Протокол: Помилка, яка може вивести з ладу всі ваші токени, впливає на «тисячі» сайтів

Ласкаво просимо до The Protocol, щотижневого огляду CoinDesk найважливіших подій у сфері розвитку криптовалютних технологій. Мене звати Марго Нейкерк, я — репортер CoinDesk.

У цьому випуску:

• Новий баг у React, який може вивести з ладу всі ваші токени, впливає на «тисячі» вебсайтів
• Ripple розширює стаблкоїн RLUSD на $1,3 млрд на Ethereum L2 через Wormhole у рамках мультичейн-прориву
• Aave DAO виступає проти зміни зборів за інтерфейс, що відійдуть від казначейства
• NFT-проєкт Pudgy Penguins захоплює Las Vegas Sphere у святковій кампанії

Новини мережі

ПОМИЛКА, ЩО МОЖЕ СПРАВИТИ ВІДТІК КОШТІВ ІЗ ГАМАНЦЯ, ВПЛИВАЄ НА ТИСЯЧІ ВЕБ-САЙТІВ: A критична вразливість у React Server Components активно експлуатується кількома групами загроз, ставлячи під негайний ризик тисячі вебсайтів — включаючи криптоплатформи, де користувачі можуть зазнати повного зливу своїх активів у разі ураження. Уразливість, відслідковувана під номером CVE-2025-55182 та відома під назвою React2Shell, дозволяє зловмисникам виконувати код дистанційно на уражених серверах без аутентифікації. Обслуговуючі розробники React розкрили цю проблему 3 грудня та присвоїли їй найвищий можливий рівень серйозності. Незабаром після розкриття, GTIG зафіксувала широкомасштабне використання вразливості як фінансово мотивованими злочинцями, так і підозрюваними групами хакерів, які, ймовірно, підтримуються державою, що атакували непатчені додатки React та Next.js у хмарних середовищах. React Server Components використовуються для запуску частин веб-додатку безпосередньо на сервері, а не у браузері користувача. Вразливість виникає через спосіб, яким React декодує вхідні запити до цих серверних функцій. Простіше кажучи, зловмисники можуть надіслати спеціально сформований веб-запит, який обманює сервер, змушуючи його виконувати довільні команди або фактично передавати контроль над системою зловмиснику. Помилка впливає на версії React із 19.0 по 19.2.0 включно, зокрема на пакети, які використовуються популярними фреймворками, такими як Next.js. Сам факт наявності вразливих пакетів часто достатній для можливості експлуатації.— Шаурья Малва Читати далі.

RIPPLE ПРИХОДИТЬ НА ETH L2S: Ripple, компанія, що спеціалізується на блокчейні для платежів і тісно пов’язана з XRP Ledger (XRP), переносить свій стабільний токен, забезпечений доларом США, на блокчейни Ethereum другого рівня (L2), зокрема Optimism, Base від Coinbase, Ink від Kraken та Unichain від Uniswap, прагнучи глибше інтегрувати токен вартістю 1,3 мільярда доларів у мультичейн-екосистему. Компанія повідомила, що розпочинає з тестової фази перед ширшим запуском, який очікується наступного року за умови схвалення регуляторами – Департаментом фінансових послуг штату Нью-Йорк (NYDFS). Пілотний проєкт інтегрує стандарт Wormhole Native Token Transfers (NTT), що дозволяє RLUSD переміщатися нативно між ланцюгами без обгортання чи синтетичних активів. Це сприяє збереженню ліквідності та регуляторного контролю, водночас підтримуючи низку випадків використання децентралізованих фінансів (DeFi) у мережах, оптимізованих для швидкості та зниження витрат. Стабільні монети швидко зростають як ключовий елемент цифрової фінансової інфраструктури, що з’єднує традиційні фінанси та криптоекономіку. Вони становлять клас криптовалют обсягом 300 мільярдів доларів, з цінами, прив’язаними до фіатних валют, таких як долар США. — Крістіан Шандор Читати більше.

