假冒 Openclaw 的 GitHub 钓鱼袭击瞄准加密开发者

OX Security 警告称，一场“假 Openclaw（Fake Openclaw）钓鱼”正在瞄准开源生态中的加密开发者。攻击者通过伪造 GitHub 账号并在“issue”帖中发文，声称受害者已赢得约 5,000 美元的假 CLAW 代币。链接指向高度仿真的钓鱼网站，并引导用户连接钱包。 这类 Fake Openclaw phishing 的核心风险在于：钱包授权（approval）与恶意交易的触发。研究者追踪到攻击基础设施，包括重定向到 token-claw[.]xyz，以及位于 watery-compost[.]today 的指挥与控制服务器。恶意 JavaScript 可窃取钱包/交易信息、修改本地存储并降低可追踪性。截至报告发布时尚无确认受害者，但该活动据称仍在进行。 同时，CertiK 还提到 Openclaw 生态存在“skill scanning”漏洞，可能绕过既有安全防护，从而扩大可被利用的攻击面。对交易者而言，短期需要关注代币发行与“钱包连接”事件带来的情绪与流动性扰动：可能引发市场短线风险偏好波动，并对受影响项目的 DEX 交易热度与局部流动性造成压力。整体看，Fake Openclaw phishing 更偏向诈骗/安全事件本身，而非直接驱动更广泛市场价格。