Pendiri OpenClaw Memperingatkan: Penipuan Airdrop Palsu CLAW Datang, Pengembang GitHub Menjadi Target

Pendiri OpenClaw, Peter Steinberger, mengeluarkan peringatan terbuka di platform X pada tanggal 19 Maret, mendesak semua pengguna untuk menganggap setiap email terkait mata uang kripto yang mengaku berasal dari OpenClaw sebagai penipuan. Ia secara tegas menyatakan bahwa OpenClaw adalah proyek yang “sumber terbuka dan non-komersial.” Sebelumnya, serangan phishing besar-besaran terhadap pengembang GitHub di seluruh dunia telah dilaporkan oleh banyak pengembang.

Metode Serangan Phishing Secara Spesifik: Mengaku sebagai Pemberitahuan GitHub dan Meluas ke Pengembang

(Sumber: X)

Serangan phishing kali ini dirancang dengan sangat cermat sehingga sulit dikenali secara langsung. Peneliti keamanan, Aoke Quant, menduga bahwa pelaku langsung mengambil informasi kontak publik pengembang dari platform GitHub untuk mendukung penyebaran massal yang tepat sasaran.

Ciri utama email phishing tersebut adalah:

Penyamaran Pengirim: Tampilan email meniru format pemberitahuan resmi GitHub, sehingga sulit dibedakan

Nama Akun Pengirim: Menggunakan akun palsu seperti “ClawFunding” dan “ClawReward”

Isi yang Mengarahkan: Mengklaim bahwa penerima masuk dalam daftar “Kontributor Pilihan,” menciptakan rasa eksklusivitas dan urgensi

Ajakan Tindakan: Mengarahkan pengguna untuk mengklik tautan Google yang mencurigakan dan “mengklaim” token palsu

Versi Multibahasa: Beberapa email telah diterjemahkan ke dalam bahasa Spanyol, menunjukkan bahwa jangkauan serangan telah melintasi berbagai wilayah

Pengembang, Daniel Sánchez, saat membagikan tangkapan layar laporan, menyatakan, “Dana gratis yang ditawarkan secara aktif hampir pasti adalah penipuan. Proyek sumber terbuka tidak pernah melakukan kegiatan pemberian kripto dalam bentuk apa pun.”

Garis Waktu Lengkap Bullying Selama Berbulan-bulan: Dari Meme Coin Hingga Akun Diretas dalam 30 Detik

Gelombang phishing ini merupakan peningkatan terbaru dari bullying sistematis selama berbulan-bulan terhadap OpenClaw. Sejak Januari tahun ini, ketika OpenClaw menjadi terkenal dengan nama “Clawdbot,” para spekulan kripto telah melancarkan serangan berlapis-lapis yang terus-menerus terhadap Steinberger dan proyeknya.

Titik-titik penting kejadian:

Pembuatan Meme Coin: Penipu tanpa izin menerbitkan meme coin bernama OpenClaw di Solana, yang nilainya jatuh 96% dalam satu hari, menyebabkan kerugian besar bagi banyak investor ritel

Krisis Rebranding: Anthropic, karena masalah merek dagang, meminta Steinberger mengganti nama robotnya—setelah mengubah “Clawdbot” menjadi “Moltbot,” pelaku serangan dalam waktu “kurang dari lima detik” berhasil meretas akun asli, mulai mempromosikan token penipuan baru, dan menyebarkan malware sebelum Steinberger sempat melindungi akunnya dengan baik

Akun GitHub Diretas: Nama pengguna GitHub-nya diretas dalam sekitar 30 detik dan digunakan untuk menyebarkan kode berbahaya

Pemblokiran Discord: Menghadapi serangan terus-menerus berupa hash token, Steinberger terpaksa melarang semua diskusi terkait kripto di server Discord-nya secara total

Notifikasi X Terhenti: Notifikasi di X (Twitter) menjadi “tidak dapat digunakan” karena terus-menerus menerima hash token dan spam

Steinberger menyebut seluruh pengalaman ini sebagai “serangan siber paling parah” yang pernah dialaminya. Bahkan setelah bergabung dengan OpenAI pada Februari 2026, yang dipimpin oleh Sam Altman dalam divisi agen AI pribadi, dan mendapatkan dukungan dari perusahaan teknologi besar seperti OpenAI, pelaku penipuan tetap terus memanfaatkan merek OpenClaw untuk meraup keuntungan.

Pertanyaan Umum

Bagaimana cara mengenali email phishing palsu dari OpenClaw?

Menurut peringatan terbuka Steinberger, cara paling efektif untuk mengenali email palsu dari OpenClaw adalah: pertama, OpenClaw tidak pernah memiliki mata uang kripto apa pun (tidak ada “CLAW” atau token resmi lainnya); kedua, setiap permintaan yang meminta pengguna mengklik tautan untuk “mengklaim airdrop” atau “menghubungkan dompet” adalah penipuan; ketiga, hanya percayai situs resmi OpenClaw sebagai satu-satunya sumber informasi yang dapat dipercaya, dan berhati-hati terhadap pihak ketiga yang menawarkan paket komersial. Peneliti keamanan menyarankan, meskipun email tampak berasal dari alamat resmi GitHub, tetap periksa domain pengirimnya secara cermat karena pelaku penipuan sering memalsukan nama tampilan.

Apakah celah keamanan OpenClaw memudahkan serangan phishing?

Perusahaan keamanan SlowMist sebelumnya memperingatkan bahwa instance Clawdbot/OpenClaw yang tidak dikonfigurasi dengan benar dapat membocorkan API key dan riwayat obrolan pribadi. Peneliti Jamieson O’Reilly juga menemukan bahwa instance yang tidak terautentikasi dapat menyebabkan ratusan kredensial terbuka untuk diakses publik. Celah keamanan ini berpotensi memberi pelaku penipuan data pengguna nyata yang sangat realistis untuk membuat email phishing yang sangat meyakinkan, sehingga meningkatkan tingkat keberhasilan penipuan. Disarankan semua pengguna yang mengoperasikan OpenClaw memastikan konfigurasi autentikasi telah lengkap dan rutin mengganti API key.

Bagaimana cara merespons jika mengalami serangan phishing serupa?

Jika menerima email yang mengaku terkait airdrop mata uang kripto dari OpenClaw, segera hapus dan tandai sebagai email phishing. Jangan klik tautan apa pun di email tersebut atau berikan informasi pribadi. Jika sudah mengklik tautan, segera ubah semua kata sandi akun terkait, cabut otorisasi aplikasi pihak ketiga yang mencurigakan, dan scan perangkat untuk malware. Laporkan aktivitas phishing tersebut melalui saluran resmi OpenClaw untuk membantu melindungi pengembang lain dalam komunitas.