Bitget:需警惕OpenClaw插件市场ClawHub恶意插件,或植入木马窃取账号信息 | 加密百科深度分析
加密百科独家解读
这件事简单说,就是一个你可能会用到的“AI助手工具”的插件商店,混进了“带毒的”坏插件。
想象一下,你为了交易方便,去一个第三方应用商店下载了一个“交易小助手”插件。但这个插件里其实藏着木马病毒。一旦你安装运行,它可能会:
1. 偷看你的屏幕:记录你复制的命令或密码。
2. 翻找你的密钥:窃取你交易所的API Key(相当于一把能操作你账户但不取钱的钥匙)和钱包私钥。
3. 后台作恶:用偷来的钥匙转移你的资产,而你完全不知情。
这次出问题的是OpenClaw的插件市场ClawHub。它不是一个官方、受严格监管的应用商店,任何人都可能上传插件,这让黑客有了可乘之机。他们利用大家想用AI工具提升效率的心理,把恶意程序伪装成有用工具。
为什么这事风险极高?
因为加密货币交易是“去中心化”的,资产转移不可逆。一旦你的API Key或私钥被盗,黑客可以在几分钟内清空你的账户,而且这笔交易几乎无法追回。
交易所安全团队给出的建议是当前最有效的防线:
1. 切断非官方连接:彻底避免使用任何第三方插件、工具或机器人来连接你的交易所账户。这是最大的风险入口。
2. 回归官方渠道:充提币、交易只使用交易所官方的App或网站。这是最安全的环境。
3. 立即紧急处理:如果你曾经为了使用某些工具,给第三方授权过API Key,必须立刻去做三件事:重置API Key、修改交易所登录密码、开启双重验证(2FA)。这相当于立刻换锁、换大门密码并增加一个动态验证码。
在当前的生态中,随着AI工具的普及,这类针对插件和第三方工具的供应链攻击正在增多。安全的核心原则始终是:保管好你的私钥和API Key,就像保管银行保险柜钥匙一样,绝不交给不可信的第三方工具。
背景资料 (原快讯)
Bitget 官方发文称,Bitget 安全团队近期发现热门 AI 工具 OpenClaw 插件市场 ClawHub 存在恶意插件。这些插件可能诱导用户复制命令或下载 “工具 ”,从而植入木马,窃取账号信息、API Key 或钱包数据。为保障安全,Bitget 提醒用户避免使用第三方工具、插件或机器人连接交易所,并建议仅通过 Bitget 官方 App 或官网进行充提和交易。如果曾授权 API,务必立即重置、修改密码并开启 2FA。
注:以上背景资料自公开行业资讯,加密百科网仅作科普解读。