ДИСКУСІЯ ЩОДО ІНТЕРФЕЙСУ ПРОТОКОЛУ AAVE ПОСИЛЮЄТЬСЯ: Дебати всередині DAO Aave викликають питання щодо того, хто контролює інтерфейс протоколу та хто отримує фінансову вигоду від нього. Це питання виникло після того, як Aave Labs інтегрувала агрегатор децентралізованої біржі CoWSwap в інтерфейс app.aave.com раніше цього місяця, замінивши попередній маршрутизатор Paraswap, який використовувався для обміну забезпечення. Хоча ця зміна була представлена як покращення користувацького досвіду, що забезпечує кращу реалізацію та захист від MEV, делегати пізніше зазначили, що комісії, пов’язані з обміном, більше не надходять до казначейства Aave DAO. An відкритий лист представник Orbit EzR3aL аргументував, що інтеграція впровадила фронтенд-збори приблизно у розмірі 15–25 базисних пунктів, які надходять зовнішньому отримувачу, а не DAO. Дані з блокчейну, наведені в публікації, показали щотижневі розподіли ефіру, пов’язані з механізмом партнерських зборів CoWSwap на кількох мережах, що потенційно може сягати мільйонів доларів щорічно. Цей надлишок згодом знизився внаслідок переходу маршрутизації на модель пакетних аукціонів CoWSwap, яка віддає пріоритет впевненості виконання над покращенням ціни. Однак у центрі дискусії лежить розрізнення, яке, за словами Aave Labs, завжди існувало: протокол проти продукту. У відповідь на форумі, Aave Labs повідомила, що інтерфейс управляється, фінансується та підтримується незалежно від протоколу, яким керує DAO. За цією моделлю DAO контролює он-чейн параметри, процентні ставки та комісії на рівні протоколу, тоді як Labs зберігає дискреційні повноваження щодо необов’язкових функцій рівня додатку, таких як маршрутизація обміну та монетизація інтерфейсу. «Будь-яка монетизація застосовується лише до допоміжних функцій», — написали в Aave Labs, стверджуючи, що таке розділення зберігає нейтральність протоколу та уникає централізації економічного контролю на базовому рівні. Однак критики стверджують, що практична реальність була іншою. Марк Целлер з Ініціативи Aave Chan (ACI) зазначив, що існувало тривале очікування того, що монетизація, пов’язана з фронтендом aave.com — включно з надлишком від обміну і виконанням з підтримкою flash-loan — має приносити користь DAO, особливо враховуючи, що бренд, легітимність управління та значна частина базової розробки фінансувалися токенхолдерами. — Шауря Малва Читати далі.

PUDGY PENGUINS ЗАХОПЛЮЮТЬ ВЕГАС: Колись успішний проєкт невзаємозамінних токенів (NFT) під час криптовалютного буму 2021 року, Pudgy Penguins звертається до реальної видимості з високопрофільним розміщенням реклами на арені Las Vegas Sphere під час різдвяного тижня. Лише небагато брендів, пов’язаних із криптовалютою, змогли забезпечити рекламний простір на Sphere, величезній арені, вкритій світлодіодами, відомій своїми захоплюючими дисплеями та виступами таких виконавців, як U2 та Eagles. A активація з фокусом на біткойн відбувся в липні, але інші приклади були рідкісними. Реклама Pudgy Penguins транслюватиметься кілька днів, починаючи з 24 грудня, і включатиме кілька анімованих сегментів, за словами особи, знайомої з угодою. Бренд витратив близько 500 000 доларів на розміщення — типова сума для показу на Sphere. «Це свого роду демонструє, що криптопроєкт може перевершити рамки криптовалют, торкнутися сердець і розумів звичайних споживачів», — сказав CoinDesk Ведант Мангалдас, керівник стратегії та бренду в Pudgy Penguins. Він зазначив, що угода стала можливою завдяки тому, що за проєктом стоє «реальний бізнес». – Гелен Браун Читати більше.

