假空投骗局席卷Openclaw社区，用户钱包资金遭盗取_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

假空投骗局席卷Openclaw社区，用户钱包资金遭盗取

2026-03-22 05:25:45

虚假空投活动瞄准开发者社区

一场伪装成虚假空投的钱包盗取网络钓鱼活动，将目标对准了OpenClaw开发者社区成员。攻击者通过克隆代码仓库并伪造讨论话题，诱使用户将其钱包连接到恶意网站。

虚假空投如何诱骗开发者

该事件于2026年3月18日曝光，当时一份提交至官方代码仓库的公开警告揭露了这起冒充该项目的钓鱼阴谋。据报告，攻击者创建了一个虚假仓库和讨论话题，模仿OpenClaw的品牌标识来宣传欺诈性的代币空投。

虚假讨论列出了约40个GitHub用户名，将其标记为有资格获得空投的“已验证成员”，这是一种旨在使活动看起来得到真实贡献者认可的社会工程学手段。跟随诱导链接的用户被导向一个外部网站，并被提示连接其钱包。

这并非不良行为者首次滥用OpenClaw品牌。此前的行业报道曾将另一起独立的虚假代币事件与该项目关联，当时一款未经授权的代币市值据报一度达到1600万美元，而在项目公开否认后暴跌超过90%。

钱包盗取骗局如何运作

钱包盗取骗局通常利用用户自认为签署的内容与实际交易授权内容之间的认知差距。在大多数情况下，虚假领取页面会要求用户连接钱包，并批准一个看似标准的交互操作，例如领取代币或铸造NFT。

在交互界面背后，该批准操作授予了攻击者的智能合约从受害者钱包转移代币的权限。与直接的转账不同，这些恶意授权可以无限期保持活跃状态，使得攻击者能够在初次交互后仍能长期盗取资产。

虚假空投在像OpenClaw这样开发者密集的社区中尤其有效，因为用户习惯于与实验性工具交互、签署测试交易并将钱包连接到新界面。这种熟悉感降低了警惕性，而这正是攻击者所依赖的。这种模式呼应了更广泛的市场趋势，即数字资产安全在该领域日益成熟的同时，仍是一个持续的挑战。

此次骗局紧密遵循了这一模式。通过创建令人信服的GitHub存在并列出真实用户名，攻击者构建了一层标准钓鱼邮件通常缺乏的信任。这提醒我们，随着机构关注度增长的开源社区，正日益成为复杂社会工程学攻击的诱人目标。

用户应采取的应对措施

任何曾与虚假空投页面交互的用户都应立即采取措施以限制潜在损害。最关键的步骤是撤销授予任何陌生合约的代币授权。用户可以利用现有工具来审查并撤销未完成的权限。

对于那些仅连接了钱包但未签署交易的用户，风险较低但并非为零。将资产转移至一个新钱包是最安全的预防措施，尤其是对于持有高价值NFT或大量代币余额的钱包。

未来，用户应仅通过官方项目渠道验证任何空投或代币领取信息。在与此类页面交互前，检查官方代码仓库、已验证的社交媒体账户及项目文档是最基本的要求。

目前，更广泛金融市场中的避险情绪使得持有者对钱包安全掉以轻心显得尤为不合时宜。诈骗者倾向于在市场不确定性期间加大活动力度，针对那些可能分心或情绪化的用户。

项目创始人在社区聊天服务器中实施的零加密货币政策，代表了开源项目针对诈骗活动较为激进的监管回应之一。其他开发者社区是否会采取类似的强硬立场，可能取决于此举在多大程度上有效遏制了使此类攻击成为可能的冒充问题。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文