểm đánh dấu chu kỳ khác có thể phá vỡ sự đối xứng. Không có bằng chứng cho thấy Bitcoin vận hành bởi một bộ đếm ngày chính xác, vì thị trường chịu ảnh hưởng bởi nhiều yếu tố phức tạp như sự kiện giảm một nửa phần thưởng (halving), điều kiện vĩ mô và tâm lý nhà đầu tư. Dù vậy, lý thuyết này vẫn thu hút sự chú ý vì các câu chuyện chu kỳ luôn có sức ảnh hưởng trong thị trường tiền mã hóa, cung cấp một khuôn khổ đơn giản để định hình kỳ vọng trong bối cảnh nhiều bất ổn hiện tại. Điều quan trọng là cần tiếp cận những tuyên bố về ngày chính xác với thái độ hoài nghi, xem chúng như một góc nhìn tham khảo về mặt tâm lý thị trường hơn là một dự báo giá đáng tin cậy.

bitcoinist6 giờ trước

Nhà Giao Dịch Bitcoin Cho Biết Các Đỉnh Và Đáy Chu Kỳ Khớp Chính Xác Số Ngày

bitcoinist6 giờ trước

94 tỷ, khoản đầu tư lớn nhất của người máy năm nay đã xuất hiện

Ngành robot hình người vừa chứng kiến khoản đầu tư lớn nhất trong năm khi Neura, công ty robot hình người có trụ sở tại Munich, Đức, hoàn thành vòng gọi vốn Series C với 1.4 tỷ USD (khoảng 94.9 tỷ NDT). Điều đáng chú ý là sự tham gia của các nhà đầu tư chiến lược từ ngành công nghiệp như Schaeffler và Bosch - những tập đoàn linh kiện công nghiệp lâu đời của Đức. Sự tham gia này cho thấy sự chuyển dịch trong logic của lĩnh vực này: từ những màn trình diễn công nghệ sang triển khai thực tế trong nhà máy, và từ câu chuyện vốn đầu tư sang hệ thống thương mại thực sự. Sau vòng gọi vốn, định giá của Neura đạt khoảng 7 tỷ USD, đưa công ty vào nhóm dẫn đầu toàn cầu. Khác với các công ty như Figure AI tập trung vào robot hình người đa năng với câu chuyện về AI thể hiện (embodied AI) được hậu thuẫn bởi OpenAI hay Microsoft, Neura theo đuổi con đường ứng dụng theo ngành dọc trong công nghiệp. Công ty đã có khách hàng thực tế là BMW và sản phẩm của họ đã được kiểm chứng trên dây chuyền sản xuất. Có hai lý do chính cho làn sóng đầu tư mạnh mẽ này. Thứ nhất là sự tiến bộ vượt bậc của các mô hình lớn (AI), phá vỡ giới hạn về khả năng nhận thức và ra quyết định của robot. Thứ hai là áp lực từ phía nhu cầu: tình trạng thiếu hụt lao động và chi phí nhân công ngày càng tăng trên toàn cầu, đặc biệt ở các nền công nghiệp như Nhật Bản, Đức, buộc các nhà sản xuất phải tìm giải pháp thay thế. Mặt trận chính của robot hình người giờ đây không còn là các buổi ra mắt sản phẩm mà là mặt bằng nhà máy. Hai lĩnh vực được kỳ vọng sẽ triển khai quy mô sớm nhất là sản xuất công nghiệp (vì môi trường có cấu trúc, nhiệm vụ lặp lại) và các môi trường làm việc nguy hiểm (hóa chất, hạt nhân). Tuy nhiên, thách thức lớn nhất cho việc triển khai hàng loạt không còn là công nghệ lõi mà là các vấn đề kỹ thuật và thương mại như chi phí thích ứng với từng dây chuyền cụ thể và xây dựng hệ thống bảo trì, dịch vụ địa phương đáng tin cậy. Việc các gã khổng lồ công nghiệp lâu đời bắt đầu "bỏ phiếu" bằng tiền thật cho thấy ngành công nghiệp này đã chuyển từ câu hỏi "Liệu có làm được không?" sang "Làm thế nào để làm tốt hơn, nhanh hơn và ổn định hơn". Đây mới là tín hiệu quan trọng nhất từ khoản đầu tư kỷ lục này.

marsbit11 giờ trước

94 tỷ, khoản đầu tư lớn nhất của người máy năm nay đã xuất hiện

marsbit11 giờ trước

Giao dịch

Giao ngay

Hợp đồng Tương lai

Bài viết Nổi bật

Làm thế nào để Mua BILL

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Billions Network (BILL) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Billions Network (BILL) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Billions Network (BILL) của BạnSau khi mua Billions Network (BILL), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Billions Network (BILL)Giao dịch Billions Network (BILL) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 332Xuất bản vào 2026.05.07Cập nhật vào 2026.06.02

ATWO là gì

I. Giới thiệu Dự ánArena Two là một nền tảng tương tác phi tập trung cho phép người hâm mộ đóng vai trò tích cực, có thể mã hóa trong kết quả sự kiện theo thời gian thực. Khác với các mô hình phát sóng truyền thống khiến người hâm mộ trở thành người xem thụ động, Arena Two tận dụng công nghệ blockchain để cho phép người hâm mộ trực tiếp bỏ phiếu theo thời gian thực và ảnh hưởng đến kết quả trên sân.II. Thông tin TokenTên token: ATWO(Arena Two)III. Liên kết liên quanWebsite：https://arenatwo.com/Explorers：https://basescan.org/token/0x499D35eBE6cEe9B2Ac35Fd003fcBbeeB9CFc7B32Twitter：https://x.com/arenatwoXGhi chú: Giới thiệu dự án đến từ các tài liệu được công bố hoặc cung cấp bởi đội ngũ dự án chính thức, chỉ mang tính tham khảo và không cấu thành lời khuyên đầu tư. HTX không chịu trách nhiệm cho bất kỳ tổn thất trực tiếp hoặc gián tiếp nào phát sinh.

Tổng lượt xem 308Xuất bản vào 2026.05.18Cập nhật vào 2026.06.02

Làm thế nào để Mua ATWO

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Arena Two (ATWO) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Arena Two (ATWO) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Arena Two (ATWO) của BạnSau khi mua Arena Two (ATWO), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Arena Two (ATWO)Giao dịch Arena Two (ATWO) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 182Xuất bản vào 2026.05.18Cập nhật vào 2026.06.02

Thảo luận

Chào mừng đến với Cộng đồng HTX. Tại đây, bạn có thể được thông báo về những phát triển nền tảng mới nhất và có quyền truy cập vào thông tin chuyên sâu về thị trường. Ý kiến của người dùng về giá của A (A) được trình bày dưới đây.