У інших новинах

• Securitize запропонує те, що вона називає першою повністю відповідною нормативним вимогам платформою для ончейн торгівлі справжніми публічними акціями на початку 2026 року, розмиваючи межі між традиційними ринками та інфраструктурою Web3. Система компанії дозволяє інвесторам безпосередньо володіти токенізованими акціями публічних компаній, які випускаються та реєструються ончейн, а також торгувати ними через інтерфейс на основі блокчейну, за повідомленням. На відміну від синтетичних моделей токенів, які відслідковують ціни акцій через офшорні структури або деривативи, підхід Securitize пропонує повну юридичну власність. Кожна акція випускається безпосередньо компанією і фіксується в її офіційній капіталізації, повідомила компанія. «Це не синтетичний трекер цін або розписка проти кастодіана», — йдеться в оголошенні Securitize. «Це реальні, регульовані акції: випущені в мережі, записані безпосередньо у капіталізації емітента і торговані через знайомий досвід Web3 у стилі обміну». Це означає, що власники токенів отримують реальні права акціонерів, включно з дивідендами та правом голосу, а їхні активи знаходяться під самоконтролем, без посередників, які могли б повторно використовувати акції поза увагою. Водночас активи є дозволеними і можуть передаватися лише між комплаєнтними, доданими до білого списку гаманцями. — Франческо Родрігес Читати далі.
• Гігант кредитних карток Visa (V) запускає розрахунки у USDC у Сполучених Штатах, дозволяючи емітентам та еквайєрам розраховуватися за зобов’язаннями перед картою мережі в стейблкоїні Circle, прив’язаному до долара. Цей крок позначає американський етап програми розрахунків стейблкоїнами, яка досягла річного обсягу в 3,5 мільярда доларів станом на 30 листопада, згідно з пресрелізом Visa. Нова опція покликана надати банкам і фінтех-компаніям майже миттєвий рух коштів, розрахунки сім днів на тиждень та більш передбачувану ліквідність під час вихідних і свят, при цьому зберігаючи незмінний досвід користування карткою для споживачів. — Чи буде Canny Читати далі.

Регулювання та політика

• Сенатор США Елізабет Воррен має попросив провести ще одне розслідування національної безпеки США у куточок криптосектору, зазначаючи занепокоєння щодо PancakeSwap, децентралізованої біржі, яку вона відзначила як таку, що намагається підвищити популярність монет, випущених пов’язаною з президентом Дональдом Трампом компанією World Liberty Financial Inc. Вона сказала біржа, який працює на кількох блокчейнах і є основним протоколом на ланцюзі Binance, повинен бути перевірений на предмет можливого зв’язку з «будь-яким неналежним політичним впливом адміністрації Трампа на рішення щодо правозастосування», — заявила Уоррен у листі в понеділок міністру фінансів Скотту Бессенту та генеральному прокурору Пем Бонді, просячи їх розслідувати це, повторюючи схожий запит, у якому вона брала участь минулого місяця щодо WLFI. «Під час розгляду Конгресом законодавства про структуру крипторинку — включно з правилами, які мають запобігти використанню децентралізованих фінансів (DeFi) терористами, злочинцями та державами-ізгоями для фінансування своїх дій — надзвичайно важливо зрозуміти, чи ви серйозно досліджуєте ці ризики», — написала Воррен, яка є провідним демократом у Сенатському комітеті з банківської діяльності, що має підготувати законопроєкт і затвердити його до того, як ширший Сенат зможе проводити голосування. — Джессі Гамільтон Читати далі.
• Федеральна корпорація зі страхування депозитів США запровадила перша офіційна пропозиція правил що виникають у зв’язку з новим законом, який регулює емітентів стейблкоїнів, при цьому рада проголосувала за відкриття 60-денного періоду громадського обговорення своєї системи розгляду заявок від регульованих банків, які прагнуть випускати стейблкоїни через дочірні компанії. Агентство — під керівництвом виконувача обов’язків Голови Тревіса Гілла, який також є кандидатом Президента Дональда Трампа на пост постійного голови — збирає коментарі та переглядає їх перед тим, як випустити остаточне рішення. Вівторок пропозиція, схвалений усіма трьома членами неповного складу ради, встановлював би процедури прийому заявок, їх розгляд у межах 120-денного терміну затвердження та надання процедури апеляції для відхилених. «Згідно з пропозицією, FDIC прийме спеціалізований процес подання заявок, який дозволить FDIC оцінити безпеку та надійність запропонованої діяльності заявника на основі законодавчих чинників, водночас мінімізуючи регуляторне навантаження на заявників,» заявив Гілл, чия номінація може бути підтверджена Сенатом вже цього тижня. Закон про керівництво та встановлення національних інновацій для стабількоїнів США (GENIUS Act) став першим значним криптовалютним законом, ухваленим Конгресом, і встановив складну систему регуляторів для компаній, які бажають випускати стабількоїни — токени, прив’язані до долара, що є життєво важливими для транзакцій у секторі цифрових активів. Для застрахованих депозитарних установ цим регулятором виступає FDIC. — Джессі Гамільтон Читати далі.

Календар

• 10-12 лютого 2026 року: Консенсус, Гонконг
• 17-21 лютого 2026 року: EthDenver, Денвер
• 30 березня – 2 квітня 2026 року: EthCC, Канни
• 15-16 квітня 2026 року: Paris Blockchain Week, Париж
• 5-7 травня 2026 року: Консенсус, Маямі