O diretor de segurança da informação da Slow Mist Tech, 23pds, emitiu um aviso público alertando que, devido ao ClawHub depender do login com um clique via GitHub, os certificados de desenvolvedor roubados por vírus worms podem ser utilizados para se passar por desenvolvedores e publicar Skills maliciosos, realizando ataques na cadeia de suprimentos. Ao mesmo tempo, o GoPlus realizou uma varredura completa de segurança nas 100 Skills mais baixadas do ClawHub, mostrando que 21% apresentam alto risco e 17% requerem advertência.
Análise completa do caminho de ataque: da credencial do GitHub à invasão do sistema
A Slow Mist detalhou claramente nesta publicação toda a rota potencial de ataque, ajudando desenvolvedores e usuários a entenderem o mecanismo real da ameaça:
Roubo de credenciais: vírus worms como Sha1-Hulud ou ataques de phishing roubam as credenciais de login do GitHub dos desenvolvedores.
Obtenção de permissões no GitHub: o atacante usa as credenciais roubadas para acessar a conta do GitHub da vítima.
Fingir ser o desenvolvedor ao entrar no ClawHub: como o ClawHub usa autorização com um clique via GitHub, o atacante pode acessar a plataforma como um desenvolvedor legítimo.
Publicar Skills maliciosos: sob o nome do desenvolvedor comprometido, publica Skills maliciosos com backdoor, difíceis de distinguir de Skills legítimos.
Instalação e execução pelo usuário: usuários sem conhecimento baixam e executam esses Skills, ativando códigos maliciosos.
Invasão do sistema: o atacante obtém acesso ao dispositivo do usuário, podendo causar roubo de dados, controle remoto e outros danos graves.
A periculosidade dessa cadeia de ataque reside na alta furtividade de cada etapa, tornando quase impossível para o usuário identificar visualmente se um Skill foi adulterado maliciosamente.
Resultados do escaneamento do GoPlus: distribuição de segurança entre as 100 principais Skills
Em 12 de março, o GoPlus publicou um relatório de varredura de segurança nas 100 Skills mais baixadas do ClawHub, fornecendo dados mais sistemáticos de risco:
21% bloqueados: essas Skills apresentam operações de alto risco, incluindo penetração de rede direta, chamadas a APIs sensíveis e envio automático de mensagens.
17% com advertência: apresentam riscos potenciais, recomendando cautela na execução por usuários preocupados com segurança.
62% aprovadas: as Skills restantes não apresentaram problemas evidentes na análise atual.
O GoPlus recomenda que, para Skills com operações de alto risco, seja obrigatória a implementação de um mecanismo de “Humano no Loop (HITL)”, permitindo que a revisão manual intervenha antes da execução de operações críticas, e não apenas como medida corretiva posterior.
Controvérsia do SkillHub da Tencent: coleta em larga escala levanta questões de direitos autorais e suporte
Enquanto o alerta de segurança aumenta, o ecossistema do ClawHub também gerou outra discussão devido às ações da Tencent. A Tencent lançou uma comunidade SkillHub baseada na ecologia de código aberto oficial do OpenClaw, posicionada como uma plataforma de distribuição de Skills local para desenvolvedores na China. No entanto, Peter Steinberger, fundador do OpenClaw, criticou a iniciativa após tomar conhecimento, afirmando ter recebido e-mails de reclamação alegando que a Tencent coletou todos os Skills do ClawHub e os integrou à sua plataforma, com uma velocidade tão rápida que acionou os limites de taxa oficiais. Steinberger afirmou: “Eles copiaram, mas não apoiaram esse projeto.”
A Tencent respondeu explicando que o SkillHub opera como um espelho, com a origem original marcada como ClawHub, e que o objetivo da plataforma é fornecer uma experiência de acesso mais estável e rápida para os usuários na China. Nos primeiros sete dias de operação, a plataforma processou cerca de 180 GB de tráfego de downloads (870 mil downloads), mas os dados realmente obtidos da fonte oficial foram aproximadamente 1 GB. A Tencent também destacou que vários membros de sua equipe contribuíram com código para os projetos de código aberto relacionados, apoiando o desenvolvimento do ecossistema.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A Kamino suspende interações com ativos relacionados com a LayerZero e encerra as funções de depósito e de empréstimo
A Kamino suspendeu temporariamente as interações com tokens relacionados com a LayerZero por precaução, mantendo, no entanto, os levantamentos e os pagamentos de dívidas. Salientam que esta medida serve para gestão de risco e que os fundos dos utilizadores estão seguros.
GateNews3h atrás
Kelp DAO sofre ataque informático de 292 milhões de dólares: ataque com mensagens falsificadas ao ponte cross-chain da LayerZero, o maior evento DeFi de 2026
O Kelp DAO foi pirateado a 19 de abril; o atacante forjou mensagens através da ponte de cadeias cruzadas LayerZero, libertando 116.500 rsETH, com um prejuízo de cerca de 292 milhões de dólares, tornando-se no maior evento DeFi de 2026. Este acontecimento realça as vulnerabilidades de segurança das pontes de cadeias cruzadas, levando a uma forte reação do mercado; os protocolos relacionados também congelaram urgentemente os activos, enfrentando o risco de liquidações adicionais.
ChainNewsAbmedia5h atrás
Ponte Cross-Chain da Kelp DAO Exploradas, 116.500 rsETH no Valor de $292M Roubados
A ponte cross-chain da Kelp DAO foi explorada, resultando no roubo de rsETH no valor de 116.500, cerca de $292 milhões, o maior ataque DeFi de 2026. Vários protocolos adotaram medidas de protecção, e a Kelp DAO está a investigar o incidente com especialistas.
GateNews5h atrás
O token de staking líquido da KelpDAO enfrenta mais de $100M explorações
Mensagem do Gate News, de acordo com dados on-chain, o token de staking líquido da KelpDAO foi explorado por mais de $100 milhões. O incidente envolve a infraestrutura do token de staking líquido da KelpDAO.
GateNews11h atrás
A Chainalysis detalha a exposição da “economia cripto das sombras” à medida que a Grinex suspende as operações
O encerramento do Grinex está a intensificar o escrutínio sobre as tácticas de branqueamento de criptomoedas, uma vez que os movimentos de fundos sugerem um comportamento incompatível com acções de execução típicas. A análise da Chainalysis destaca padrões que levantam questões sobre se a actividade se alinha com um hack externo convencional ou
Coinpedia13h atrás
A Rhea Finance sofre um ataque da Oracle e perde 18,4 milhões de dólares: ZachXBT alerta, a Tether congela 4,34 milhões de USDT, o atacante devolve parte dos fundos
A Rhea Finance sofreu um ataque de manipulação de oráculos na NEAR Protocol, com perdas de 18,4 milhões de dólares, duas vezes superiores à estimativa inicial. O atacante manipulou as cotações de um token falso, provocando uma avaliação incorrecta do colateral. A Tether congelou 4,34 milhões de USDT; o atacante devolveu cerca de 3,5 milhões de dólares. Até agora, foram recuperados mais de 7,8 milhões de dólares, destacando a importância da segurança dos oráculos.
ChainNewsAbmedia21h atrás
