OpenClaw Skill-Markt enthüllte über tausend bösartige Plugins, die speziell SSH-Schlüssel und Wallet-Privatschlüssel stehlen. Das „Vertrauens-Default“ im AI-Tool-Ökosystem wird zum am meisten unterschätzten Angriffsvektor im Web3.
(Vorgeschichte: Bloomberg: Warum ist a16z die Schlüsselkraft hinter der US-KI-Politik?)
(Hintergrund: Arthur Hayes’ neuester Artikel: KI wird den Kreditkollaps auslösen, die Fed wird unendlich Geld drucken und Bitcoin entfachen)
Inhaltsverzeichnis
- Text ist nicht mehr nur Text, sondern Anweisung
- Moonwells 1,78 Mio. USD Lektion
- Das Vertrauens-Default war falsch
Der Gründer von SlowMist, Yu Xian, warnte kürzlich auf X: Im ClawHub Skill-Markt von OpenClaw (ehemals clawbot) gibt es etwa 1.184 bösartige Skills, die Nutzer-SSH-Schlüssel, Wallet-Privatschlüssel, Browser-Passwörter stehlen und sogar Reverse-Shell-Backdoors erstellen können. Die Top-bösartigen Skills enthalten 9 Schwachstellen und wurden bereits tausendfach heruntergeladen.
Noch einmal zur Erinnerung: Text ist nicht mehr nur Text, sondern Anweisung. Für AI-Tools sollte man eine separate Umgebung verwenden…
Skills sind sehr gefährlich⚠️
Skills sind sehr gefährlich⚠️
Skills sind sehr gefährlich⚠️ https://t.co/GZ3hhathkE
— Cos(余弦)😶🌫️ (@evilcos) 20. Februar 2026
ClawHub ist der offizielle Skill-Marktplatz des kürzlich populär gewordenen OpenClaw (ehemals clawbot). Nutzer installieren dort Drittanbieter-Plugins, die AI-Agenten verschiedene Aufgaben vom Code-Deployment bis zur Wallet-Verwaltung ausführen lassen.
Sicherheitsfirma Koi Security deckte Ende Januar die Angriffskampagne „ClawHavoc“ auf, bei der initial 341 bösartige Skills identifiziert wurden. Später erweiterten unabhängige Sicherheitsforscher und Antiy CERT die Zahl auf 1.184, verteilt auf 12 Konten. Einer der Angreifer, alias hightower6eu, lud allein 677 Pakete hoch – mehr als die Hälfte aller gefälschten Inhalte.
Mit anderen Worten: Eine Person hat mehr als die Hälfte aller bösartigen Inhalte im Marktplatz kontaminiert, doch die Plattform-Überprüfung hat nichts dagegen unternommen.
Text ist nicht mehr nur Text, sondern Anweisung
Diese bösartigen Skills sind nicht grob gestaltet. Sie tarnen sich als Krypto-Bots, Solana-Wallet-Tracker, Polymarket-Strategietools, YouTube-Summarizer, mit professioneller Dokumentation. Der eigentliche Kniff steckt im Abschnitt „Voraussetzungen“ der SKILL.md-Datei: Nutzer werden angewiesen, eine obfuskierte Shell-Skript-Datei von einer externen Webseite zu kopieren und im Terminal auszuführen.
Dieses Skript lädt vom C2-Server das Atomic Stealer (AMOS), ein macOS-Info-Stealer-Tool mit monatlicher Gebühr von 500 bis 1.000 USD.
AMOS scannt Browser-Passwörter, SSH-Schlüssel, Telegram-Chats, Phantom-Wallet-Privatschlüssel, Exchange-API-Schlüssel sowie alle Dateien in Desktop- und Dokumentenordnern. Die Angreifer haben sogar mehrere Varianten von ClawHub-Domains (clawhub1, clawhubb, cllawhub) registriert, um Domain-Imitate zu erstellen, und zwei Polymarket-bezogene Skills enthalten Reverse-Shell-Backdoors.
In den bösartigen Skill-Dateien sind auch AI-Prompt-Befehle eingebettet, die dazu dienen, den OpenClaw-Proxy selbst zu täuschen, sodass die KI den Nutzer umgekehrt „empfiehlt“, schädliche Befehle auszuführen. Yu Xian fasst es treffend zusammen: „Text ist nicht mehr nur Text, sondern Anweisung.“ Beim Einsatz von AI-Tools sollte man eine separate Umgebung verwenden.
