Een Bybit-gebruiker verloor $1.200 nadat klembord-malware stilzwijgend zijn portemonnee-adres tijdens de overdracht had vervangen. Dit is wat er gebeurde en hoe het werkt.
Het geld verliet zijn MetaMask-portemonnee schoon. Geen fouten. Geen waarschuwingen. Gewoon weg.
Een Bybit-gebruiker stuurde $1.200 naar wat hij dacht dat zijn eigen stortingsadres was. Er gingen tien minuten voorbij. Toen een uur. Er kwam nooit een bevestiging van Bybit. Volgens crypto-beveiligingsaccount BalaiBB op X had de gebruiker zijn Bybit-portemonnee-adres gekopieerd, MetaMask geopend, geplakt en op verzenden gedrukt, zoals iedereen dat doet.
Wat hij ontdekte toen hij de transactie controleerde
Toen de storting nog steeds niet was verschenen, plaatste BalaiBB op X dat de gebruiker terugging en keek naar het adres waarnaar hij daadwerkelijk had gestuurd. Het was niet het zijne. Het apparaat had klembord-kapingsmalware draaien. Op het moment dat het adres werd gekopieerd, verwisselde de malware het voor een portemonnee die door een aanvaller werd gecontroleerd. Hij plakte de vervanging. Hij stuurde naar een vreemde.
De malware maakte nooit een geluid.
Dit type aanval draait op de achtergrond van een gecompromitteerd Android-apparaat en wacht. Wanneer het een lange alfanumerieke reeks detecteert die eruitziet als een crypto-portemonnee-adres, vervangt het deze onmiddellijk. De gebruiker ziet niets veranderen. De geplakte tekst lijkt op het eerste gezicht identiek. Alleen de laatste vier tekens vertellen het verhaal, als iemand de moeite neemt om te controleren. Volgens BalaiBB op X is de eenvoudige oplossing altijd het vergelijken van de eerste en laatste vier tekens van elk adres na het plakken, voordat een transactie wordt bevestigd.
Volgens cyberbeveiligingsonderzoekers van CNC Intel kunnen klembordkapers een apparaat binnendringen via neppe browserextensies, trojans die zijn gebundeld in dubieuze downloads of phishinglinks. Een bekende variant, Qulab, richtte zich specifiek op Android-apparaten door zich te vermommen in neppe Tor Browser-apps die via niet-officiële app-winkels werden verspreid. De malware stelt zichzelf in om bij het opstarten te draaien.
Vijf manieren waarop uw portemonnee wordt leeggehaald zonder dat u iets duidelijks aanklikt
BalaiBB stopte niet bij de klembordwaarschuwing. In een vervolgthread op X zette het account vier andere aanvalstypen uiteen die portemonnees net zo stilletjes leegmaken.
Nep-token goedkeuringen kwamen als tweede op de lijst. Er verschijnt een willekeurig token in een portemonnee. De gebruiker probeert het te verkopen op een DEX. Zodra ze de transactie goedkeuren, maakt het contract alles leeg. BalaiBB’s regel: als je het niet hebt gekocht, raak het dan niet aan.
Phishing-sites, die kopieën zijn van legitieme DeFi-platforms met bijna identieke URL’s, stonden op de derde plaats. De URL uniswop.com in plaats van uniswap.org is het soort verschil waar de meeste gebruikers overheen scrollen. Een portemonnee-verbinding plus één goedgekeurde transactie, en het geld is weg. Zoals BalaiBB op X opmerkte, is het bladwijzers maken van officiële sites de enige betrouwbare verdediging.
Nep-klantenondersteuning completeerde het geheel. Iemand tweet een probleem met MetaMask. Binnen enkele minuten stuurt een ‘ondersteuningsmedewerker’ hen een DM waarin om een seed phrase wordt gevraagd om ‘het probleem op te lossen’. BalaiBB op X was hier bot over: geen enkel legitiem bedrijf zal ooit om een seed phrase vragen. Nooit.
Het vijfde aanvalstype, Discord social engineering, opereert via gecompromitteerde mod-accounts in legitieme servers. Een neppe ‘verrassingsmunt’ of airdrop-link wordt verstuurd vanaf een vertrouwde naam. Mensen klikken omdat het van iemand kwam die ze herkenden. Ze verbinden hun portemonnee. Het geld vertrekt.
Nep-Google Play-apps die vergelijkbaar klembord-verwisselgedrag leveren zijn al gedocumenteerd die zich richten op Android-apparaten in Brazilië, waar aanvallers nagemaakte app-winkelpagina’s bouwden om malware te verspreiden die specifiek portemonnee-adressen verwisselt tijdens USDT-overdrachten.
Het deel dat niemand noemt: er is geen terugbetaling
Blockchain-transacties zijn definitief. Er is geen ondersteuningsticket, geen geschilvenster, geen bank om te bellen. CNC Intel bevestigde dat het terugkrijgen van crypto die is gestolen via klembordkapingen bijna onmogelijk is zodra de transactie is voltooid. Het bedrijf merkte op dat het samen met wetshandhavers heeft gewerkt om fondsen in dergelijke gevallen te traceren, hoewel terugwinning zeldzaam blijft.
Het gestolen adres kan on-chain worden gevolgd. Het geld kan praktisch gesproken niet worden teruggehaald.
April 2026 zag $620 miljoen aan crypto-verliezen bij 20 incidenten, het slechtste maandelijkse totaal sinds de Bybit-inbraak in februari 2025. De meeste van die verliezen kwamen van infrastructuurfouten. De $1.200 klemborddiefstal staat aan de andere kant van de schaal. Andere methode. Hetzelfde resultaat.
CNC Intel adviseert om na het kopiëren van een portemonnee-adres de klembordinhoud te overschrijven met willekeurige tekst, volledige antivirusscans uit te voeren met tools zoals Malwarebytes of Kaspersky, en het opstarttabblad van Windows via msconfig te controleren op onbekende items. Op Android beginnen de meeste infecties in niet-officiële app-winkels.
De $1.200 van de gebruiker komt niet terug. Wat hij in de plaats kreeg, was een les die minder kostte dan de meeste mensen betalen om het te leren.
Geef een reactie