剪貼簿劫持木馬怎麼防？地址被替換案例

解析剪貼簿劫持木馬的工作原理、典型攻擊場景和防護方法，給加密貨幣使用者的實操參考。

2026-04-29 14 分鐘閱讀 CoinIX 編輯部

剪貼簿劫持木馬（Clipboard Hijacker）是一種"低調但致命"的攻擊方式——使用者複製錢包地址時被悄悄替換為駭客地址。本文給出防護方法。先給結論：每次貼上地址後必須驗證首尾 4-6 位，使用提幣白名單功能，定期防毒 + 不安裝破解軟體是最有效防護。日常賬戶主備雙選可從幣安官網入口註冊主賬戶，安卓裝幣安官方APP，蘋果使用者切換海外 Apple ID 參考 iOS安裝教程。

一、剪貼簿劫持的工作原理

剪貼簿（Clipboard）：作業系統提供的臨時資料儲存區域，用於複製貼上功能。

剪貼簿劫持木馬的工作流程：

1. 使用者在 MetaMask 複製錢包地址 0x1234...abcd
2. 木馬監聽剪貼簿變化
3. 木馬識別複製內容是錢包地址（透過正則匹配）
4. 木馬替換剪貼簿內容為駭客地址 0x9876...xxxx
5. 使用者貼上時實際是駭客地址
6. 使用者未仔細檢查，發起轉賬
7. 資產轉給駭客

關鍵技術點：

正則識別地址：木馬用正則匹配 ^0x[a-fA-F0-9]{40}$ 等模式
多鏈支援：識別 BTC（base58）、ETH（hex）、SOL（base58）等多種地址格式
替換為相似地址：駭客準備了"字首相似"的地址（如 0x1234...xxxx，前 4 位相同）
駐留程序：木馬常駐系統後臺

Q：木馬怎麼生成"字首相似"的地址？

駭客透過Vanity Address Generator（虛榮地址生成器）批次生成地址：

用 GPU 算力暴力列舉私鑰
找到字首符合要求的地址（如 0x1234 開頭）
生成數千個"字首相似"地址用於替換

生成成本：

6 位字首相似（如 0x123456...）：1-10 美元
8 位字首相似：100-1000 美元
完整匹配前後 4 位：天文數字（不現實）

所以字首相似但字尾不同是常見的木馬替換地址特徵。仔細檢查前後 4 位地址可發現替換。

二、剪貼簿木馬的傳播途徑

1. 盜版軟體：

破解版 Office / Adobe Photoshop / Premiere
破解版遊戲
盜版作業系統映象

破解者將木馬植入安裝包，使用者安裝後木馬駐留。

2. 下載站木馬：

非官方下載站的"綠色版"軟體
"破解版"加密貨幣工具（如假 MetaMask）
名字相似的釣魚軟體

3. 瀏覽器擴充套件：

Chrome Web Store 上的惡意擴充套件
"免費 VPN" / "廣告攔截器"等小眾擴充套件
名字仿冒的擴充套件

4. 郵件附件：

釣魚郵件附帶 .exe / .scr / .docm 檔案
加密貨幣相關文件（"專案白皮書.pdf.exe"）

5. PDF 漏洞利用：

開啟惡意 PDF 觸發漏洞
木馬自動下載 + 執行

真實案例：

2024 年 9 月某使用者從盜版站下載"Adobe Premiere 破解版"，木馬駐留 3 周。某天使用者從 MetaMask 複製 ETH 地址提幣 5 ETH，地址被替換。使用者事後才發現地址首位字母已被改，損失 5 ETH（約 2 萬美元）。

Q：怎麼判斷電腦是否有剪貼簿木馬？

簡單測試方法：

1. 開啟 MetaMask 複製一個錢包地址
2. 開啟記事本（不是瀏覽器，避免瀏覽器擴充套件干擾）
3. Ctrl+V 貼上
4. 對比貼上的地址與 MetaMask 顯示的地址是否完全一致