Das ist der Kern des Problems. Wenn Nutzer den Empfehlungen der KI vertrauen und die Quelle der Empfehlungen kontaminiert ist, bricht die gesamte Vertrauenskette zusammen.
Moonwells 1,78 Mio. USD Lektion
In derselben Warnung erwähnt Yu Xian einen weiteren Vorfall: Das DeFi-Kreditprotokoll Moonwell erlitt am 15. Februar durch einen Fehler im Orakel einen Ausfall von 1,78 Mio. USD.
Das Problem lag in einem Codeabschnitt zur Berechnung des USD-Preises von cbETH, bei dem die Umrechnung von cbETH/ETH mit dem ETH/USD-Preis vergessen wurde. Dadurch wurde cbETH fälschlicherweise auf etwa 1,12 USD statt der tatsächlichen 2.200 USD bewertet. Die Liquidations-Bots durchforsteten alle Positionen mit cbETH als Sicherheit, 181 Kreditnehmer verloren insgesamt ca. 2,68 Mio. USD.
Krum Pashov, Blockchain-Sicherheitsprüfer, fand heraus, dass die betreffende Code-Änderung auf GitHub mit „Co-Authored-By: Claude Opus 4.6“ gekennzeichnet war. NeuralTrust beschreibt die Falle treffend: „Der Code sieht richtig aus, lässt sich kompilieren und besteht grundlegende Unit-Tests, scheitert aber in der adversarialen DeFi-Umgebung vollständig.“
Noch alarmierender ist, dass menschliche Code-Reviews, GitHub Copilot und OpenZeppelin Code Inspector alle drei die fehlende Multiplikations-Operation nicht erkannt haben.
Die Community nennt diesen Vorfall eine „große Sicherheitslücke in der Vibe-Coding-Ära“. Yu Xian fasst es klar zusammen: Die Sicherheitsbedrohung im Web3 beschränkt sich nicht mehr auf Smart Contracts, sondern AI-Tools werden zum neuen Angriffsvektor.
Das Vertrauens-Default war falsch
Peter Steinberger, Gründer von OpenClaw, hat bereits ein Community-Meldesystem implementiert: Nach drei Meldungen werden verdächtige Skills automatisch ausgeblendet. Koi Security hat zudem das Scanning-Tool Clawdex veröffentlicht, doch das ist nur eine Notlösung.
Das eigentliche Problem ist, dass das AI-Ökosystem standardmäßig auf „Vertrauen“ setzt: Hochgeladene Skills gelten als sicher, Empfehlungen der KI als richtig, generierter Code als zuverlässig. Wenn dieses System Wallets und DeFi-Protokolle verwaltet, ist das Default falsch – die Kosten sind realer Geldwert.
Hinweis: VanEck-Daten zeigen, dass bis Ende 2025 über 10.000 AI-Agenten im Krypto-Bereich im Einsatz sind, mit einer Prognose von über 1 Million im Jahr 2026.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Elon Musks X sperrt Konten automatisch nach dem ersten Krypto-Posten
X implementiert eine neue Funktion, die Konten mit ihrem ersten Krypto-Beitrag automatisch sperrt, um Phishing-Angriffe zu bekämpfen. Ziel ist es, den Missbrauch entführter Konten für Betrügereien zu reduzieren und gleichzeitig die Sicherheit der Nutzer zu verbessern.
Coinpedia2Std her
ZachXBT beschuldigt Circle, seit 2022 für $420M „Compliance-Verstöße“ verantwortlich zu sein
Der Onchain-Detektiv ZachXBT behauptet, dass Circle, der Emittent des USDC (USDC)-Stablecoins, es seit 2022 versäumt habe, etwa 420 Millionen US-Dollar an illegalen Geldflüssen einzufrieren oder auf schwarze Listen zu setzen.
