PANews đã báo cáo vào ngày 2 tháng 3 rằng cộng đồng GoPlus Trung Quốc đã đưa ra cảnh báo sớm rằng OpenClaw Gateway hiện đang dễ bị tấn công, vui lòng nâng cấp lên 2026.2.25 hoặc muộn hơn ngay lập tức, kiểm tra và thu hồi thông tin đăng nhập không cần thiết, khóa API và quyền nút được cấp cho các phiên bản Agent. Theo phân tích của nó, OpenClaw chạy qua một WebSocket Gateway được liên kết với localhost, đóng vai trò là lớp điều phối cốt lõi của Agent và là một phần quan trọng của OpenClaw. Cuộc tấn công nhắm vào một điểm yếu trong lớp cổng và chỉ đáp ứng một điều kiện: người dùng truy cập vào một trang web độc hại do tin tặc kiểm soát trong trình duyệt.
Chuỗi tấn công đầy đủ như sau:
- Nạn nhân truy cập vào một trang web độc hại do kẻ tấn công kiểm soát trong trình duyệt của họ;
- JavaScript trong trang bắt đầu kết nối WebSocket với cổng OpenClaw trên máy chủ cục bộ;
- Sau đó, tập lệnh tấn công brute-force mật khẩu cổng với hàng trăm lần thử mỗi giây;
- Sau khi bẻ khóa thành công, tập lệnh tấn công được âm thầm đăng ký là thiết bị đáng tin cậy.
- Kẻ tấn công giành được quyền kiểm soát cấp quản trị viên của tác nhân;
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Chồng kiện vợ vì trộm hơn 2.000 Bitcoin! Thẩm phán: Khả năng thắng kiện của nguyên đơn rất cao
Tòa án cao cấp Anh đang xét xử một vụ án liên quan đến trộm cắp Bitcoin, trong đó nguyên đơn cáo buộc vợ đang ly thân của mình đã bí mật trộm cắp 2,323枚 Bitcoin vào năm 2023. Trong vụ án này, nguyên đơn đã sử dụng bằng chứng ghi âm để chứng minh bị đơn và chị gái của bị đơn có kế hoạch chuyển giao Bitcoin. Thẩm phán cho rằng nguyên đơn có khả năng thắng kiện cao, ra lệnh phong tỏa tài sản và bác bỏ một phần yêu cầu kiện, đề nghị tiến hành phiên tòa sớm nhất.
区块客1giờ trước
Resolv: Ví USR trước khi phá sản đã chuộc lại hơn 77 triệu đô la tiền
BlockBeats thông báo, vào ngày 25 tháng 3, Resolv công bố cập nhật mới nhất về sự cố bị tấn công, trong hai ngày qua, ví USR có nguy cơ thanh lý trước đã hoàn lại hơn 77 triệu đô la tiền, chiếm hơn 90% tổng số tiền của nhóm này, giai đoạn đầu tiên công tác phục hồi đã đạt được tiến triển lớn.
Bước tiếp theo:
• Quy trình hoàn lại tiền cho nhóm này đang được hoàn thành tích cực;
• Công tác giai đoạn tiếp theo đã được khởi động, sẽ bao gồm các nhóm người dùng còn lại khác.
BlockBeatNews1giờ trước
500 Bitcoin được chuyển giao, Europol phá vỡ ví cũ
Clifton Collins's partially held Bitcoin has attracted attention again, with 500 bitcoins successfully transferred to a new address, sparking speculation about the method of private key acquisition. This transfer involved multiple wallets, with enhanced tracking capabilities from law enforcement agencies, while also alerting Bitcoin holders to strengthen private key management.
GateNews1giờ trước
Nhà buôn ma túy 500 bitcoin "lộ diện"! Đằng sau là một hoạt động truy cản tài sản
Cảnh sát Ireland đã thành công phá vỡ ví Bitcoin của một tên buôn ma túy bị kết tội, tịch thu 500 Bitcoin với giá trị thị trường vượt quá 35,6 triệu đô la. Những tài sản này thuộc về tên buôn ma túy Clifton Collins, những tài sản này đã không thể tiếp cận được nhiều năm do mất khóa riêng. Với sự hỗ trợ của Europol, cảnh sát đã lấy lại quyền kiểm soát và có thể sẽ tìm lại được nhiều Bitcoin hơn trong tương lai.
区块客2giờ trước
Tòa án Ấn Độ nói "không có vụ việc" chống lại các nhà sáng lập CoinDCX trong vụ lừa đảo mạo danh
Các đồng sáng lập của CoinDCX đã được tòa án Thane cấp lệnh tại ngoại vì không có bằng chứng sơ bộ nào được thiết lập chống lại họ trong khiếu nại lừa đảo liên quan đến 71 lakh INR trên một nền tảng giao dịch giả mạo. Tòa án lưu ý rằng một người khác chịu trách nhiệm về vụ gian lận.
Cointelegraph3giờ trước
Fluid: Đã thanh toán khoảng 70 triệu USD nợ liên quan đến USR, sẽ tiếp tục thúc đẩy việc bồi thường cho người dùng trong sự kiện Resolv
Fluid chính thức thông báo, công tác trả nợ từ sự cố bị hack của Resolv vẫn đang tiến hành, khoảng 70 triệu đô la nợ đã được hoàn trả xong, phần còn lại dự kiến sẽ được thanh toán trong thời gian gần đây. Đồng thời, đã phát hành đề xuất quản trị, chuyển nợ còn lại sang địa chỉ ký đa của nhóm để thanh lý, phương án bồi thường sắp được công bố, hoạt động nền tảng bình thường, quỹ người dùng an toàn.
BlockBeatNews3giờ trước
