Isang user ng Bybit ang nawalan ng $1,200 matapos palitan ng clipboard malware ang kanyang wallet address nang tahimik habang naglilipat. Narito ang nangyari at kung paano ito gumagana.
Lumabas ang pera mula sa kanyang MetaMask wallet nang walang anumang aberya. Walang error. Walang babala. Nawala lang.
Isang user ng Bybit ang nagpadala ng $1,200 sa inaakala niyang sarili niyang deposit address. Lumipas ang sampung minuto. Saka isang oras. Walang dumating na kumpirmasyon mula sa Bybit. Ayon sa crypto security account na BalaiBB sa X, kinopya ng user ang kanyang Bybit wallet address, binuksan ang MetaMask, idinikit ito, at pinindot ang send, gaya ng ginagawa ng lahat.
Ang Natuklasan Niya Nang Suriin ang Transaksyon
Nang hindi pa rin lumalabas ang deposit, nag-post si BalaiBB sa X na bumalik ang user at tiningnan ang address na aktuwal niyang pinadalahan. Hindi ito sa kanya. Ang device ay may tumatakbong clipboard hijacking malware. Sa sandaling kinopya ang address, pinalitan ito ng malware ng wallet na kontrolado ng attacker. Idinikit niya ang kapalit. Nagpadala siya sa isang estranghero.
Hindi nag-ingay ang malware.
Ang ganitong uri ng pag-atake ay tumatakbo sa background ng isang naka-compromise na Android device, naghihintay. Kapag nakakita ito ng mahabang alphanumeric string na mukhang crypto wallet address, pinapalitan ito kaagad. Walang nakikitang pagbabago ang user. Ang idinikit ay mukhang magkapareho sa unang tingin. Tanging ang huling apat na karakter ang nagsasabi ng totoo, kung may mag-abalang suriin. Ayon kay BalaiBB sa X, ang simpleng solusyon ay laging ihambing ang una at huling apat na karakter ng anumang address pagkatapos idikit, bago kumpirmahin ang isang transaksyon.
Ayon sa mga cybersecurity researcher sa CNC Intel, ang mga clipboard hijacker ay maaaring pumasok sa isang device sa pamamagitan ng pekeng browser extensions, trojans na nakapaloob sa mga kahina-hinalang download, o phishing links. Isang kilalang strain, ang Qulab, ay partikular na nag-target ng mga Android device sa pamamagitan ng pagpapanggap bilang mga pekeng Tor Browser app na ipinamahagi sa pamamagitan ng hindi opisyal na app stores. Ang malware ay nagtatakda na tumakbo sa pagsisimula.
Limang Paraan Kung Paano Nauubos ang Iyong Wallet Nang Hindi Ka Nagki-click ng Kahit Anong Halata
Hindi tumigil si BalaiBB sa babala tungkol sa clipboard. Sa isang follow-up thread sa X, inilatag ng account ang apat pang uri ng pag-atake na umuubos ng mga wallet nang tahimik din.
Pangalawa sa listahan ang mga pekeng token approval. May random na token na lumilitaw sa isang wallet. Sinubukan ng user na ibenta ito sa isang DEX. Sa sandaling aprubahan nila ang transaksyon, inaalis ng kontrata ang lahat. Ang patakaran ni BalaiBB: kung hindi mo ito binili, huwag galawin.
Ang mga phishing site, na mga kopya ng lehitimong DeFi platform na may halos magkaparehong URL, ay pangatlo. Ang URL na uniswop.com sa halip na uniswap.org ay uri ng pagkakaiba na karamihan ng user ay hindi pinapansin. Isang koneksyon sa wallet at isang aprubadong transaksyon, at wala na ang pondo. Gaya ng nabanggit ni BalaiBB sa X, ang pag-bookmark ng mga opisyal na site ay ang tanging maaasahang depensa.
Ang pekeng customer support ang nagtapos. May nag-tweet ng problema sa MetaMask. Sa loob ng ilang minuto, isang “support agent” ang nag-DM sa kanila na humihingi ng seed phrase para “ayusin ang isyu.” Si BalaiBB sa X ay prangka tungkol dito: walang lehitimong kumpanya ang hihingi ng seed phrase. Kahit minsan.
Ang ikalimang uri ng pag-atake, Discord social engineering, ay gumagana sa pamamagitan ng mga compromised mod account sa mga lehitimong server. Isang pekeng “surprise mint” o airdrop link ang lumalabas mula sa isang pinagkakatiwalaang pangalan. Nagki-click ang mga tao dahil galing ito sa isang taong kilala nila. Ikinonekta nila ang kanilang wallet. Umalis ang pondo.
Ang mga pekeng Google Play app na naghahatid ng katulad na clipboard-swapping behavior ay naidokumento na na nagta-target ng mga Android device sa Brazil, kung saan gumawa ang mga attacker ng mga pekeng app store page para ipamahagi ang malware na partikular na nagpapalit ng wallet address sa panahon ng USDT transfers.
Ang Bahaging Walang Nagbabanggit: Walang Refund
Ang mga transaksyon sa blockchain ay pinal. Walang support ticket, walang dispute window, walang bangko na tatawagan. Kinumpirma ng CNC Intel na ang pagbawi ng crypto na nanakaw sa pamamagitan ng clipboard hijacking ay halos imposible kapag na-clears ang transaksyon. Nabanggit ng kompanya na nakipagtulungan ito sa mga awtoridad upang subaybayan ang pondo sa mga ganitong kaso, bagaman bihira pa rin ang pagbawi.
Ang nanakaw na address ay maaaring ma-track on-chain. Ang pera, praktikal na pagsasalita, ay hindi na mababawi.
Noong Abril 2026, umabot sa $620 milyon ang pagkalugi sa crypto sa 20 insidente, ang pinakamasamang buwanang kabuuan mula noong paglabag sa Bybit noong Pebrero 2025. Karamihan sa mga pagkalugi na iyon ay nagmula sa mga pagkabigo sa antas ng imprastraktura. Ang $1,200 na pagnanakaw sa clipboard ay nasa kabilang dulo ng sukatan. Iba’t ibang paraan. Parehong resulta.
Inirerekomenda ng CNC Intel na i-overwrite ang clipboard contents ng random text pagkatapos kumopya ng wallet address, magpatakbo ng buong antivirus scan gamit ang mga tool tulad ng Malwarebytes o Kaspersky, at suriin ang Windows startup tab sa pamamagitan ng msconfig para sa anumang hindi pamilyar na entries. Sa Android, ang mga hindi opisyal na app store ang karaniwang pinagmumulan ng karamihan sa mga impeksyon.
Ang $1,200 ng user ay hindi na babalik. Ang nakuha niya kapalit ay isang aral na mas mura kaysa sa karaniwang binabayaran ng mga tao para matutunan ito.
Mag-iwan ng Tugon