OX Securityの調査報告書
オープンソースプロジェクト「OpenClaw」の開発者らを標的とした、無料の「CLAW」トークン配布を装うフィッシング詐欺が確認されました。
サイバーセキュリティ企業OX Securityが3月18日に報告したもので、攻撃者は偽のGitHub投稿と公式サイトを模倣したクローンサイトを組み合わせ、開発者の暗号資産(仮想通貨)ウォレットへの接続を誘導する手口を用いています。
現時点で被害者は確認されていませんが、開発者コミュニティを直接狙った新たな攻撃として注目されています。
偽GitHub投稿からウォレット接続を狙う手口、5000ドル当選を餌に誘導
今回の詐欺では、攻撃者が偽のGitHubアカウントを作成し、制御下のリポジトリ上でOpenClawの開発者を@メンションして投稿を行いました。
投稿内では「5000ドル相当のCLAWトークンに当選した」と偽り、OpenClaw公式サイトを精巧に模倣した偽サイトへ誘導します。
誘導先のサイトではウォレット接続を求められ、認証情報やトランザクション承認を通じて資産を奪取する仕組みが構築されていました。
OX Securityによると、偽サイトにはJavaScriptの難読化が施されており、さらに正規インフラとは異なるコマンド&コントロールサーバーが使用されていたことが確認されています。これにより、一般ユーザーが正規サイトと見分けることは極めて困難とみられます。
また、攻撃に使用されたGitHubアカウントは投稿後すぐに削除されており、追跡を困難にする典型的な手口も確認されました。
公式は「トークン発行の予定はない」と明言
Folks, if you get crypto emails from websites claiming to be associated with openclaw, it's ALWAYS a scam.
— Peter Steinberger
We would never do that. The project is open source and non-commercial. Use the official website. Be sceptical of folks trying to build commercial wrappers on top of it.(@steipete) March 18, 2026
この事態を受け、OpenClawのクリエイターであるピーター・シュタインベルガー氏は公式Xで、トークン発行を明確に否定しています。
同氏は2026年1月の時点でも、「自身が関与するトークンは存在しない」と警告しており、今回の事案以前から詐欺リスクに対する注意喚起を行っていました。
さらにOpenClawは、公式Discord内で暗号資産に関する議論を禁止するなど、プロジェクトとトークンを結びつける動きに対して一貫して距離を置く姿勢を示しています。
開発者コミュニティを狙う新たな攻撃モデル
今回の事案は、単なるエアドロップ詐欺の延長ではなく、GitHubという開発基盤を起点に信頼関係そのものを悪用する点が特徴です。
従来の一般ユーザー向け詐欺と異なり、特定プロジェクトの開発者を直接ターゲットにすることで、信頼性の高い文脈の中でウォレット接続を誘導する構造となっています。
現時点で実害は確認されていないものの、こうした手法は今後他のオープンソースプロジェクトにも波及する可能性があります。
開発者やユーザーは、公式発表以外のトークン配布情報やウォレット接続要求に対して、これまで以上に慎重な対応が求められます。
参考元:Cointelegraph
画像:shutterstock
取引手数料無料で始めるなら MEXC
3,000種類以上の銘柄に対応、最大500倍レバレッジの仮想通貨取引所
- ✓ 取引手数料無料
- ✓ 取扱銘柄3,000種類以上
- ✓ 最大レバレッジ500倍
