#安全资讯 诈骗团伙盯上 OpenClaw AI 项目，向大量关注该项目的用户空投虚假代币来窃取用户加密钱包余额。这个诈骗团伙声称要赠送给用户价值 5,000 美元的 CLAW 代币，但链接是诈骗团伙构建的钓鱼网站，授予钱包操作权限后，用户持有的加密货币就会被转走。查看全文：https://ourl.co/112291

网络安全公司 OX 日前发布报告披露针对 OpenClaw AI 机器人项目的加密货币骗局，背后的诈骗团伙盯上关注 OpenClaw AI 项目的用户和开发者，然后声称要发送价值 5,000 美元的 CLAW 加密代币。

如果用户点击链接就会进入诈骗团伙仿冒的 OpenClaw 官方网站，在这个网站上用户需要连接自己的加密货币钱包并授予操作权限领取代币，但授予权限后诈骗团伙就会清空用户的加密货币钱包。

诈骗团伙的操作手法如下：

1. 新建公开的与 OpenClaw 相关的仓库，仓库完全由诈骗团伙控制。

2. 在仓库中批量创建 issue 并 @关注 OpenClaw 的开发者和用户。

3. 被 @的开发者和用户会收到通知，诱导用户点击黑客创建的钓鱼网站。

4. 在钓鱼网站中诈骗团伙要求用户连接钱包并授予操作权限来领取 CLAW 代币。

5. 一旦用户授予这个钓鱼网站钱包操作权限，诈骗团伙就会立即转走钱包中的所有余额。

可能是通过 fork 来定位用户：

OX 安全团队经过分析后认为，诈骗团伙可能是通过扫描 GitHub 中的 OpenClaw fork 仓库来定位用户，即认为这些用户最关注 OpenClaw 项目可能更容易被通知吸引。

或者诈骗团伙通过某种方式扫描对 OpenClaw 设置星标的用户，毕竟如果纯粹随机 @GitHub 上的海量用户可能效果甚微，不如这种精准定位的转化效果好。

GitHub 也发现异常活动：

OX 安全团队注意到这个诈骗团伙早前开始创建多个账户用来发布诈骗 issue，但刚开始传播钓鱼活动几小时后，这些账户就被 GitHub 封禁，所以 GitHub 风控系统应该也发现了异常。

目前尚不清楚是否有用户在此次骗局中出现损失，不过对用户来说最重要的就是不要相信天上掉馅饼，无论如何也不要向陌生网站授予钱包权限。

via OX Security