如果不一致，電腦很可能有剪貼簿木馬。立即：

防毒軟體全盤掃描
檢查瀏覽器擴充套件
重灌系統（最穩妥）

三、6 個防護方法

方法 1：每次貼上後必查首尾

最基礎也最有效的防護：

正確貼上流程：
1. 複製錢包地址
2. 貼上到目標位置
3. 檢查貼上後地址的首尾 4-6 位
4. 與原地址首尾對比
5. 一致 → 繼續操作
6. 不一致 → 立即停止 + 排查木馬

首尾 4-6 位的檢查時間約 5-10 秒，但能避免 99% 的剪貼簿替換攻擊。

方法 2：使用提幣白名單

主流交易所支援提幣白名單：

提幣只能轉到預先設定的白名單地址
新增新地址需要 24-48 小時冷卻期
即使剪貼簿被替換，地址不在白名單也無法提幣

幣安、歐易、Bybit 等都支援白名單功能。

Q：如何啟用提幣白名單？

幣安：

1. 安全設定 → 提幣地址管理
2. 啟用"白名單地址提幣"
3. 新增常用地址（帶備註）
4. 儲存（需 2FA 驗證）

歐易、Bybit 類似流程。強烈推薦啟用，是防止剪貼簿攻擊和其他提幣篡改的最有效手段。

方法 3：使用二維碼掃描代替複製貼上

部分錢包支援二維碼掃描：

接收方錢包顯示二維碼
傳送方手機掃碼識別地址
避開剪貼簿環節

適用場景：

手機間互轉
同一房間裝置互轉

Q：二維碼掃描安全嗎？

更安全。但仍需注意：

攝像頭清晰度（避免識別錯誤）
不掃描他人發來的二維碼（可能是釣魚）
掃碼後仍驗證地址首尾

方法 4：不安裝破解軟體

最大風險源是盜版 / 破解軟體：

破解軟體 60%+ 含有惡意程式碼
木馬、鍵盤記錄、剪貼簿劫持常見
"免費"軟體的隱藏成本是你的資產

正版軟體成本比被盜損失低 1000 倍。

方法 5：定期防毒掃描

Windows Defender（Windows 自帶）：每週自動掃描
Malwarebytes：免費版每月手動掃描
專業付費：Bitdefender / Kaspersky / Norton

