# GitHub 漏洞攻擊偷取 OpenClaw 開發者加密資產

Key Takeaways

• 一場精心策劃的釣魚攻擊針對 OpenClaw 開發者，利用 GitHub 做為平臺進行欺詐。
• 攻擊者聲稱用戶可獲得虛假的 5,000 美元 CLAW 代幣，誘導用戶連接其加密錢包。
• 這些釣魚網站設計巧妙，逼真得足以讓開發者誤以為是合法的 OpenClaw 頁面。
• 一些受騙用戶的加密貨幣資產被盜，攻擊者快速撤收佈置的釣魚基礎設施。
• OpenClaw 社區曾經被這類加密貨幣騷擾充斥，其中包括偽裝成官方信件的詐騙。

WEEX Crypto News, 19 March 2026

行騙手法分析：如何針對 OpenClaw 開發者的 GitHub 騙局成功抽取加密資產

近期，有不法分子針對熱門 AI 項目 OpenClaw 開發者展開一次複雜的釣魚攻擊。這些攻擊者利用 GitHub 發送偽造的通知，宣稱用戶有資格獲得虛假的 CLAW 代幣，並誆騙用戶透過連接加密錢包來「領取」獎勵，但實際上此舉目的是竊取用戶的加密資產。本文將深入解析此事件，並探討這些攻擊者背後的操作手法。

偽造的 GitHub 通知如何欺騙用戶

根據安全機構 OX Security 的報導，這次的詐騙活動涉及多個偽造的 GitHub 帳戶，這些帳戶在經過特殊設計的攻擊者控制的軟件庫裡開啟問題委託，然後標記許多計算機開發者。偽通知詳述稱用戶因對 GitHub 專案的貢獻而被選中，可以獲得一份 5,000 美元 CLAW 代幣的空投。收到消息的開發者被引導到精心模仿 openclaw.ai 之網站的克隆網站，並被請求連接其加密錢包以獲取虛構的獎勵。

深藏的惡意 JavaScript 代碼

攻擊者更進一步，在釣魚網站中植入了深度混淆的 JavaScript 代碼。其中的“nuke”功能會清除瀏覽器本地存儲數據，以阻礙法證分析能力。這段代碼還會對如錢包地址和交易數值等信息進行編碼，並將其發送回車載控制（C2）伺服器。研究人員已辨識出一個疑似加密的錢包地址，被用來接收被盜的資金。

誰是受害者？

目前，尚無確認的受害者報告。然而，OpenClaw 社區曾充斥此類詐騙行為。以往，OpenClaw 創始人已發出警告，呼籲社群成員提防那些冒充官方名義發出的詐騙郵件。這次的攻擊，更是在 GitHub 這個具有良好信任基礎的開發平臺上肆意展開，讓不少用戶未覺異樣。

僵而不懈的詐騙行為

儘管在 GitHub 上運作的該詐騙活動快速地削減證據，捏造的帳號常在數小時內刪除，OpenClaw 的高曝光率仍吸引不少不法分子：這些詐騙者持續瘋狂填塞假公告，或偽裝官方聲明來竊取用戶的密碼和加密資產。這次事件清晰地展示了在 Web3 生態系統內，如何利用可信賴平台（例如 GitHub 和 Google）作為手段以繞過傳統電郵安全措施進行詐騙活動的技術。

作為一名加密貨幣世界的新手或老練用戶，每位投資者理應保持警惕，不輕信未經證實的空投或獎勵索求，並應驗證來源的真實性以保障自身的資產安全。

OpenClaw 對社區的響應

在此事件的影響下，OpenClaw 团队迅速採取了行動來增強社群的防詐意識。開發者們被建議應提高安全意識，對任何聲稱與 OpenClaw 相關的無端聯繫務必保持高度警惕。特別是那些尋求加密貨幣或敏感資料的要求，更應核實其真實性。OpenClaw 已在社區內禁止一切與加密貨幣相關的討論，以進一步減少詐騙事件。

為了保護您的資產免受此類威脅侵害，務必小心與您互動的網站和應用程序，特別是在涉及錢包連接或身份驗證時確認其合法性。如欲輕鬆、安全地交易您的加密貨幣，考慮 [加入 WEEX](https://www.weex.com/register?vipCode=vrmi) 支持的安全交易平臺。

FAQ

誰是本次釣魚活動的主要目標？

本次活動主要針對 OpenClaw 項目的計算機開發者，利用 GitHub 的信任度進行詐騙，誘使開發者連接他們的加密錢包。

攻擊者是如何隱藏惡意目的的？

攻擊者在克隆的網站中深度嵌入混淆的 JavaScript 代碼，甚至包含清除瀏覽器本地存儲數據的功能以避免追查。

我如何保護自己不被類似詐騙攻擊？

始終保持警覺，不要輕信任何未經核實的贈送活動或空投，尤其是要求提供敏感信息或錢包連接的網站。

OpenClaw 社區有哪些預防措施？

OpenClaw 團隊警告使用者提防任何以官方名義發出的欺詐行為，並在社區平台上禁止所有與加密貨幣有關的討論。

這些詐騙活動如何影響整個社區？

這類事件增強了社區對安全環境的重視，促使開發者更加加強對網絡釣魚和詐騙行為的意識。