Circle kann illegale Gelder einfrieren und Wallet-Adressen auf die schwarze Liste setzen, aber entweder habe es „minimale“ Maßnahmen ergriffen, um illegale Geldflüsse einzufrieren, oder
Cointelegraph2Std her
Circle Gerüchten zufolge toleriert es den Abfluss von 420 Millionen US-Dollar illegaler Mittel! ZachXBT legt eine Compliance-Lücke bei USDC offen und löst Kontroversen aus
Der US-Stablecoin-Anbieter Circle wurde beschuldigt, nicht wirksam mehr als 420 Millionen US-Dollar verdächtige USDC-Mittel eingefroren zu haben. Der Ermittler ZachXBT wies darauf hin, dass Circle seit 2022 in mehreren Hackerangriffen Maßnahmen zum Einfrieren verzögert habe, was Zweifel an dessen Compliance aufkommen ließ. Der Angriff auf das Drift Protocol in dem Vorfall rückte zudem die Kritik an Circle besonders in den Fokus. Der Markt fordert, dass Circle seine Standards für das Risikomanagement erhöht, woraufhin die Verzögerungen bei der Durchsetzung der Compliance anschließend erhebliche Verluste für die Nutzer verursacht hätten.
ChainNewsAbmedia3Std her
Elon Musks X wird einen Scam-„Kill-Switch“ einsetzen, indem es Nutzer, die Kryptowährungen zum ersten Mal erwähnen, automatisch sperrt
Die Social-Media-Plattform X sperrt Konten automatisch, wenn sie zum ersten Mal Kryptowährungen erwähnen, und verlangt zusätzliche Verifizierung, um Krypto-Phishing-Betrugsmaschen zu verhindern. Diese neue Maßnahme soll Anreize für Angriffe beseitigen, bei denen Konten übernommen werden, um betrügerische Tokens zu bewerben.
CoinDesk4Std her
four.meme Aufgrund eines technischen Defekts wird die Erstellung von Steuergebühren-Modus-Token vorübergehend ausgesetzt; betroffene Nutzer erhalten eine vollständige Rückerstattung.
Die vier.meme-Ankündigung: Aufgrund eines Defekts in der Projekt-Steuergebühren-Empfangsadresse, die mit 0x9f4 beginnt, sind die Verkaufs-Transaktionen fehlgeschlagen. Es wurde die entsprechende Funktion zur Erstellung von Token vorübergehend deaktiviert und den Nutzern empfohlen, mit dem Handel aufzuhören. Außerdem werden wir den betroffenen Nutzern, die bis zum 3. April um 22:50 Uhr gekauft haben, eine vollständige Rückerstattung gewähren.
GateNews5Std her
Private Videos hochladen, nackte Erpressung mit Kryptowährung? „Heldenkredit“ richtet sich an Menschen ohne Ausweg; bei Zahlungsverzug wird auf OnlyFans hochgeladen.
Ein Produkt, das Kryptowährungen, Inhalte für Erwachsene und ein Mechanismus für risikoreiche Kredite kombiniert, sorgt in letzter Zeit in der Krypto-Community und auf sozialen Plattformen für viel Gesprächsstoff. Das als „Hero Loan (Helden-Darlehen)“ bekannte Projekt wirbt mit dem Slogan „Kredit ohne Sicherheiten“, verlangt jedoch, dass Nutzer private Videos als Bedingung hochladen, und verknüpft das Ausfallrisiko mit einer Monetarisierungsmechanik über Plattformen für Inhalte für Erwachsene. Viele Nutzer beschreiben das Ganze als „Krypto-Version von Nacktkrediten“.
Das Projekt verwendet sogar „Wenn du denkst, dass das niemand nutzen würde, heißt das, dass du das Ende noch nicht erreicht hast“ als Werbespruch und zielt damit ganz klar auf Nutzergruppen ab, die ein hohes Risiko tragen und unter extremem Finanzdruck stehen. Allerdings haben einige Nutzer kurz nach der Veröffentlichung angegeben, sie hätten ein Video geschickt, aber kein Geld erhalten; ein KOL antwortete zudem, dass das Projekt angeblich abgehauen sei.
Aber mal ehrlich: Private Videos sind nur 60 Taler wert – das ist doch zu bitter.
„Helden-Darlehen“ richtet sich an Menschen, denen der Ausweg fehlt
Laut Informationen der offiziellen Website läuft das Produkt auf BNB Chain und setzt vor allem auf „Menschen, denen der Ausweg fehlt“.
ChainNewsAbmedia6Std her
