К основному содержимому

Меньше шума, больше смысла за ту же минуту

КриптоМарс Медиа
Технологии4 мин чтенияАвтор · Васильев Марсель

OpenClaw риск: что известно и как защитить криптокошельки

OpenClaw риск: как избежать взлома криптокошелька и защитить кошелёк

Автор

Васильев МарсельВасильев МарсельCEO КриптоМарс Медиа

Статья раскрывает опасности использования платформы OpenClaw для управления криптокошельками и предлагает важные рекомендации по защите от потенциальных угроз, связанных с вредоносными модулями.

Иллюстрация к материалу: OpenClaw риск: что известно и как защитить криптокошельки
Безопасность
Поделиться
Исследователи CertiK предупредили о практическом сценарии, который раньше звучал как «теория»: AI-агенты с подключаемыми «навыками» могут использоваться для вывода средств из криптокошельков. Речь идет об OpenClaw - open-source платформе автономных агентов, где сторонние модули способны запускать произвольный код на машине пользователя и работать с сетью, файлами и данными. CertiK обращается к «обычным пользователям», которые не занимаются безопасностью профессионально, с рекомендацией не устанавливать и не использовать OpenClaw в чувствительных сценариях.
По данным отчета, текущая защита OpenClaw в значительной степени опирается на skill scanning и ручную модерацию. Проблема в том, что такой подход оставляет окно, когда вредоносный модуль может быть активирован или установлен до завершения проверки, либо замаскирован под нормальную утилиту. Даже отметка «benign» в репозитории навыков не равна гарантии безопасности, особенно если модуль запрашивает доступ к конфигурациям, API-ключам или окружению, где открыт криптокошелек.
Команда OpenClaw описывала эпизод с поддельным токеном $CLAWD: мошенники выпустили фейковый токен в сети Solana, раскрутили его и затем обрушили цену более чем на 90%. Вторая часть фактуры касается технической поверхности атаки: в ClawHub было загружено как минимум 14 вредоносных навыков, замаскированных под инструменты для криптотрейдинга. Этот контекст объясняет, почему платформа с расширяемыми навыками сразу попадает в поле зрения: она может быть вшита в «человеческую» атаку, где пользователю дают удобный инструмент, а внутри прячут кражу данных.
CertiK рекомендует использовать OpenClaw только в «низкоценной» среде до улучшения безопасности. Секреты должны быть изолированы: API-ключи и приватные ключи стоит держать отдельно, предпочтительный вариант - hardware wallet или сценарии мультиподписи. Третий принцип - защита окружения: не выставлять OpenClaw в интернет без защиты VPN и файрвола. В трендах, которые выделяет CertiK, доминирует социальная инженерия, а риск в первую очередь не в экзотической технике, а в совмещении факторов: низкая частота реальных запросов про «взлом криптокошелька» и высокий интерес к созданию кошельков.

Продолжить по теме

Материалы, которые дополняют картину: новости, колонки и видео по этому сюжету.

Иллюстрация к материалу: Цепочка поставок npm: атака на Axios 1.14.1 — что делать
Технологии4 мин

Цепочка поставок npm: атака на Axios 1.14.1 — что делать

Статья раскрывает детальный анализ атаки на популярную библиотеку Axios, подчеркивая важность защиты цепочек поставок программного обеспечения и предлагая практические шаги для выявления возможных угроз.

Автор: Васильев Марсель

Безопасность
Иллюстрация к материалу: Base Ethereum: почему сети делают ставку на агентов ИИ
Технологии4 мин

Base Ethereum: почему сети делают ставку на агентов ИИ

Статья исследует, как Ethereum-слой 2 Base от Coinbase настраивается на будущее, в котором автономные агенты ИИ будут активно взаимодействовать с блокчейном, превращая его в базовую инфраструктуру для новой эры автоматизированной экономики.

Автор: Васильев Марсель

ИИ

Не согласны или есть дополнение?

Напишите редакции: разберём аргументы, при необходимости обновим текст или дадим ответный материал. red@cryptomarsmedia.ru.