Phishing nhắm vào OpenClaw: Token “CLAW” giả mạo và bẫy ví crypto quay trở lại
Một chiến dịch phishing mới đang làm dậy sóng cộng đồng dev khi nhắm trực tiếp vào những người đóng góp cho dự án AI mã nguồn mở OpenClaw. Kẻ tấn công đã tận dụng GitHub để phát tán thông tin giả về một token “CLAW” không tồn tại, qua đó dụ người dùng kết nối ví crypto – bước đi quen thuộc trong các vụ đánh cắp tài sản số.
Theo báo cáo từ OX Security, chiến dịch này sử dụng các tài khoản GitHub giả để đăng bài trong repository và gắn thẻ trực tiếp các lập trình viên. Nội dung đánh vào tâm lý FOMO: thông báo người nhận đã “trúng thưởng” 5.000 USD token CLAW – một đồng coin hoàn toàn bịa đặt nhưng được gắn mác liên quan đến OpenClaw.
Fake token + fake site = mất ví
Điểm mấu chốt của chiến dịch nằm ở một website clone giao diện gần như y hệt trang chính thức của OpenClaw. Khi truy cập, người dùng được yêu cầu kết nối ví – một “red flag” điển hình trong các vụ phishing Web3.
Chỉ cần ký một giao dịch hoặc cấp quyền truy cập, attacker có thể:
- Rút tài sản trong ví
- Chiếm quyền kiểm soát token
- Hoặc cài các quyền approve độc hại
Đây là mô hình scam đã quá quen thuộc trong crypto, nhưng vẫn liên tục hiệu quả nhờ vào việc giả mạo các dự án đang “hot”.
Founder lên tiếng: “Sẽ không bao giờ có token”
Nhà sáng lập Peter Steinberger đã nhanh chóng cảnh báo cộng đồng trên X, nhấn mạnh rằng bất kỳ email hay thông báo nào gắn với token OpenClaw đều là lừa đảo.
Thông điệp của ông rất rõ ràng:
- OpenClaw là dự án mã nguồn mở
- Không có mô hình thương mại
- Và không bao giờ phát hành coin
Trước đó, từ tháng 1, ông đã khẳng định: bất kỳ token nào sử dụng tên ông đều là scam.
OpenClaw: “con mồi” mới của làn sóng crypto scam
Ra mắt vào tháng 11/2025, OpenClaw nhanh chóng viral nhờ mô hình AI agent chạy local, cho phép tự động hóa tác vụ qua chat trên WhatsApp và Telegram.
Sự tăng trưởng mạnh:
- Hàng trăm nghìn người theo dõi trên X
- Tương tác cao trên GitHub
- Cộng đồng dev hoạt động mạnh
Chính những yếu tố này biến OpenClaw thành mục tiêu lý tưởng cho các chiến dịch scam – nơi attacker chỉ cần gắn mác “airdrop” hoặc “reward” là đủ để thu hút sự chú ý.
Cộng đồng phản ứng nhanh, thiệt hại chưa ghi nhận
Điểm tích cực là nhiều developer đã nhanh chóng nhận ra dấu hiệu bất thường và cảnh báo lẫn nhau. Theo OX Security, hiện chưa ghi nhận nạn nhân nào từ chiến dịch này.
Ngoài ra, dự án cũng đã chủ động giảm thiểu rủi ro bằng cách cấm hoàn toàn thảo luận liên quan đến Bitcoin và crypto trong Discord chính thức.
Bài học quen thuộc nhưng chưa bao giờ cũ
Trong thị trường crypto, công thức scam gần như không thay đổi:
- Giả mạo thương hiệu uy tín
- Tạo cảm giác “free money”
- Dẫn dụ kết nối ví
Và chỉ cần một chữ ký sai, toàn bộ tài sản có thể “bay màu”.
Thông điệp cuối cùng vẫn vậy:
Nếu một dự án nói “không có token”, thì mọi token liên quan đến nó đều là scam.