Q：免費防毒軟體夠用嗎？

夠用。Windows Defender + Malwarebytes 免費版的組合能攔截 95%+ 木馬：

Windows Defender：基礎防護 + 實時監控
Malwarebytes：掃描更深入 + 反廣告軟體

付費防毒額外功能（如銀行保護、瀏覽器隔離）對加密貨幣使用者用處一般。

方法 6：硬體錢包 + 離線裝置簽名

最高階防護：

硬體錢包螢幕顯示地址：使用者在硬體錢包螢幕上驗證
離線簽名裝置：交易在隔離裝置上完成
多籤：多人獨立驗證

硬體錢包不受剪貼簿木馬影響：

使用者在 Ledger / Trezor 螢幕上看到的地址 = 真實接收方
即使電腦剪貼簿被替換，硬體錢包螢幕顯示真實地址
仔細檢查螢幕顯示 = 不會被騙

四、不同作業系統的防護差異

Windows 系統：

剪貼簿木馬最多
Windows Defender 必須開啟
不下載破解軟體

Mac 系統：

較安全（沙箱機制）
但仍有 Mac 木馬（如 KeyRanger）
安裝軟體時檢查開發者證書

Linux 系統：

最安全（小眾系統，木馬少）
但使用者群專業，針對性攻擊仍存在
用包管理器安裝軟體（apt / yum）

iOS / Android（手機）：

沙箱機制限制剪貼簿訪問
但部分 APP 有"讀取剪貼簿"許可權
檢查許可權設定

Q：iOS 和 Android 哪個更安全？

iOS 略安全：

嚴格的應用稽核
沙箱機制更嚴
沒有"側載安裝"（除非越獄）

Android 風險更高：

應用稽核較松
使用者可側載安裝 APK
"輔助功能"許可權可讀取剪貼簿

加密貨幣使用者：

iOS：日常用 + 大額操作
Android：僅日常用 + 不安裝破解 APK

五、剪貼簿攻擊的高階形態

1. 瀏覽器 JavaScript 剪貼簿攻擊：

網頁透過 JavaScript 監聽 paste 事件
替換貼上內容為惡意地址
僅在使用者訪問該網站時生效

防護：禁用網頁的剪貼簿訪問許可權（部分瀏覽器支援）

2. 瀏覽器擴充套件剪貼簿攻擊：

惡意擴充套件長期監聽剪貼簿
與系統級木馬類似但範圍限於瀏覽器
"免費 VPN"擴充套件常見

防護：僅安裝可信擴充套件 + 定期審計已安裝擴充套件

3. 移動 APP 剪貼簿攻擊：

部分 APP 在前臺時讀取剪貼簿
錢包 APP 自動識別地址（可能是良性，也可能惡意）
iOS 14+ 增加剪貼簿訪問通知

防護：使用主流錢包 APP + 關閉不必要 APP 的"剪貼簿許可權"

Q：iOS 14+ 的剪貼簿訪問通知有用嗎？

非常有用：

當 APP 讀取剪貼簿時，iOS 顯示提示（"XXX 已貼上自微信"）
異常通知 = 警惕該 APP
幫助識別隱蔽的剪貼簿攻擊

Android 13+ 也有類似功能。

六、提幣流程的最佳實踐

完整的安全提幣流程：

1. 在交易所選擇提幣 → 選擇幣種 + 網路
2. 複製目標錢包地址（來自 MetaMask / Ledger 等）
3. 貼上到提幣頁面
4. 驗證地址首尾 4-6 位
5. 在硬體錢包螢幕（如有）確認地址
6. 輸入提幣數量
7. 輸入 2FA 驗證碼
8. 提交提幣申請
9. 收到郵件確認 + 檢查郵件中的地址（最後一道防線）
10. 等待提幣到賬

