Các nhà phát triển liên quan đến OpenClaw, một dự án AI mã nguồn mở, ngày càng trở thành mục tiêu trong các cuộc tấn công lừa đảo phishing tinh vi trên GitHub. Các kẻ lừa đảo đã sử dụng tài khoản giả mạo và phần thưởng token để dụ người dùng kết nối ví tiền điện tử, gây lo ngại về an ninh trong các dự án crypto mã nguồn mở.
Mồi nhử và cách thực hiện lừa đảo
Các nhà nghiên cứu an ninh tại OX Security đã phát hiện một hoạt động phishing đang diễn ra nhằm vào các nhà phát triển liên quan đến dự án AI OpenClaw.
Kẻ tấn công tạo các tài khoản GitHub giả mạo và mở các chủ đề trong các kho lưu trữ độc hại, gắn thẻ các nhà phát triển với tin nhắn cho biết họ đã được chọn để nhận 5.000 đô la trị giá token CLAW, lừa người nhận truy cập liên kết và kết nối ví tiền điện tử của họ.
Cách thức hoạt động của lừa đảo
Liên kết phishing dẫn đến một phiên bản sao chép của trang web OpenClaw, được thiết kế để trông giống thật. Trang này có phần “Kết nối ví của bạn”.
Chỉ cần một nhà phát triển kết nối ví, kẻ tấn công có thể truy cập vào khóa riêng, có khả năng rút hết tiền cá nhân. Ngoài thiệt hại tài chính, các tài khoản nhà phát triển bị xâm phạm còn có thể bị lợi dụng để chèn mã độc vào chính dự án OpenClaw.
Kẻ tấn công sử dụng các chiến thuật xã hội engineering có vẻ đáng tin cậy, như gắn thẻ các nhà phát triển trong các vấn đề của GitHub và bắt chước các thông báo chính thức, để làm cho mồi nhử trông hợp lệ.
Trang sao chép hỗ trợ các ví phổ biến như WalletConnect, MetaMask và Trust Wallet.
Phản ứng và các biện pháp phòng ngừa
Các tài khoản độc hại đã bị xóa trong vòng vài giờ sau khi tạo, và chưa có báo cáo nào về việc bị trộm cắp xác nhận.
Dù các chiến thuật tấn công khá quyết liệt, hiện chưa có báo cáo công khai nào về việc bị mất tiền từ chiến dịch này. Các nhà nghiên cứu vẫn tiếp tục theo dõi tình hình.
OX Security khuyên người dùng không kết nối ví với các trang web không đáng tin cậy, chặn truy cập vào tên miền phishing, và cảnh giác với các tin nhắn trên GitHub về các chương trình tặng token.
Tại sao điều này quan trọng
OpenClaw, giống như nhiều dự án crypto mã nguồn mở khác, dựa vào sự tin tưởng của cộng đồng. Một cuộc tấn công thành công có thể làm giảm niềm tin vào dự án, làm chậm sự đóng góp và sự chấp nhận. Nếu các nhà phát triển bắt đầu lo sợ các cuộc tấn công như vậy, điều này có thể làm chậm đổi mới, giảm đóng góp mã nguồn mở hoặc buộc các dự án phải áp dụng các quy trình kiểm tra chặt chẽ hơn.
Khám phá các tin tức crypto nổi bật hàng ngày của DailyCoin ngay bây giờ:
Fed giữ lãi suất ổn định, Thị trường Crypto trong chế độ “bán tin tức”
ETH tăng mạnh nhờ dòng tiền ETF và mở lệnh tăng mở
Mọi người cũng hỏi:
Phishing trên GitHub là gì? Phishing trên GitHub là một hình thức lừa đảo, trong đó kẻ tấn công tạo các tài khoản hoặc kho lưu trữ giả mạo để lừa các nhà phát triển tiết lộ thông tin nhạy cảm, như khóa ví tiền điện tử.
OpenClaw là gì? OpenClaw là một dự án AI mã nguồn mở, còn tích hợp token tiền tệ gốc, $CLAW, được sử dụng trong hệ sinh thái của nó.
Tại sao các nhà phát triển lại bị nhắm đến thay vì nhà đầu tư? Các nhà phát triển có quyền truy cập vào mã dự án, quyền triển khai và sự tin tưởng của cộng đồng. Việc xâm phạm họ có thể ảnh hưởng đến tính toàn vẹn của dự án, không chỉ ví cá nhân.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
