与开源人工智能项目OpenClaw相关的开发者,正日益成为GitHub上复杂钓鱼攻击的目标。诈骗者利用假账户和代币激励,诱导用户连接加密货币钱包,引发了对开源加密项目安全性的担忧。
OX Security的安全研究人员发现了一起针对OpenClaw AI项目开发者的活跃钓鱼行动。
攻击者创建了假GitHub账户,并在恶意仓库中开启问题讨论,标记开发者并声称他们已被选中获得价值5000美元的CLAW代币,诱使受害者点击链接并连接他们的加密钱包。
钓鱼链接引导至一个仿制的OpenClaw网站,设计得与真实网站极为相似。该网站包含“连接你的钱包”提示。
如果有开发者连接了钱包,攻击者就能获取私钥,可能会导致个人资金被盗。除了财务损失外,受损的开发者账户还可能被用来向OpenClaw项目注入恶意代码。
攻击者采用看似可信的社交工程策略,比如在GitHub问题中标记开发者,以及模仿官方通讯,使诱饵看起来合法。
仿制网站支持广泛使用的钱包,如WalletConnect、MetaMask和Trust Wallet。
恶意账户在创建数小时内被删除,目前尚未报告任何确认的资金被盗事件。
尽管手段激烈,但截至目前尚无公开确认的资金被盗报告。研究人员仍在持续监控事态发展。
OX Security建议用户不要在不可信的网站连接钱包,封锁钓鱼域名访问,并对GitHub关于代币赠送的消息保持警惕。
像OpenClaw这样的开源加密项目依赖社区信任。一次成功的攻击可能削弱公众对项目的信心,影响贡献和采用。如果开发者开始担心类似攻击,可能会减缓创新,减少开源贡献,甚至迫使项目采取更严格的审查流程。
立即关注DailyCoin的热门加密新闻:
美联储维持利率不变,加密市场进入“卖新闻”模式
ETH在ETF资金流入和未平仓合约增加的推动下走强
什么是GitHub钓鱼攻击? GitHub钓鱼攻击是一种诈骗行为,攻击者创建假账户或仓库,诱导开发者泄露敏感信息,如加密钱包密钥。
什么是OpenClaw? OpenClaw是一个开源人工智能项目,内部集成了原生加密货币代币$CLAW,用于其生态系统。
为什么目标是开发者而非投资者? 开发者拥有项目代码、部署权限和社区信任。攻破他们可以影响项目的完整性,而不仅仅是个人钱包。
