Pembangun OpenClaw di GitHub, sebuah platform untuk kolaborasi dan kawalan versi, sedang menjadi sasaran dalam kempen penipuan menggunakan hadiah token palsu untuk menarik mangsa supaya menyambungkan dompet kripto yang kemudian boleh dikosongkan.
Penyerang mencipta akaun GitHub palsu dan menandakan pembangun dalam thread isu, mengklaim mereka telah dipilih untuk menerima CLAW bernilai kira-kira $5,000, kata syarikat keselamatan siber berpusat di Tel Aviv, OX Security, dalam posting blog pada hari Rabu.
Post penyerang menghubungkan kepada salinan laman web OpenClaw yang hampir serupa, tetapi dengan tambahan utama: permintaan untuk menyambungkan dompet kripto. Apabila sebuah dompet disambungkan, kod jahat boleh memicu transaksi atau persetujuan yang membolehkan penyerang mengambil dana. Laman phishing ini menyokong dompet utama termasuk MetaMask, WalletConnect dan Trust Wallet, memperluaskan kesan berpotensi, kata OX.
Kempen ini menonjolkan vektor serangan yang semakin biasa dalam kripto: rekabentuk sosial yang dipadukan dengan permintaan sambungan dompet, seringkali disamarkan sebagai penghantaran airdrop atau ganjaran pembangun. Dengan menargetkan pengguna GitHub yang berinteraksi dengan repositori yang berkaitan dengan OpenClaw, penyerang membuat pendekatan itu kelihatan lebih kredibel.
OpenClaw ialah kerangka agen AI sumber terbuka dan alat pembangun yang baru-baru ini menarik perhatian dan kontroversi berikutan penipuan berkaitan kripto yang mengeksploitasi namanya.
Peter Steinberger, pendiri OpenClaw, berkata bulan lalu beliau hampir menghapus keseluruhan kod kerana kripto. "Saya tidak tahu bahawa mereka bukan sahaja mahir dalam mengganggu, tetapi juga sangat mahir dalam menggunakan skrip dan alat."
Pernyataannya menyusul larangan menyeluruh yang dikenakannya terhadap sebarang penyebutan crypto, termasuk bitcoin BTC$69,216.55, di Discord projek itu selepas penipu pada Januari merompak akaun lama OpenClaw. Perompak itu menggalakkan token palsu CLAWD yang sempat mencapai kapitalisasi pasaran $16 juta sebelum runtuh selepas Steinberger menafikan sebarang keterlibatan secara awam.