關鍵檢查點：

檢查點	內容
步驟 4	地址首尾對比
步驟 5	硬體錢包螢幕驗證
步驟 9	郵件中的地址再次驗證

三重檢查可避免 99.9% 的剪貼簿攻擊。

Q：如何確認硬體錢包螢幕顯示的地址是真實的？

硬體錢包螢幕直接來自硬體，不經過電腦：

即使電腦被木馬控制
硬體錢包的螢幕顯示是從私鑰推導的地址
木馬無法篡改硬體螢幕

所以硬體錢包螢幕 = 真實地址。仔細檢查螢幕顯示。

七、其他型別的剪貼簿攻擊

1. 助記詞剪貼簿攻擊：

部分使用者複製貼上助記詞到記事本備份。剪貼簿木馬識別 12-24 個英文單詞後直接傳送到駭客伺服器。

防護：

助記詞永遠不復制到剪貼簿
僅手抄到紙上

2. 私鑰剪貼簿攻擊：

複製私鑰（64 位 hex 字元）時被木馬識別 + 上傳。

防護：

私鑰永遠不匯出 + 不復制
用助記詞管理錢包

3. 密碼剪貼簿攻擊：

複製密碼到登入框時被記錄。

防護：

用密碼管理器自動填充（避開剪貼簿）
1Password / Bitwarden 預設避開剪貼簿

4. API 金鑰剪貼簿攻擊：

複製交易所 API 金鑰時被截獲。

防護：

API 金鑰設定 IP 白名單（即使被截獲也無法用）
關閉 API 提幣許可權

Q：密碼管理器是否避開剪貼簿攻擊？

部分避開。1Password / Bitwarden 等支援：

自動填充：直接填入密碼框，不經過剪貼簿
快速複製（避開 Clipboard API）：部分平臺支援

但：

跨應用複製貼上：仍需要剪貼簿
手動貼上密碼：仍可被攻擊

最佳實踐：用密碼管理器 + 減少手動複製貼上。

八、被剪貼簿攻擊後的應急處理

1. 立即檢查近期所有轉賬：

交易所提幣歷史：是否有未授權提幣？
MetaMask 轉賬歷史：是否有異常轉出？
鏈上餘額：是否有意外減少？

2. 全盤防毒 + 重灌：

防毒軟體全盤掃描
檢查啟動項 + 程序
重灌系統（最穩妥）

3. 改所有相關密碼：

交易所密碼
郵箱密碼
錢包密碼（如可能洩露）

4. 關閉 API 金鑰：

交易所所有 API
刪除可疑 API

5. 資產轉移：

把剩餘資產轉到新錢包（不要繼續用懷疑被攻擊的裝置）
用全新郵箱註冊新交易所賬戶

6. 報警 + 鏈上追蹤：

派出所立案
鏈上分析公司協助追蹤
聯絡收款 CEX 風控凍結

九、常見 FAQ

Q：剪貼簿攻擊只針對加密貨幣嗎？

不是。剪貼簿攻擊也可針對：

銀行賬號：替換收款賬號
支付寶 / 微信賬號：替換收款賬戶
任何 ID / 密碼

但加密貨幣是主要目標，因為：

鏈上轉賬不可逆（出去就追不回）
單筆金額大
駭客追蹤難度低

Q：剪貼簿木馬常駐多久才被發現？

平均 2-8 周才被使用者發現：

木馬駐留隱蔽（不影響正常使用）
僅在複製錢包地址時才觸發
使用者可能多次複製地址都未被替換（木馬隨機觸發避免被發現）

所以"看似沒事"不等於安全，定期防毒非常重要。

Q：手機上的剪貼簿攻擊多嗎？

iOS 上較少（沙箱機制限制），Android 上較多：

Android 上 APP 可後臺讀取剪貼簿
部分廣告 SDK 內建剪貼簿監控
錢包 APP 互相讀取（"自動識別地址"功能）

Android 使用者：使用主流錢包 APP + 關閉不必要 APP 許可權。

Q：用 Linux 能避免剪貼簿攻擊嗎？

顯著降低但不完全免疫：

Linux 木馬少（小眾系統）
但仍有針對加密貨幣的 Linux 木馬（如 LeashedRat）

Linux 仍需防毒 + 謹慎安裝軟體。

Q：剪貼簿攻擊會留下痕跡嗎？

會：

程序列表：木馬常駐程序可被檢測
網路流量：木馬上傳資料有外發流量
啟動項：自啟動條目可被發現
登錄檔 / 配置檔案：修改痕跡

專業防毒軟體可識別這些痕跡。

Q：用虛擬機器做加密貨幣交易能防剪貼簿攻擊嗎？

部分有效：

虛擬機器隔離：宿主機木馬無法直接訪問 VM 內剪貼簿
VM 內剪貼簿：仍可能有木馬（如果 VM 也被感染）

最穩的策略：

專用裝置做大額交易（與日常電腦分離）
裝置只裝必要軟體（不裝遊戲 / 破解軟體）
啟用所有安全防護

Q：硬體錢包能完全防禦剪貼簿攻擊嗎？

是。硬體錢包是剪貼簿攻擊的終極防禦：

接收地址在硬體螢幕顯示（不經過電腦剪貼簿）
使用者必須物理按鍵確認
即使電腦剪貼簿被替換，硬體錢包螢幕顯示真實地址

仔細檢查硬體錢包螢幕 = 完全免疫剪貼簿攻擊。

Q：可以禁用剪貼簿功能嗎？

可以但不實用：

作業系統通常不提供"完全禁用剪貼簿"
部分軟體可限制剪貼簿訪問（如某些密碼管理器）
大部分使用者禁用後影響日常使用

更好的做法：

使用密碼管理器自動填充（避開剪貼簿）
啟用 iOS 14+ / Android 13+ 的剪貼簿通知
大額操作用硬體錢包

資料來源

各類剪貼簿木馬樣本分析（VirusTotal）
SlowMist 鏈上事件資料庫
微軟 Windows Defender 威脅報告
Mac App Store 稽核政策

風險提示：本文為獨立第三方梳理，不構成投資建議。剪貼簿劫持是隱蔽但常見的攻擊手法，保持警惕和驗證習慣是核心防護。所有資料為 2026 年 4 月。