PANews đã báo cáo vào ngày 2 tháng 3 rằng cộng đồng GoPlus Trung Quốc đã đưa ra cảnh báo sớm rằng OpenClaw Gateway hiện đang dễ bị tấn công, vui lòng nâng cấp lên 2026.2.25 hoặc muộn hơn ngay lập tức, kiểm tra và thu hồi thông tin đăng nhập không cần thiết, khóa API và quyền nút được cấp cho các phiên bản Agent. Theo phân tích của nó, OpenClaw chạy qua một WebSocket Gateway được liên kết với localhost, đóng vai trò là lớp điều phối cốt lõi của Agent và là một phần quan trọng của OpenClaw. Cuộc tấn công nhắm vào một điểm yếu trong lớp cổng và chỉ đáp ứng một điều kiện: người dùng truy cập vào một trang web độc hại do tin tặc kiểm soát trong trình duyệt.
Chuỗi tấn công đầy đủ như sau:
- Nạn nhân truy cập vào một trang web độc hại do kẻ tấn công kiểm soát trong trình duyệt của họ;
- JavaScript trong trang bắt đầu kết nối WebSocket với cổng OpenClaw trên máy chủ cục bộ;
- Sau đó, tập lệnh tấn công brute-force mật khẩu cổng với hàng trăm lần thử mỗi giây;
- Sau khi bẻ khóa thành công, tập lệnh tấn công được âm thầm đăng ký là thiết bị đáng tin cậy.
- Kẻ tấn công giành được quyền kiểm soát cấp quản trị viên của tác nhân;
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Fantasy.top vụ rút tiền: nhà đầu tư thiên thần cáo buộc mất liên lạc, người sáng lập khẳng định chưa từng sử dụng một đồng nào
Người sáng lập Fantasy.top phủ nhận cáo buộc hoàn tiền cho nhà đầu tư thiên thần, nhấn mạnh rằng công ty đã vận hành dựa trên doanh thu từ sản phẩm trong hai năm qua và không sử dụng vốn của nhà đầu tư. Một số nhà đầu tư cho biết chưa nhận được báo cáo tài chính phù hợp và kêu gọi người sáng lập chịu trách nhiệm. Nền tảng này từng nhận được đánh giá tích cực, nhưng gần đây đã chuyển sang thị trường dự đoán, vẫn đang chờ đợi giải thích từ phía chính thức.
MarketWhisper20phút trước
Một người dùng bị đánh cắp 53.000 USD PAXG do ký duyệt giao dịch độc hại
Tin tức Gate News, ngày 12 tháng 3, theo dõi của GoPlus, một người dùng đã bị kẻ lừa đảo chuyển đi 53.000 USD giá trị PAXG sau khi ký xác nhận giao dịch Approve độc hại.
GateNews41phút trước
Bản tin Gate ngày (12 tháng 3): Ngân hàng Wells Fargo nộp đơn xin WFUSD; Ledger tiết lộ rò rỉ từ khóa ghi nhớ của chip MediaTek
Bitcoin tạm thời ở mức 69.980 USD, được thúc đẩy bởi dữ liệu CPI. Ngân hàng Wells Fargo nộp đơn xin đăng ký thương hiệu WFUSD để khám phá hoạt động kinh doanh tiền điện tử, Ledger tiết lộ lỗ hổng trong chip của MediaTek. Phố Wall phần lớn giảm điểm, thị trường chú ý đến tình hình Trung Đông. Tâm lý nhà đầu tư ổn định, hiệu suất chung khá trầm lặng.
MarketWhisper1giờ trước
Fantasy.top sáng lập viên phủ nhận nghi vấn "Rug Pull mềm", khẳng định chưa sử dụng vốn của nhà đầu tư
Fantasy.top đối mặt với cáo buộc từ các nhà đầu tư thiên thần, cho rằng nhóm đã mất liên lạc và từ chối hoàn trả 50.000 USD, gây ra nghi vấn "Soft Rug Pull". Người sáng lập Travis Bickle phản bác rằng công ty hoạt động dựa trên doanh thu từ sản phẩm, không sử dụng vốn của nhà đầu tư. Nhiều nhà đầu tư nổi tiếng cũng cho biết đã gặp phải tình huống tương tự.
GateNews2giờ trước
Cảnh sát Ấn Độ tại sân bay Mumbai bắt giữ nghi phạm liên quan đến vụ lừa đảo Ponzi GainBitcoin
Tin tức Gate News, ngày 11 tháng 3, Trung tâm Điều tra Trung ương Ấn Độ(CBI) thông báo đã bắt giữ Ayush Varshney, Đồng sáng lập kiêm Giám đốc Công nghệ của Darwin Labs tại sân bay Mumbai, với cáo buộc tham gia vào vụ lừa đảo theo mô hình Ponzi GainBitcoin. Được biết, vào thời điểm đó, Varshney đang cố gắng rời khỏi Ấn Độ. Điều tra cho thấy, vụ lừa đảo này do Variabletech Pte. Ltd. vận hành, thu hút nhà đầu tư bằng cách hứa hẹn lợi nhuận đầu tư tiền điện tử cao. Cơ quan thực thi pháp luật cáo buộc Darwin Labs đã phát triển và triển khai hạ tầng công nghệ quan trọng cho vụ lừa đảo, bao gồm token mã hóa MCAP và hợp đồng thông minh ERC-20. Ngoài ra, Darwin còn cung cấp nền tảng đào Bitcoin GBMiners.com, BitCoin Payment Gat
GateNews3giờ trước
Đội ngũ an ninh của Ledger phát hiện lỗ hổng trong bộ xử lý MediaTek, có thể dẫn đến việc bị đánh cắp từ khóa ghi nhớ ví.
Đội ngũ thuộc về ví tiền điện tử Ledger phát hiện ra rằng chuỗi khởi động an toàn của bộ xử lý MediaTek có lỗ hổng, kẻ tấn công có thể trích xuất khóa mã hóa khi tiếp xúc vật lý, ảnh hưởng đến khoảng 25% điện thoại Android. Lỗ hổng này có thể được khắc phục bằng bản vá, nhưng nhấn mạnh rủi ro khi lưu trữ khóa trên thiết bị không an toàn, khuyên người dùng cập nhật kịp thời.
GateNews13giờ trước
