Clipboard Hijacking Attack: расследование подмены адреса кошелька при отправке криптовалюты

Представьте сцену. Вы копируете адрес кошелька друга в MetaMask → вставляете в Binance → нажимаете Send. Сумма: 10 000 USDT Сеть: Ethereum Комиссия: низкая Адрес: проверили глазами — вроде всё верно. Транзакция уходит. Вы ждёте. Друг пишет: “Мне ничего не пришло.” Вы проверяете хэш: адрес получателя — 0xF89…B44. Но это не тот адрес, который вы копировали. И в этот момент вы понимаете:

💀 на вашем устройстве — Clipboard Hijacker,
💀 ваш адрес заменили в момент вставки,
💀 деньги ушли на кошелёк мошенника.

Это одна из самых быстрых и незаметных атак: она длится меньше 0.03 секунды.

Что такое Clipboard Hijacking Attack — простыми словами

Clipboard Hijacking Attack — это вредоносная программа, которая:

• следит за вашим буфером обмена,
• обнаруживает, когда вы копируете адрес кошелька,
• заменяет его на адрес хакера,
• делает это мгновенно и незаметно.

Она не ломает MetaMask. Она не взламывает блокчейн. Она не требует доступа к seed phrase. Она просто подменяет вставляемый адрес.

И большинство людей никогда не проверяет:

• начало адреса,
• середину,
• конец.

Они видят “0xA3…”, думают “да, похоже”, и нажимают “Отправить”.

Как начинается атака — первый шаг злоумышленника

Злоумышленник распространяет вирус через:

• скачанные пиратские программы,
• фейковые Telegram-боты,
• установочные файлы “MetaMask Fix”,
• фишинговые расширения браузера,
• крякнутые игры,
• “антидетект браузеры” из тёмных каналов,
• фейковые апдейты Windows,
• мобильные APK с вредоносным кодом.

Как только устройство заражено, вирус начинает слушать буфер обмена:

Это простейшая строка кода — и тысячи жертв.

Как работает схема — механика атаки

Шаг 1 — вы копируете адрес кошелька

Пример:

Шаг 2 — вирус перехватывает буфер обмена

Он понимает, что это:

• Ethereum-адрес,
• Bitcoin-адрес,
• Tron,
• Solana,
• BEP-20,
• LTC / XRP / ADA.

Алгоритм:

Шаг 3 — адрес заменяется на адрес хакера

Например:

Шаг 4 — вы нажимаете “Отправить”

Потому что адрес выглядит “похожим”.

Шаг 5 — деньги уходят мошеннику

Вы ничего не замечаете до тех пор, пока не становится поздно.

Блокчейн-трейсинг — как выглядит Clipboard Hijacking

Жертва:
0xA72...97C

Хакер:
0xF89...B44

Шаг 1 — Жертва отправляет 10 000 USDT

Транзакция:

Шаг 2 — Хакер мгновенно выводит токены

Маршрут:

1. USDT → ETH (через Uniswap)
2. ETH → FixedFloat
3. FixedFloat → TON
4. Уход на холодные кошельки

Итоговые потери:

$10 000 USDT
Время атаки:
подмена — 0.03 сек
вывод средств — 90 сек

Кто стоит за Clipboard Hijacking Attack (OSINT)

✔ 1. Крупные фишинговые группировки

Восточная Европа, Китай, Северная Африка.

✔ 2. Telegram-каналы с продажей вирусов

Скрипт стоит 20–50$.

✔ 3. “YouTube-гуру”, продающие “MetaMask Fix files”

Большинство таких файлов — вирусы.

✔ 4. Malware-as-a-Service

Шок, но правда: можно арендовать перехватчик буфера обмена по подписке — 150$/месяц.

✔ 5. Индивидуальные хакеры

Одновременно заражают:

• Windows,
• Android,
• macOS.

Психология жертв — почему люди попадаются

✔ 1. Люди думают, что если блокчейн безопасный, то “всё безопасно”

Атака идёт не на блокчейн — а на вашу ОС.

✔ 2. Люди ленятся проверять адрес полностью

Проверяют только начало.

✔ 3. Люди скачивают “бесплатный софт”

И получают вирус внутри.

✔ 4. Люди не понимают, что вирус может работать без доступа к MetaMask

Clipboard Hijacker вообще не взаимодействует с кошельком.

✔ 5. Люди доверяют YouTube “инструкциям”

А криминальные группы используют YouTube как дистрибуцию.

Последствия Clipboard Hijacking

• Потери: от $50 до $1 000 000.
• Вирус остаётся на системе месяцами.
• Жертвы теряют NFT, DeFi-позиции, стейкинг.
• Хакеры используют ботов для автоматизации вывода.
• Невозможно вернуть транзакцию.

В 2024–2025 ущерб превысил $150 млн.

Как защититься — строгие рекомендации

🔥 КРАСНЫЕ ФЛАГИ

• скачанный пиратский софт,
• фейковые MetaMask обновления,
• APK-файлы не из Google Play,
• странные расширения Chrome,
• компьютер “тормозит”, появляются иконки,
• адрес при вставке “слегка другой”.

ЗАЩИТА

✔ 1. Проверяйте адрес полностью

Первые 6 и последние 6 символов минимум.

✔ 2. Используйте аппаратный кошелёк

Ledger/Trezor не помогут от подмены, но спасут большие суммы.

✔ 3. Отключайте подозрительные расширения

Особенно “кошельки” и “VPN”.

✔ 4. Устанавливайте только официальные приложения

MetaMask → metamask.io
Phantom → phantom.app

✔ 5. Не скачивайте программы из YouTube

99% “кряков” — вирусы.

✔ 6. Регулярно сканируйте ПК

Malwarebytes
Kaspersky
Bitdefender

✔ 7. Делайте отдельный компьютер для крипты

Лучший способ защиты.

Главный вывод

Clipboard Hijacking — это не “хакинг блокчейна”, это хакинг ваших привычек.

Он использует:

• скорость,
• невнимательность,
• доверие,
• незнание,
• человеческие ошибки.

Одна подмена — и вы теряете весь портфель.
Без шума.
Без следов.
Без обратимости.

Это атака, которая работает потому, что люди спешат.

CTA — продолжение расследований

Готовы следующие статьи:

👉 Bridging Validation Exploit
👉 Slippage Manipulation Scam
👉 Liquidity Mirroring Attack
👉 Multisig Governance Attack
👉 Backdoor Smart Contract Exploit

Хочешь — подготовлю PDF-сборник всей серии.