錢包排幹詐騙以假空投攻擊 Openclaw 社區

針對Openclaw開發者的釣魚攻擊活動正在Github上蔓延，企圖誘使用戶連接加密錢包並暴露資金以被盜取。

加密開發者被警告有基於Github的釣魚攻擊

網絡安全公司OX Security本週報告稱，已識別出該活動，該活動冒充Openclaw生態系統，並使用假Github帳戶直接接觸開發者。

攻擊者在存儲庫中發布問題討論串並標記用戶，聲稱他們已被選中獲得價值5000美元的所謂CLAW代幣。這些訊息引導收件人前往一個設計得與openclaw.ai極為相似的假網站。主要差異在於一個錢包連接提示，一旦批准，便會啟動惡意活動。

根據OX Security的研究人員Moshe Siman Tov Bustan和Nir Zadok的說法，將錢包連接到該網站可能導致資金被盜。該活動依賴社會工程策略，使提議看起來更具針對性。研究人員認為，攻擊者可能針對曾與Openclaw相關存儲庫互動的用戶，增加他們參與的可能性。

技術分析顯示，該釣魚基礎設施包括一個重定向鏈，導向域名token-claw[.]xyz，以及一個由watery-compost[.]today托管的指揮控制伺服器。嵌入JavaScript文件的惡意代碼收集錢包資料，包括地址和交易詳情，並將其傳送給攻擊者。

OX Security還識別出一個與威脅行為者相關的錢包地址，可能用於接收被盜資金。該代碼包含用於追蹤用戶行為和從本地存儲中抹除痕跡的功能，增加了偵測和取證的難度。

儘管目前尚未報告確定的受害者，研究人員警告該活動仍在進行中並不斷演變。用戶被建議避免將加密錢包連接到陌生網站，並對Github上的未經請求的代幣贈送保持警惕。

此外，網絡安全公司Certik在同一天發布了一份專門討論“技能掃描”相關漏洞的報告。該公司評估了一個存在缺陷的概念驗證技能，該漏洞能夠繞過Openclaw系統的沙箱機制。

隨著Openclaw在大眾和加密開發者中獲得巨大關注並積極在平台上構建，這些安全動態尤為重要。

常見問題 🔎

• 什麼是Openclaw釣魚攻擊？

一種針對開發者的詐騙，通過假代幣提議誘使用戶連接加密錢包。

• 攻擊是如何進行的？

用戶被引導到一個克隆網站，連接錢包後會啟動盜取機制。

• 目標是誰？

主要是與Openclaw相關Github存儲庫互動的開發者。

• 用戶如何保持安全？

避免將錢包連接到未知網站，並忽略未經請求的代幣贈送。