🦞 OpenClaw Trader Pro
OpenClaw · Por Dan Machado · 2026

ClawHavoc: O Ataque de 1.184 Skills Maliciosas no ClawHub

1.184 skills maliciosas no ClawHub drenaram US$ 30M+ em fevereiro de 2026. Como funcionou e como evitar próximos ataques.

Resumo: em fevereiro de 2026, atacantes coordenados publicaram 1.184 skills maliciosas no ClawHub usando typosquatting de nomes populares. O ataque drenou aproximadamente US$ 30M+ em fundos crypto antes de ser contido. É o maior ataque de supply chain da história do ecossistema OpenClaw.

"ClawHavoc" foi o nome dado pela comunidade ao maior incidente de segurança que o ecossistema OpenClaw já sofreu. Em coordenação aparente, atacantes publicaram 1.184 skills maliciosas no ClawHub em uma janela de aproximadamente 48 horas em fevereiro de 2026. Esta página documenta o que aconteceu, como funcionou tecnicamente, e as lições pro ecossistema.

A timeline

  • 5 de fevereiro 2026: primeiras skills suspeitas publicadas. Padrão: nomes similares a skills populares (typosquatting). Algumas com 0 downloads, outras com 50K+ aparentando legitimidade.
  • 6 de fevereiro: primeira menção em fórum de comunidade. Usuário reporta que sua wallet foi drenada após instalar skill.
  • 7 de fevereiro: investigador independente correlaciona drenos de wallet com skills específicas. Cadeia de evidência começa a emergir.
  • 8 de fevereiro: divulgação pública pelo time OpenClaw. ClawHub é tirado do ar emergencialmente.
  • 9 de fevereiro: contagem final: 1.184 skills maliciosas identificadas, todas removidas. Estimativa de prejuízo: US$ 30M+ em cripto drenados.
  • 10-15 de fevereiro: ClawHub volta com sistema de quarentena. Skills publicadas passam por revisão automática + delay de 72h antes de listagem pública.

Como funcionava cada skill maliciosa

As skills tinham estrutura comum:

  1. Nome similar a skill popular: "clawhub-tools" vs "clawhub-tool", "binance-helper" vs "binance-help", etc.
  2. Descrição convincente: parecia útil, mencionava funcionalidades reais.
  3. Código aparentemente legítimo: as tools expostas faziam o que prometiam.
  4. Payload escondido: na primeira execução, lia certas pastas (~/.openclaw/, wallets locais, .env files) e mandava pra Command & Control (C2) servers.
  5. Persistência: algumas instalavam timer/cron pra continuar tentando exfiltrar mesmo se removidas inicialmente.

O payload variava entre skills:

  • Algumas drenavam wallets crypto diretamente (procurando seed phrases em arquivos)
  • Algumas exfiltravam chaves de API de exchanges
  • Algumas instalavam keylogger pra capturar credenciais futuras
  • Algumas usavam o dispositivo como nó de botnet pra outros ataques

O componente social do ataque

O ataque não dependeu só de typosquatting. Atacantes também usaram:

  • Downloads forjados: botnets baixando suas próprias skills pra parecerem populares. Algumas skills maliciosas mostravam 50K+ downloads.
  • Reviews positivas forjadas: contas criadas em batch postando "essa skill é incrível, recomendo".
  • SEO: páginas externas (blogs falsos, posts no Reddit, vídeos no YouTube) divulgando as skills maliciosas como "novidades imperdíveis".
  • Tutorial sequence: alguns tutoriais legítimos do OpenClaw foram editados via SEO black hat pra mencionar as skills maliciosas no Google.

Isso fez muitos usuários experientes caírem — não só iniciantes desavisados.

Atribuição

A investigação pós-incidente apontou pra:

  • Pelo menos 3 grupos coordenados, com TTPs (tactics, techniques, procedures) similares a grupos crypto-focused já conhecidos
  • Wallets de destino conectados a mixers e off-ramps em jurisdições não-cooperativas
  • Comunicação entre grupos via Telegram channels privados

Nenhuma atribuição definitiva pública. As autoridades competentes (FBI Cyber Division, EUROPOL) investigam, mas recuperação significativa é improvável dado o uso de mixers.

Lições do incidente

Pro ecossistema:

  • Repositórios públicos precisam de moderação ativa: ClawHub virou um modelo de "quarentena automática" depois.
  • Métricas de popularidade podem ser forjadas: downloads e reviews não são proxy de qualidade/segurança.
  • Auditoria automática tem limites: ofuscação de código consegue passar por scans simples.
  • Comunidade é o sistema de detecção mais rápido: o primeiro report veio de usuário comum, não de tooling automático.

Pra usuários:

  • Audite código antes de instalar: guia completo.
  • Não confie em popularidade: 50K downloads não significa segura.
  • Princípio do menor privilégio: skill nova roda em sandbox, sem acesso a wallets reais até você confiar.
  • Hot wallet hygiene: nunca tenha mais no wallet do bot do que pode perder.

Como verificar se você foi afetado

Se instalou skills no ClawHub entre janeiro e fevereiro de 2026:

  1. Liste skills instaladas: openclaw skill list
  2. Cheque contra a lista pública de skills identificadas como maliciosas (disponível no GitHub do projeto OpenClaw)
  3. Audite logs de network do dispositivo procurando conexões pra hosts não-esperados
  4. Verifique saldos de todas wallets crypto e contas de exchange
  5. Se houver QUALQUER sinal de comprometimento: assume breach completo. Trate como protocolo de incident response — backup limpo, formato, reset de todas credenciais.

O ecossistema depois do ClawHavoc

Mudanças permanentes:

  • ClawHub agora tem quarentena de 72h pra skills novas antes de aparecerem em listagens públicas
  • Scanning automático contra padrões maliciosos conhecidos antes de cada publicação
  • Badge "Verified" em skills auditadas pelo time core do OpenClaw
  • Bug bounty program foi expandido significativamente
  • Comunidade desenvolveu ferramentas de auditoria automatizada (open-source)

Apesar das melhorias, o princípio fundamental permanece: você é responsável pelas skills que instala. ClawHub é só um marketplace, não um auditor. Esse é o equivalente do npm/PyPI — não confie cegamente.

Próximas leituras

ClawHavoc não foi o último. Será que essa lição vai ser aprendida? Depende de você. 🦞