Nawalan ng $1,200 ang isang user ng Bybit matapos tahimik na palitan ng clipboard malware ang kanyang wallet address sa kalagitnaan ng paglipat. Narito kung ano ang nangyari at kung paano ito gumagana.
Iniwan ng pera ang kanyang MetaMask wallet na malinis. Walang mga error. Walang babala. Kakaalis lang.
Isang user ng Bybit ang nagpadala ng $1,200 sa pinaniniwalaan niyang sarili niyang address ng deposito. Lumipas ang sampung minuto. Tapos isang oras. Walang kumpirmasyon mula sa Bybit na dumating. Ayon sa crypto security account BalaiBB sa X, kinopya ng user ang kanyang Bybit wallet address, binuksan ang MetaMask, i-paste ito, at pindutin ang send, sa paraang ginagawa ng lahat.
Kung Ano ang Nahanap Niya Noong Sinuri Niya ang Transaksyon
Noong hindi pa rin lumalabas ang deposito, Nag-post ang BalaiBB sa Xna bumalik ang user at tiningnan ang address na talagang ipinadala niya. Hindi ito sa kanya. Ang device ay nagpapatakbo ng clipboard na nang-hijack ng malware. Sa sandaling makopya ang address, pinalitan ito ng malware para sa wallet na kontrolado ng attacker. Dinikit niya ang kapalit. Nagpadala siya sa isang estranghero.
Ang malware ay hindi kailanman gumawa ng tunog.
Ang ganitong uri ng pag-atake ay tumatakbo sa background ng isang nakompromisong Android device, naghihintay. Kapag naka-detect ito ng mahabang alphanumeric string na mukhang isang crypto wallet address, agad itong papalitan. Walang nakikitang pagbabago ang user. Ang paste ay mukhang magkapareho sa isang sulyap. Ang huling apat na karakter lamang ang magsasabi ng kuwento, kung sinuman ang mag-abala upang suriin. Ayon sa BalaiBB sa X, ang simpleng pag-aayos ay palaging paghahambing ng una at huling apat na character ng anumang address pagkatapos i-paste, bago kumpirmahin ang isang transaksyon.
Ayon sa mga mananaliksik ng cybersecurity sa CNC Intel, maaaring pumasok ang mga clipboard hijacker sa isang device sa pamamagitan ng mga pekeng extension ng browser, mga trojan na naka-bundle sa loob ng mga malilim na pag-download, o mga link sa phishing. Ang isang kilalang strain, ang Qulab, ay partikular na nag-target ng mga Android device sa pamamagitan ng pagtatago sa sarili sa loob ng pekeng Tor Browser apps na ipinamahagi sa pamamagitan ng hindi opisyal na mga app store. Itinatakda ng malware ang sarili nitong tumakbo sa pagsisimula.
Limang Paraan na Nauubos ang Iyong Wallet Nang Hindi Mo Nagki-click sa Anumang Malinaw
Hindi huminto ang BalaiBB sa babala sa clipboard. Sa isang follow-up na thread sa X, inilatag ng account ang apat na iba pang uri ng pag-atake na tahimik na nag-drain ng mga wallet.
Ang mga pekeng pag-apruba ng token ay pumangalawa sa listahan. Isang random na token ang lumalabas sa isang wallet. Sinusubukan ng user na ibenta ito sa isang DEX. Sa sandaling aprubahan nila ang transaksyon, ang kontrata ay walang laman ang lahat. Panuntunan ng BalaiBB: kung hindi mo ito binili, huwag hawakan ito.
Ang mga phishing site, na mga kopya ng mga lehitimong DeFi platform na may halos magkaparehong URL, ay niraranggo sa pangatlo. Ang URLuniswop.comsa halip nauniswap.orgay ang uri ng pagkakaiba na ini-scroll ng karamihan sa mga gumagamit. Isang koneksyon sa pitaka kasama ang isang naaprubahang transaksyon, at wala na ang mga pondo. Gaya ng binanggit ng BalaiBB sa X, ang pag-bookmark ng mga opisyal na site ay ang tanging maaasahang depensa.
Ang pekeng suporta sa customer ay ni-round out ang mga bagay. May nag-tweet ng problema sa MetaMask. Sa loob ng ilang minuto, nag-DM sa kanila ang isang “agent ng suporta” na humihingi ng seed na parirala upang “ayusin ang isyu.” Ang BalaiBB sa X ay prangka tungkol dito: walang lehitimong kumpanya ang hihingi ng isang seed na parirala. Hindi minsan.
Ang ikalimang uri ng pag-atake, ang Discord social engineering, ay tumatakbo sa pamamagitan ng mga nakompromisong mod account sa mga lehitimong server. Ang isang pekeng “surprise mint” o airdrop na link ay lumalabas mula sa isang pinagkakatiwalaang pangalan. Nag-click ang mga tao dahil nagmula ito sa isang taong nakilala nila. Ikinonekta nila ang kanilang wallet. Umalis ang pondo.
Mga pekeng Google Play app na naghahatid ng katulad na gawi sa pagpapalitan ng clipboardNaidokumento na ang pag-target sa mga Android device sa Brazil, kung saan ang mga umaatake ay bumuo ng mga imitation na page ng app store para ipamahagi ang malware na partikular na nagpapalit ng mga address ng wallet sa panahon ng mga paglilipat ng USDT.
Ang Bahaging Walang Binabanggit: Walang Refund
Ang mga transaksyon sa Blockchain ay pinal. Walang support ticket, walang dispute window, walang banko na matatawagan. Kinumpirma ng CNC Intel na ang pagbawi ng crypto na ninakaw sa pamamagitan ng clipboard hijacking ay halos imposible kapag na-clear na ang transaksyon. Nabanggit ng firm na ito ay nagtrabaho kasama ng pagpapatupad ng batas upang masubaybayan ang mga pondo sa mga naturang kaso, kahit na ang pagbawi ay nananatiling bihira.
Ang ninakaw na address ay maaaring masubaybayan on-chain. Ang pera, halos nagsasalita, ay hindi maaaring makuha.
Noong Abril 2026, nagkaroon ng $620 milyon ang pagkalugi sa cryptosa 20 insidente, ang pinakamasamang buwanang kabuuan mula noong Pebrero 2025 na paglabag sa Bybit. Karamihan sa mga pagkalugi ay nagmula sa mga pagkabigo sa antas ng imprastraktura. Ang $1,200 na pagnanakaw ng clipboard ay nasa kabilang dulo ng sukat. Iba’t ibang paraan. Parehong resulta.
Inirerekomenda ng CNC Intel ang pag-overwrite sa mga content ng clipboard gamit ang random na text pagkatapos kopyahin ang address ng wallet, patakbuhin ang buong antivirus scan gamit ang mga tool tulad ng Malwarebytes o Kaspersky, at suriin ang tab ng Windows startup sa pamamagitan ng msconfig para sa anumang hindi pamilyar na mga entry. Sa Android, ang mga hindi opisyal na tindahan ng app ay kung saan nagsisimula ang karamihan sa mga impeksyon.
Ang $1,200 ng user ay hindi babalik. Ang nakuha niya sa halip ay isang aral na mas mura kaysa sa binabayaran ng karamihan sa mga tao para matutunan ito.
Β
Pinagmulan: Live Bitcoin News
Mag-iwan ng Tugon