最近，一个名为OpenClaw的AI项目在开发者圈子里备受关注，但与此同时，一场专门针对这些开发者的网络骗局也悄然展开。网络安全公司OX Security发现，有不法分子利用GitHub平台的功能，伪装成项目方，向开发者们抛出了一个极具诱惑力的“空投”诱饵，目的只有一个：掏空他们的加密货币钱包。

一场精心设计的“官方”通知

这场骗局的起点非常“专业”。攻击者在GitHub上创建了虚假账号，并发布了一个新的讨论话题。为了让它看起来更真实、触达更多人，他们会在帖子中直接@几十位真实的开发者。

这样做的结果就是，这些开发者会通过邮件或GitHub APP收到一条看似来自官方项目的通知。当他们点进去，看到的是一则“喜讯”：为了感谢你对OpenClaw项目的贡献，你已被选中，将获得价值5000美元的$CLAW代币奖励。

帖子里的语气和格式都模仿得惟妙惟肖，甚至还有“未入选者请继续努力，后续还有机会”这样的鼓励话语，让不少开发者难辨真伪。

“连接钱包”即中招

帖子中附有一个领取链接，通常伪装成谷歌的分享地址。点击后，用户会进入一个名为 `token-claw.xyz` 的网站。这个网站几乎是OpenClaw官方页面的完美复制品，唯一的不同，就是页面上多了一个醒目的“连接钱包”（Connect Wallet）按钮。

网站支持MetaMask、Trust Wallet、OKX Wallet等几乎所有主流加密钱包。一旦你相信了这场“空投”，点击按钮并授权，就相当于把你的钱包“钥匙”交给了骗子。他们可以瞬间转走你钱包里的所有资产，整个过程你甚至可能毫无察觉。

更狡猾的是，研究人员在诈骗网站的代码中发现了一个名为“`eleven.js`”的恶意文件，其中包含一个被称为“`nuke`”的恶意功能。这个功能的作用是，在完成盗取后，自动清除受害者浏览器中与该诈骗网站相关的所有记录，让受害者难以追溯，也让安全研究人员更难分析其作案手法。

如何保护自己

据研究人员分析，这些骗子很可能是在GitHub上搜索那些为OpenClaw相关项目点赞或有过互动的开发者，从而锁定目标，让骗局显得更有针对性。虽然目前还没有接到大量用户资金损失的公开报告，但这次攻击的策划者显然经验老到——他们在发起攻击后几小时内就迅速删除了用于作案的GitHub账号，试图销毁证据。

如果你是一位经常使用GitHub的开发者，或者持有加密货币，请务必记住以下几点：

1.  警惕所有“惊喜空投”：任何在GitHub Issue或讨论区里突然出现的“免费代币”、“项目奖励”等信息，都应视为高度可疑。

2.  绝不相信主动“艾特”：骗子利用GitHub的通知机制让骗局显得像官方消息。请记住，真正的项目方通常不会通过这种方式分发奖励。

3.  切勿随意连接钱包：不要在任何来路不明的网站上连接你的加密钱包。在连接前，请反复确认网址是否为项目真正的官方网站。

4.  如果已经操作，立即撤销权限：如果你不小心在可疑网站连接了钱包，请立刻进入你的钱包设置（如MetaMask），找到“已连接站点”或“已授权应用”，手动撤销所有权限，并尽快将资产转移至新钱包。

如果你发现了类似的诈骗网站（如 `token-claw.xyz`），请务必远离并分享此文，提醒身边的朋友。

资讯来源：本文内容基于网络安全公司OX Security的研究报告及相关报道进行编译与整理

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！