O diretor de segurança da informação da Slow Mist Tech, 23pds, emitiu um aviso público alertando que, devido ao ClawHub depender do login com um clique via GitHub, os certificados de desenvolvedor roubados por vírus worms podem ser utilizados para se passar por desenvolvedores e publicar Skills maliciosos, realizando ataques na cadeia de suprimentos. Ao mesmo tempo, o GoPlus realizou uma varredura completa de segurança nas 100 Skills mais baixadas do ClawHub, mostrando que 21% apresentam alto risco e 17% requerem advertência.
Análise completa do caminho de ataque: da credencial do GitHub à invasão do sistema
A Slow Mist detalhou claramente nesta publicação toda a rota potencial de ataque, ajudando desenvolvedores e usuários a entenderem o mecanismo real da ameaça:
Roubo de credenciais: vírus worms como Sha1-Hulud ou ataques de phishing roubam as credenciais de login do GitHub dos desenvolvedores.
Obtenção de permissões no GitHub: o atacante usa as credenciais roubadas para acessar a conta do GitHub da vítima.
Fingir ser o desenvolvedor ao entrar no ClawHub: como o ClawHub usa autorização com um clique via GitHub, o atacante pode acessar a plataforma como um desenvolvedor legítimo.
Publicar Skills maliciosos: sob o nome do desenvolvedor comprometido, publica Skills maliciosos com backdoor, difíceis de distinguir de Skills legítimos.
Instalação e execução pelo usuário: usuários sem conhecimento baixam e executam esses Skills, ativando códigos maliciosos.
Invasão do sistema: o atacante obtém acesso ao dispositivo do usuário, podendo causar roubo de dados, controle remoto e outros danos graves.
A periculosidade dessa cadeia de ataque reside na alta furtividade de cada etapa, tornando quase impossível para o usuário identificar visualmente se um Skill foi adulterado maliciosamente.
Resultados do escaneamento do GoPlus: distribuição de segurança entre as 100 principais Skills
Em 12 de março, o GoPlus publicou um relatório de varredura de segurança nas 100 Skills mais baixadas do ClawHub, fornecendo dados mais sistemáticos de risco:
21% bloqueados: essas Skills apresentam operações de alto risco, incluindo penetração de rede direta, chamadas a APIs sensíveis e envio automático de mensagens.
17% com advertência: apresentam riscos potenciais, recomendando cautela na execução por usuários preocupados com segurança.
62% aprovadas: as Skills restantes não apresentaram problemas evidentes na análise atual.
O GoPlus recomenda que, para Skills com operações de alto risco, seja obrigatória a implementação de um mecanismo de “Humano no Loop (HITL)”, permitindo que a revisão manual intervenha antes da execução de operações críticas, e não apenas como medida corretiva posterior.
Controvérsia do SkillHub da Tencent: coleta em larga escala levanta questões de direitos autorais e suporte
Enquanto o alerta de segurança aumenta, o ecossistema do ClawHub também gerou outra discussão devido às ações da Tencent. A Tencent lançou uma comunidade SkillHub baseada na ecologia de código aberto oficial do OpenClaw, posicionada como uma plataforma de distribuição de Skills local para desenvolvedores na China. No entanto, Peter Steinberger, fundador do OpenClaw, criticou a iniciativa após tomar conhecimento, afirmando ter recebido e-mails de reclamação alegando que a Tencent coletou todos os Skills do ClawHub e os integrou à sua plataforma, com uma velocidade tão rápida que acionou os limites de taxa oficiais. Steinberger afirmou: “Eles copiaram, mas não apoiaram esse projeto.”
A Tencent respondeu explicando que o SkillHub opera como um espelho, com a origem original marcada como ClawHub, e que o objetivo da plataforma é fornecer uma experiência de acesso mais estável e rápida para os usuários na China. Nos primeiros sete dias de operação, a plataforma processou cerca de 180 GB de tráfego de downloads (870 mil downloads), mas os dados realmente obtidos da fonte oficial foram aproximadamente 1 GB. A Tencent também destacou que vários membros de sua equipe contribuíram com código para os projetos de código aberto relacionados, apoiando o desenvolvimento do ecossistema.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Aconselheiro da Casa Branca cita exploração como motivo para salvaguardas federais de criptoativos
O assessor de ativos digitais da Casa Branca, Patrick Witt, citou em uma declaração um exploit recente envolvendo ativos mantidos pelos US Marshals como evidência de que as participações federais em cripto exigem medidas aprimoradas de proteção.
Foco na Segurança de Cripto Federais
As declarações de Witt destacam o crescimento
CryptoFrontier1h atrás
Homem da Califórnia, Marlon Ferro, é condenado a 78 meses por roubar carteiras frias no valor de US$ 250 milhões (2,5億)
De acordo com o comunicado oficial do Departamento de Justiça dos EUA (DOJ) publicado em 7 de maio, o homem de 20 anos da Califórnia, Marlon Ferro, foi condenado a 78 meses de prisão federal por seu envolvimento em um caso nacional de golpes de engenharia social com ativos cripto, além de receber 3 anos de liberdade supervisionada e uma indenização de US$ 2,5 milhões. Segundo o comunicado do DOJ, o grupo criminoso roubou mais de US$ 250 milhões em ativos cripto de várias vítimas.
MarketWhisper3h atrás
O market maker TrustedVolumes da 1inch foi atacado, com perdas de US$ 5,87 milhões
A empresa de segurança blockchain Blockaid publicou em 6 de maio, no horário do leste dos EUA, em X, que o provedor de liquidez e formador de mercado TrustedVolumes, do agregador de exchanges descentralizadas 1inch, está sofrendo ataques contínuos. Até o momento da declaração da Blockaid, as perdas já chegaram a cerca de US$ 5,87 milhões.
MarketWhisper3h atrás
Aave liquidou as posições dos atacantes do Kelp DAO, e a votação na Arbitrum aprovou o desbloqueio do rsETH
De acordo com o anúncio da Aave em 7 de maio, a votação do Arbitrum DAO sobre a liberação de ETH relacionado ao incidente de 18 de abril com rsETH atingiu o quórum, com mais de 1.600 endereços, e recebeu apoio unânime da comunidade. No mesmo dia, a Aave, seguindo os procedimentos de governança estabelecidos, concluiu a liquidação das posições restantes de rsETH do protocolo Aave dos atacantes do Kelp DAO.
MarketWhisper3h atrás
1inch Liquidity Provider TrustedVolumes Sofre Ataque no Ethereum, US$ 5,87 milhões Roubados
De acordo com a Blockaid, o formador de mercado e resolvedor TrustedVolumes da 1inch está sob ataque no Ethereum em 7 de maio. A vulnerabilidade foi detectada no sistema de monitoramento de segurança da Blockaid dentro de um contrato personalizado de agente de negociação RFQ controlado pela TrustedVolumes. Os atacantes extraíram
GateNews5h atrás
Projeto Eleven emite alerta: 6,9 milhões de BTC enfrentam ameaça quântica, o Q-Day mais cedo em 2030
A startup de pesquisa em segurança pós-quantum Project Eleven divulgou um relatório em 6 de maio, alertando que o ponto crítico (Q-Day) em que computadores quânticos podem superar as tecnologias modernas de criptografia pode chegar já em 2030, com probabilidade superior a 50% para ocorrer até 2033. O relatório também estima que, sob certas condições, cerca de 6,9 milhões de bitcoins enfrentam risco potencial de ataques quânticos, e pede que o ecossistema das criptomoedas acelere o processo de migração para resistir ao pós-quantum.
MarketWhisper5h atrás
