定义
Clipper(也叫 Clipboard Hijacker / Crypto Clipper)是一类常驻后台的木马。监听系统剪贴板,一旦内容匹配加密地址正则就替换成攻击者地址。
每条链格式不同(BTC 的 bc1q 开头 / ETH 的 0x 开头 42 位 / TRC20 的 T 开头 34 位),Clipper 内置上百个常见地址前缀,并预制大量"碰瓷地址"(首尾几位跟你常用地址相同)让结果看起来眼熟。
感染路径
盗版软件。破解版 Office / Adobe / IDE 的安装包里塞 Clipper 是常见渠道。下载站越冷门越危险。
假钱包软件。百度搜 imToken 排第一的可能是钓鱼站,下下来的安装包带 Clipper。
Chrome 插件污染。恶意插件能拿到剪贴板权限,原理跟桌面版 Clipper 一样。
手机端剪贴板权限滥用。iOS 14 之后会弹「X 应用读取了剪贴板」,发现可疑就立刻卸载。
识别要点
Clipper 不会有任何病毒症状 —— CPU 不飙高、风扇不响、网速不卡。它静静等你做转账。唯一的识别方式是粘贴后逐字核对地址(至少看前 6 位 + 后 6 位)。多数人不会这么做,所以这种攻击的成功率比花哨的钓鱼站更高。
防御工具箱
地址簿白名单。Binance / OKX 等交易所都支持"提现地址白名单 + 48 小时冷却",开了之后即使木马替换了地址,提现也走不通。这是最有效的一道闸。
硬件钱包确认屏。Ledger / Trezor 在签名时会在硬件屏幕上独立显示目标地址 —— 木马改不了硬件屏。习惯每次都瞄一眼屏幕,配合白名单几乎万无一失。
系统层 · 杀软 + 限权账户。日常不要常态用管理员账户。