針對Openclaw開發者的釣魚攻擊活動正在Github上蔓延,企圖誘使用戶連接加密錢包並暴露資金以被盜取。
加密開發者被警告有基於Github的釣魚攻擊
網絡安全公司OX Security本週報告稱,已識別出該活動,該活動冒充Openclaw生態系統,並使用假Github帳戶直接接觸開發者。
攻擊者在存儲庫中發布問題討論串並標記用戶,聲稱他們已被選中獲得價值5000美元的所謂CLAW代幣。這些訊息引導收件人前往一個設計得與openclaw.ai極為相似的假網站。主要差異在於一個錢包連接提示,一旦批准,便會啟動惡意活動。
根據OX Security的研究人員Moshe Siman Tov Bustan和Nir Zadok的說法,將錢包連接到該網站可能導致資金被盜。該活動依賴社會工程策略,使提議看起來更具針對性。研究人員認為,攻擊者可能針對曾與Openclaw相關存儲庫互動的用戶,增加他們參與的可能性。
技術分析顯示,該釣魚基礎設施包括一個重定向鏈,導向域名token-claw[.]xyz,以及一個由watery-compost[.]today托管的指揮控制伺服器。嵌入JavaScript文件的惡意代碼收集錢包資料,包括地址和交易詳情,並將其傳送給攻擊者。
OX Security還識別出一個與威脅行為者相關的錢包地址,可能用於接收被盜資金。該代碼包含用於追蹤用戶行為和從本地存儲中抹除痕跡的功能,增加了偵測和取證的難度。
儘管目前尚未報告確定的受害者,研究人員警告該活動仍在進行中並不斷演變。用戶被建議避免將加密錢包連接到陌生網站,並對Github上的未經請求的代幣贈送保持警惕。
此外,網絡安全公司Certik在同一天發布了一份專門討論“技能掃描”相關漏洞的報告。該公司評估了一個存在缺陷的概念驗證技能,該漏洞能夠繞過Openclaw系統的沙箱機制。
隨著Openclaw在大眾和加密開發者中獲得巨大關注並積極在平台上構建,這些安全動態尤為重要。
常見問題 🔎
一種針對開發者的詐騙,通過假代幣提議誘使用戶連接加密錢包。
用戶被引導到一個克隆網站,連接錢包後會啟動盜取機制。
主要是與Openclaw相關Github存儲庫互動的開發者。
避免將錢包連接到未知網站,並忽略未經請求的代幣贈送。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Ice Open Network 遭遇資料外洩;使用者電子郵件與 2FA 電話號碼遭曝光
Ice Open Network 在 4 月 15 日通報遭遇安全漏洞,揭露未經授權存取使用者資料,包含電子郵件地址與 2FA 電話號碼,但未受影響的是財務資料。該事件與某服務供應商的前合作夥伴有關,正進入法律審查,並建議使用者更新安全設定。此次漏洞凸顯加密領域的安全問題日益升級,近幾個月亦傳出重大損失。
GateNews2小時前
俄羅斯加密貨幣交易所 Grinex 因 $13M 駭客攻擊而中止營運,威脅規避制裁網絡
俄羅斯加密貨幣交易所 Grinex 在一次網路攻擊造成損失超過 $13 百萬美元後停止營運。此次關閉影響俄羅斯企業將盧布進行國際兌換的能力,並對該國的地下金融系統構成挑戰。
GateNews4小時前
歸因於 Lazarus Group 的 Kelp DAO 竊盜;eth.limo 透過社交工程遭網域劫持
LayerZero 報告稱,Kelp DAO 被駭事件(歸因於北韓的 Lazarus Group)因其去中心化驗證器網路中的漏洞,導致損失 $292 百萬 rsETH 代幣。此外,eth.limo 也遭受來自社交工程攻擊的網域劫持,但 DNSSEC 緩解了嚴重損害。
GateNews9小時前
DeFi 駭客事件引發 $9 十億規模資金從 Aave 外流:被盜代幣遭用作抵押
近期一起駭客攻擊從一個加密項目中竊走近 $300 百萬,導致 Aave 出現流動性危機,進而使用戶撤出約 $9 十億資金。對抵押品品質的疑慮促使大量提款,凸顯了 DeFi 借貸中的風險。
GateNews9小時前
以太坊釣魚攻擊奪走 $585K 四位使用者的資金,單一受害者損失 $221K WBTC
協調一致的以太坊釣魚攻擊從四名受害者手中竊走了 $585,000,透過欺騙性連結來利用使用者權限。此事件凸顯了即使在看似具正當性的外衣下,透過社交工程仍可能使資金在短時間內迅速流失。
GateNews11小時前
