O diretor de segurança da informação da Slow Mist Tech, 23pds, emitiu um aviso público alertando que, devido ao ClawHub depender do login com um clique via GitHub, os certificados de desenvolvedor roubados por vírus worms podem ser utilizados para se passar por desenvolvedores e publicar Skills maliciosos, realizando ataques na cadeia de suprimentos. Ao mesmo tempo, o GoPlus realizou uma varredura completa de segurança nas 100 Skills mais baixadas do ClawHub, mostrando que 21% apresentam alto risco e 17% requerem advertência.
Análise completa do caminho de ataque: da credencial do GitHub à invasão do sistema
A Slow Mist detalhou claramente nesta publicação toda a rota potencial de ataque, ajudando desenvolvedores e usuários a entenderem o mecanismo real da ameaça:
Roubo de credenciais: vírus worms como Sha1-Hulud ou ataques de phishing roubam as credenciais de login do GitHub dos desenvolvedores.
Obtenção de permissões no GitHub: o atacante usa as credenciais roubadas para acessar a conta do GitHub da vítima.
Fingir ser o desenvolvedor ao entrar no ClawHub: como o ClawHub usa autorização com um clique via GitHub, o atacante pode acessar a plataforma como um desenvolvedor legítimo.
Publicar Skills maliciosos: sob o nome do desenvolvedor comprometido, publica Skills maliciosos com backdoor, difíceis de distinguir de Skills legítimos.
Instalação e execução pelo usuário: usuários sem conhecimento baixam e executam esses Skills, ativando códigos maliciosos.
Invasão do sistema: o atacante obtém acesso ao dispositivo do usuário, podendo causar roubo de dados, controle remoto e outros danos graves.
A periculosidade dessa cadeia de ataque reside na alta furtividade de cada etapa, tornando quase impossível para o usuário identificar visualmente se um Skill foi adulterado maliciosamente.
Resultados do escaneamento do GoPlus: distribuição de segurança entre as 100 principais Skills
Em 12 de março, o GoPlus publicou um relatório de varredura de segurança nas 100 Skills mais baixadas do ClawHub, fornecendo dados mais sistemáticos de risco:
21% bloqueados: essas Skills apresentam operações de alto risco, incluindo penetração de rede direta, chamadas a APIs sensíveis e envio automático de mensagens.
17% com advertência: apresentam riscos potenciais, recomendando cautela na execução por usuários preocupados com segurança.
62% aprovadas: as Skills restantes não apresentaram problemas evidentes na análise atual.
O GoPlus recomenda que, para Skills com operações de alto risco, seja obrigatória a implementação de um mecanismo de “Humano no Loop (HITL)”, permitindo que a revisão manual intervenha antes da execução de operações críticas, e não apenas como medida corretiva posterior.
Controvérsia do SkillHub da Tencent: coleta em larga escala levanta questões de direitos autorais e suporte
Enquanto o alerta de segurança aumenta, o ecossistema do ClawHub também gerou outra discussão devido às ações da Tencent. A Tencent lançou uma comunidade SkillHub baseada na ecologia de código aberto oficial do OpenClaw, posicionada como uma plataforma de distribuição de Skills local para desenvolvedores na China. No entanto, Peter Steinberger, fundador do OpenClaw, criticou a iniciativa após tomar conhecimento, afirmando ter recebido e-mails de reclamação alegando que a Tencent coletou todos os Skills do ClawHub e os integrou à sua plataforma, com uma velocidade tão rápida que acionou os limites de taxa oficiais. Steinberger afirmou: “Eles copiaram, mas não apoiaram esse projeto.”
A Tencent respondeu explicando que o SkillHub opera como um espelho, com a origem original marcada como ClawHub, e que o objetivo da plataforma é fornecer uma experiência de acesso mais estável e rápida para os usuários na China. Nos primeiros sete dias de operação, a plataforma processou cerca de 180 GB de tráfego de downloads (870 mil downloads), mas os dados realmente obtidos da fonte oficial foram aproximadamente 1 GB. A Tencent também destacou que vários membros de sua equipe contribuíram com código para os projetos de código aberto relacionados, apoiando o desenvolvimento do ecossistema.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Exploit da Ponte do Kelp DAO Resulta em $293M Mint, Deixa a Aave com Mais de $200M em Dívida Ruim
Um atacante explorou uma vulnerabilidade na ponte cross-chain do Kelp DAO, roubando $293 milhões em rsETH não lastreado. O incidente causou perdas significativas para plataformas DeFi, com a Aave enfrentando até $236 milhões em dívida ruim e impactos substanciais no mercado.
GateNews2h atrás
Especialistas Alegam Que Métricas de Altcoins Estão Sendo “Manipuladas” para Enganar Investidores
O pesquisador de cripto Orbion levanta preocupações sobre a possível manipulação de indicadores-chave do mercado, incluindo o Altseason Index e o Crypto Fear and Greed Index, sugerindo que métricas infladas criam otimismo falso e induzem investidores a acreditar falsamente que o início da temporada de altcoins está próximo.
Coinpedia6h atrás
Curve Finance Suspende a Infraestrutura do LayerZero após Hack de rsETH
A Curve Finance suspendeu temporariamente sua infraestrutura do LayerZero devido a um incidente de segurança envolvendo rsETH. O protocolo está investigando o problema, afetando certas operações de ponte entre cadeias, enquanto outras continuam normalmente.
GateNews7h atrás
Explorador do KelpDAO toma $195M ETH emprestado da Aave, TVL cai US$ 6,28B enquanto whales retiram
Mensagem do Gate News: o explorador do KelpDAO tomou emprestado mais de 82.600 ETH ($195M) da Aave usando RSETH como garantia, o que fez com que um prejuízo (bad debt) aparecesse na Aave. Após esse incidente, inúmeros whales retiraram fundos da Aave, fazendo com que seu TVL caísse de US$ 26,396B para US$ 20,114B, uma queda de US$ 6,28B.
GateNews10h atrás
Co-Fundador da Monad Sugere Tectos Dinâmicos em Depósitos de Garantia para Mitigar Riscos de Hack
Keone Hon sugere que protocolos de empréstimo com reservas em pool implementem limites de taxa graduais para aumentos de ativos usados como garantia, a fim de mitigar riscos durante ataques. Ele argumenta que isso poderia ter evitado perdas significativas, como visto com depositantes de rsETH.
GateNews13h atrás
Polícia de Hong Kong alerta sobre golpe de criptomoedas de “trading quantitativo com IA”; mulher perde HK$7,7 milhões
A polícia de Hong Kong revelou uma fraude com criptomoedas em que uma mulher perdeu HK$7,7 milhões para golpistas que se passavam por especialistas em investimentos via Telegram, prometendo altos retornos por meio de negociação com IA. A polícia alertou o público sobre os riscos associados a investimentos em criptomoedas.
GateNews14h atrás
