O diretor de segurança da informação da Slow Mist Tech, 23pds, emitiu um aviso público alertando que, devido ao ClawHub depender do login com um clique via GitHub, os certificados de desenvolvedor roubados por vírus worms podem ser utilizados para se passar por desenvolvedores e publicar Skills maliciosos, realizando ataques na cadeia de suprimentos. Ao mesmo tempo, o GoPlus realizou uma varredura completa de segurança nas 100 Skills mais baixadas do ClawHub, mostrando que 21% apresentam alto risco e 17% requerem advertência.
Análise completa do caminho de ataque: da credencial do GitHub à invasão do sistema
A Slow Mist detalhou claramente nesta publicação toda a rota potencial de ataque, ajudando desenvolvedores e usuários a entenderem o mecanismo real da ameaça:
Roubo de credenciais: vírus worms como Sha1-Hulud ou ataques de phishing roubam as credenciais de login do GitHub dos desenvolvedores.
Obtenção de permissões no GitHub: o atacante usa as credenciais roubadas para acessar a conta do GitHub da vítima.
Fingir ser o desenvolvedor ao entrar no ClawHub: como o ClawHub usa autorização com um clique via GitHub, o atacante pode acessar a plataforma como um desenvolvedor legítimo.
Publicar Skills maliciosos: sob o nome do desenvolvedor comprometido, publica Skills maliciosos com backdoor, difíceis de distinguir de Skills legítimos.
Instalação e execução pelo usuário: usuários sem conhecimento baixam e executam esses Skills, ativando códigos maliciosos.
Invasão do sistema: o atacante obtém acesso ao dispositivo do usuário, podendo causar roubo de dados, controle remoto e outros danos graves.
A periculosidade dessa cadeia de ataque reside na alta furtividade de cada etapa, tornando quase impossível para o usuário identificar visualmente se um Skill foi adulterado maliciosamente.
Resultados do escaneamento do GoPlus: distribuição de segurança entre as 100 principais Skills
Em 12 de março, o GoPlus publicou um relatório de varredura de segurança nas 100 Skills mais baixadas do ClawHub, fornecendo dados mais sistemáticos de risco:
21% bloqueados: essas Skills apresentam operações de alto risco, incluindo penetração de rede direta, chamadas a APIs sensíveis e envio automático de mensagens.
17% com advertência: apresentam riscos potenciais, recomendando cautela na execução por usuários preocupados com segurança.
62% aprovadas: as Skills restantes não apresentaram problemas evidentes na análise atual.
O GoPlus recomenda que, para Skills com operações de alto risco, seja obrigatória a implementação de um mecanismo de “Humano no Loop (HITL)”, permitindo que a revisão manual intervenha antes da execução de operações críticas, e não apenas como medida corretiva posterior.
Controvérsia do SkillHub da Tencent: coleta em larga escala levanta questões de direitos autorais e suporte
Enquanto o alerta de segurança aumenta, o ecossistema do ClawHub também gerou outra discussão devido às ações da Tencent. A Tencent lançou uma comunidade SkillHub baseada na ecologia de código aberto oficial do OpenClaw, posicionada como uma plataforma de distribuição de Skills local para desenvolvedores na China. No entanto, Peter Steinberger, fundador do OpenClaw, criticou a iniciativa após tomar conhecimento, afirmando ter recebido e-mails de reclamação alegando que a Tencent coletou todos os Skills do ClawHub e os integrou à sua plataforma, com uma velocidade tão rápida que acionou os limites de taxa oficiais. Steinberger afirmou: “Eles copiaram, mas não apoiaram esse projeto.”
A Tencent respondeu explicando que o SkillHub opera como um espelho, com a origem original marcada como ClawHub, e que o objetivo da plataforma é fornecer uma experiência de acesso mais estável e rápida para os usuários na China. Nos primeiros sete dias de operação, a plataforma processou cerca de 180 GB de tráfego de downloads (870 mil downloads), mas os dados realmente obtidos da fonte oficial foram aproximadamente 1 GB. A Tencent também destacou que vários membros de sua equipe contribuíram com código para os projetos de código aberto relacionados, apoiando o desenvolvimento do ecossistema.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Exploit do Scallop Protocol drena 150.000 tokens SUI em 28 de abril
De acordo com a Sui Foundation e os desenvolvedores da Scallop, o protocolo de empréstimos Scallop na rede Sui sofreu um exploit de segurança direcionado em 28 de abril de 2026, resultando na drenagem não autorizada de aproximadamente 150.000 tokens SUI de um pool de liquidez de recompensas, avaliado em cerca de US$ 140.000.
GateNews33m atrás
Hacks em DeFi atingem US$ 624,58 milhões em abril de 2026, a sexta maior perda registrada, com a maioria dos incidentes
De acordo com a DefiLlama, ataques a DeFi e à infraestrutura on-chain causaram US$ 624,58 milhões em perdas em abril de 2026, marcando a sexta maior perda mensal registrada. Os 23 incidentes registrados naquele mês também representam o maior número de ataques em um único mês desde que o monitoramento começou em
GateNews44m atrás
Exploração do SWEAT Protocol Contida, Saldos dos Usuários Restaurados
O protocolo SWEAT conteve com sucesso um exploit de vários milhões de dólares na quarta-feira, por volta das 13:36 UTC, com a equipe confirmando que todos os saldos das contas externas foram totalmente restaurados e que as operações voltaram ao normal, de acordo com um relato pós-ataque compartilhado pela equipe do SWEAT em
CryptoFrontier58m atrás
Alerta da Mist: vulnerabilidade de falha de cópia no Linux é extremamente explorável, recomenda-se atualizar o kernel o quanto antes
De acordo com o CIO de segurança da SlowMist (SlowMist) 23pds, em 30 de abril, em um post no X, foi identificado um bug lógico chamado “Copy Fail” (CVE-2026-31431) em sistemas Linux, que é extremamente fácil de explorar; a SlowMist recomenda que os usuários atualizem rapidamente o kernel.
MarketWhisper3h atrás
Aftermath Finance sofre ataque e perde US$ 1,14 milhão; Mysten Labs apoia a compensação total aos usuários
Com base na análise técnica do incidente de ataque publicada pela GoPlus em 30 de abril e no comunicado oficial da Aftermath Finance, a plataforma de contratos perpétuos na rede Sui Aftermath Finance foi atacada em 29 de abril, com prejuízo superior a US$ 1,14 milhão. O projeto anunciou que, com o apoio da Mysten Labs e da Sui Foundation, todos os usuários receberão compensação integral.
MarketWhisper4h atrás
Aftermath Finance perde mais de US$ 1,14M em ataque em 29 de abril e promete compensação total ao usuário
De acordo com a PANews, a Aftermath Finance, uma plataforma de futuros perpétuos na blockchain Sui, perdeu mais de US$ 1,14 milhão em um ataque em 29 de abril. A análise da GoPlus revelou que os atacantes exploraram uma vulnerabilidade de incompatibilidade de símbolo na função calculate_taker_fees ao roubar privilégios ADMIN por meio da função add_integrator_config para extrair tokens repetidamente.
Afthermath Finance confirmou a perda total e afirmou que todos os usuários receberão compensação integral com o apoio da Mysten Labs e da Sui Foundation. A equipe enfatizou que este não é um problema de segurança de linguagem de contratos Move.
GateNews5h atrás
