Resumen

  • Los estafadores atacaron a los contribuyentes de OpenClaw a través de hilos de problemas falsos en GitHub, utilizando un airdrop de $5,000 $CLAW para atraer a los usuarios hacia un sitio que drenaba billeteras.

  • La página de phishing imitó el dominio oficial y utilizó un archivo JavaScript ofuscado llamado “eleven.js,” mostrando que el ataque se basó en ingeniería social, no en un exploit de contrato inteligente.

  • El informe instó a los desarrolladores a verificar URLs, confirmar la propiedad del repositorio, ignorar etiquetas inesperadas y utilizar billeteras desechables para reclamaciones o dApps desconocidas.

Los estafadores han encontrado una forma extremadamente efectiva de cazar a los poseedores de criptomonedas dentro de un flujo de trabajo de desarrollador de confianza. La trampa comienza con credibilidad, no con exploits de código. En la campaña reportada, los contribuyentes conectados al viral proyecto de IA OpenClaw fueron objetivo de cuentas falsas de GitHub y hilos de problemas que etiquetaban directamente a desarrolladores reales. La cebo era una promesa halagadora de una asignación de tokens de $5,000 $CLAW, enmarcada como una recompensa por contribuciones en GitHub. Las víctimas fueron luego empujadas a un sitio que imitaba el dominio oficial de OpenClaw, donde un aviso de conexión de billetera servía como puerta de entrada a una configuración de drenaje en línea.

🚨Falso airdrop de $5K apunta a desarrolladores de OpenClaw

Los estafadores utilizaron etiquetas falsas de GitHub para atraer a los usuarios a un sitio clonado con una conexión de billetera oculta.

Las cuentas desaparecieron en cuestión de horas. Aún no hay víctimas confirmadas.

Mantente alerta⚠ pic.twitter.com/ZYpmckDJ1j

— Bitinning (@bitinning) 19 de marzo de 2026

Por qué el gancho OpenClaw funcionó tan bien

Lo que hace que la operación sea más inquietante es cuán ordinaria parece la configuración a primera vista. Un sitio clonado y un script oculto hacen el trabajo pesado. El informe dice que la página de phishing dirigió a los usuarios a conectar sus billeteras para reclamar la supuesta asignación, mientras que un archivo de JavaScript fuertemente ofuscado llamado “eleven.js” manejaba la lógica maliciosa subyacente. Los investigadores dijeron que no hubo explotación de contrato inteligente involucrada, solo ingeniería social envuelta en comportamiento Web3. Esa distinción importa, porque muestra que el ataque se basó menos en romper software y más en manipular la confianza del usuario en el momento preciso.

Scammers targeted OpenClaw contributors through fake GitHub issue threads, using a $5,000 $CLAW airdrop to lure users toward a wallet-draining site.

El tiempo parece ser central para por qué este atractivo podría resonar tan rápidamente. El perfil en ascenso de OpenClaw le dio a la estafa una plausibilidad inmediata. El proyecto se había convertido en uno de los nombres más candentes en tecnología, pasando de ser una herramienta para desarrolladores a una narrativa de IA de consumo general. Esa visibilidad se intensificó aún más después de que Sam Altman seleccionara al creador Peter Steinberger para ayudar a impulsar el trabajo de OpenAI en agentes de IA. Según el informe, los atacantes probablemente entendieron que los contribuyentes de OpenClaw eran atentos, cómodos con billeteras Web3 y más fáciles de abordar con un mensaje basado en recompensas que se sentía adaptado, oportuno y inusualmente creíble para muchos objetivos potenciales en línea.

El informe también delineó una lección práctica que se extiende mucho más allá de un proyecto. La seguridad operativa, no la curiosidad, es ahora la primera línea de defensa. Se instó a los desarrolladores a evitar hacer clic en enlaces en hilos de problemas de GitHub desconocidos, escribir manualmente dominios oficiales, verificar la propiedad de los repositorios y tratar las etiquetas inesperadas como spam por defecto. Se recomendó utilizar una billetera desechable en lugar de una billetera principal para reclamos o interacciones de dApp. La advertencia más amplia es difícil de ignorar: a medida que la exageración de la IA y las herramientas de criptomonedas convergen, las estafas pulidas pueden seguir explotando plataformas legítimas para convertir la atención en acceso a billeteras.

#AI