夜雨聆风近两天,一场精心策划的钓鱼活动正在 GitHub 上肆虐,目标直指 OpenClaw 的开发者。诈骗者通过提供虚假的“$5,000 CLAW 代币”空投,诱导开发者访问克隆网站,从而洗劫他们的加密货币钱包。
⚠️ 骗局是如何运作的?
根据 The Block 和 CoinDesk 的报道,这次攻击的手法非常狡猾,借用了以往常见代币骗局的套路,并进行了针对性升级:
·精准锁定目标: 攻击者利用 OpenClaw 庞大的公开数据(该仓库拥有超过 24.7 万个 Star),抓取了所有与该仓库互动过(Star、Fork 或贡献代码)的开发者信息,并交叉比对寻找邮箱和钱包地址。
·绕过垃圾邮件拦截: 诈骗者不在邮件里撒网,而是直接在 OpenClaw 相关仓库的 Issue 或评论中@ 开发者。这些通知会直接进入他的 GitHub 收件箱,完美绕过常规的邮件安全审查。
·极具迷惑性的克隆网站: 通知内的链接会跳转到一个视觉上高度还原 OpenClaw 官方品牌的钓鱼网站,足以在粗略浏览时以假乱真。
·致命的“授权”陷阱: 网站会利用“限时空投”的紧迫感,催促受害者连接加密钱包来“领取”代币。一旦授权连接,钱包内的资产就会被瞬间抽干。
🛑 官方澄清:CLAW 代币根本不存在!
OpenClaw 创始人 Peter Steinberger 已出面紧急澄清:“如果收到声称与OpenClaw相关的加密邮件,永远是诈骗。我们绝不会这么做。项目是开源、非商业的。请使用官网,警惕任何试图在其上建商业包装的人。”
其实早在今年1月27日,他便声明过:永不发币。
由于 AI 代理社区与 Web3 开发者社区高度重合,这个骗局显得格外逼真。但请记住,推出代币与该项目的一贯方向以及创始人屡次公开反对加密货币捆绑的立场完全相悖。
🛡️ 开发者自救与防范指南
当开源项目爆火时,诈骗黑产往往紧随其后。如果你已经收到了相关通知或进行了操作,请立即采取以下措施:
1.切勿点击任何声称提供 OpenClaw 或 CLAW 代币空投的链接。
2.如果您已经在钓鱼网站上连接了钱包,请立即使用 Revoke.cash 等工具撤销所有相关授权。
3.密切监控您的钱包,防范任何未经授权的交易。
