OpenClaw这项目最近真够倒霉的。原本是个开源AI代理框架,开发者社区还算活跃,结果接连被加密骗子盯上,这次直接把枪口对准了GitHub上的贡献者。
OX Security昨天发博客爆料,攻击者批量冒充OpenClaw官方,在项目相关的仓库issue区疯狂@开发者。话术简单粗暴:恭喜你被选中,领5000美元的CLAW代币空投。点链接,跳转到一个几乎一模一样的OpenClaw官网克隆页,唯独多出一个醒目的“连接钱包”按钮。支持MetaMask、WalletConnect、Trust Wallet三大主流钱包,只要用户一点确认,恶意合约就能悄无声息地拿到授权,后续直接转走资产。
这种套路在加密圈已经烂大街了,可偏偏对GitHub上活跃的开发者特别有效。很多人平时写代码、提PR,压根没想过自己会成为社会工程学的目标。攻击者精准挑选那些最近fork过或star过OpenClaw仓库的账号,伪造的issue看起来就像项目方内部通知,警惕心瞬间降到最低。
更早之前,OpenClaw就因为名字被蹭热度吃过大亏。1月份有人劫持了项目旧账号,推销一个叫CLAWD的假币,市值一度冲到1600万美元。创始人Peter Steinberger气得直接在Discord全频道禁言任何跟crypto、bitcoin相关的内容,连BTC$69,381(24h -2.85%)这三个字母都不让提。后来他还公开说过,差点一气之下删掉整个代码库,“这些家伙不光会骚扰,还特别擅长用脚本批量操作”。
现在轮到GitHub成为主战场,说明骗子已经把触角伸向开发者最集中的地方。OX Security直言,这波攻击是典型的社会工程+钱包连接诈骗组合拳。页面代码几乎照搬正版网站,连UI细节都高度还原,唯一区别就是多了那个要命的连接提示。一旦授权通过,攻击者就能批量收割。考虑到OpenClaw最近热度上升,参与开发者数量增加,潜在受害面其实不小。
加密项目被冒名搞诈骗早就不是新闻,可OpenClaw这事特别扎心。项目本身跟代币发行没半毛钱关系,却因为名字好记、概念新潮,一而再再而三被拖进泥潭。创始人从删库威胁到Discord一刀切禁crypto话题,态度已经很明确:我们就是做AI工具的,别来沾边。
可惜骗子根本不care你想不想沾边。GitHub这种公开协作平台,天生就是信息传播的沃土,issue、comment、tag一提,目标开发者立刻收到通知。加上空投金额直接写5000美元,数字具体又诱人,大部分人第一反应不是怀疑,而是赶紧看看自己有没有这个福利。
安全公司反复提醒,任何要求连接钱包的链接都得先三思,尤其是打着项目方旗号的所谓奖励。最好直接去官方渠道核实,别点来路不明的issue链接。可现实是,开发者日均刷几十个通知,哪有精力逐一验证。
这事也给所有开源项目提了个醒。名字取得太潮、概念太前沿,有时候反而容易成为靶子。OpenClaw的遭遇说明,即便你明着跟加密划清界限,骗子照样能借你的名头下手。Peter Steinberger估计现在最想干的事,就是把“Claw”两个字从项目名里抠掉,可惜已经晚了。
圈内人看热闹,开发者看门道。这波GitHub钓鱼提醒大家,代码写得再牛,钱包私钥一泄,瞬间归零。加密诈骗从来不挑对象,盯上的都是下一个粗心的人。