复制粘贴也会丢币:地址投毒和剪贴板劫持

现场还原 · 人物为虚构,手法是真实流行的典型套路

老张往自己的链上钱包转 USDT 有些日子了,流程熟得不能再熟:打开转账记录,找到上次转过的那条,复制收款地址,粘贴,核对开头四位、结尾四位——都对,确认。

这一次也一样。开头是熟悉的那几位,结尾也是熟悉的那几个字符,他看了两眼,点了发送。链上很快显示成功,自己钱包里却迟迟没有进账。

回头翻记录他才看明白:他复制的那条「上次转账」,根本不是他转出去的——那是几天前一笔金额为零的转入,对方地址的开头和结尾,与他自己的钱包地址一模一样,只有中间那一长段不同。有人提前把一个「双胞胎地址」塞进了他的转账历史,等的就是他这次随手一复制。

这套手法叫地址投毒。它和另一种更老牌的攻击——剪贴板劫持——盯上的是同一个动作:你以为复制粘贴最不会出错,而它们恰恰只在复制和粘贴之间动手。链上转账不可撤销,这两个局一旦做成,基本没有挽回的机会。这篇把原理和防法一次讲透。

地址投毒:假地址是怎么混进你历史的

先记住一个前提:生成一个区块链地址是免费的,而且想生成多少有多少。攻击者用程序批量生成地址,专门去撞「开头几位和结尾几位与你常用地址相同」的组合,撞出来只是时间问题。

然后他给你转一笔钱——金额为零,或者小数点后好几位的粉尘。这笔转账对你没有任何直接伤害,它的全部目的,是在你的钱包记录、交易所充值记录里占一个位置。从这天起,你的转账历史里就躺着一条首尾眼熟、其实陌生的地址。

剩下的交给习惯。很多人转账时图省事,从历史记录里找「上次那条」直接复制——列表里两条记录首尾长得一样,挑中哪条全凭运气。在部分链上,这类攻击甚至能把记录伪装成「从你的地址转出」的样子,看起来更像你自己用过的地址,迷惑性又高一层。

别觉得自己是小透明就没事。这类攻击是广撒网的生意:程序批量盯着链上活跃地址,谁转账频繁、谁余额可观,谁就会收到为他「定制」的双胞胎地址。投毒一次的成本低到几乎为零,这张网因此撒得又大又密;哪天你图省事从历史记录里随手一复制,就可能正好踩中。

剪贴板劫持:粘贴的瞬间被偷换

地址投毒在你的「历史」里做局,剪贴板劫持则直接动你的「现在」。

这是一类恶意软件,常驻后台只干一件事:监听剪贴板。一旦发现你复制的内容长得像加密地址——T 开头 34 位、0x 开头 42 位,这种格式特征一眼就能识别——立刻把剪贴板里的内容换成攻击者的地址。你复制的是对的,粘贴出来的是错的,全程没有任何弹窗和提示。

木马从哪来?盗版软件、破解工具、来路不明的浏览器插件、假冒的钱包 App,都是常见的藏身处。更麻烦的是,部分木马手里备着一整池不同首尾的地址,专门挑与你复制的那串首尾相近的来替换——也就是说,它和地址投毒一样,是冲着「只核对首尾」这个习惯来的。

有个十几秒的自测值得知道:复制完地址先别去转账页,找个记事本粘贴一次,把粘出来的和原文逐段对一遍——两串不一致,基本可以断定剪贴板被动了手脚,这台设备从此别再碰转账。不过要清醒一点:这个自测只防得住当下,防不住将来,木马完全可以这次不换、下次再换,所以它代替不了转账页上的最终核对。

为什么「只核对首尾四位」恰恰挡不住

核对首尾四位,曾经是个够用的习惯——错一位都对不上,手抄时代防的是笔误。但攻击者的成本结构变了:撞出首四位和尾四位都相同的地址,普通电脑跑一阵就能做到;每多撞对一位,难度翻几十倍,但攻击者不需要更多,因为大家都只看首尾四位,他就只造首尾四位。你的核对范围,决定了他的造假范围。

所以核对方式要升级,成本其实没高多少:

• 首四位 + 尾四位 + 中间任挑一段。中间随机挑四到六个字符对一遍,撞库难度对攻击者来说就从「跑一阵」变成「不现实」。
• 金额大的时候,全串逐字滚一遍。几十个字符,十几秒钟,和这笔钱比不值一提。
• 核对的参照物必须来自可信源头:收款方当场发来的、自己钱包里当场显示的,而不是你的历史记录——历史可能已经被投毒了。

转账前三查

三查里最容易被嫌麻烦的是第三条,但它恰恰是最后一道保险:就算前两道都失守,试转那一小笔丢了,大头还在。为什么老手都坚持这个笨办法,小额试转这篇讲透了。

平时的保命习惯

第一,把常用地址存进地址簿,转账只从地址簿选。自己钱包的地址簿、交易所的提币白名单,作用相同:地址录入时认真核一次,之后每次转账都从列表里选,不再经过复制粘贴,投毒和劫持都无从下手。交易所的白名单还能更进一步——开启后,新地址要过验证和等待期才能用,就算账户被盗,贼也没法立刻把币提到他自己的地址。

第二,绝不从聊天记录和转账历史里随手复制地址。历史可能被投毒,聊天记录同样不保险:群里有人冒充收款方发一条「新地址」,或者对方的账号本身被盗,你复制得再仔细也是错的地址。要地址,让对方当场重新发,发完最好换一个渠道再确认一遍首尾。

第三,管好设备。剪贴板劫持的前提是机器上有木马:不装盗版和破解软件,钱包 App 只从官方渠道下载,浏览器插件能少装就少装。转大额的设备,越「干净」越好。

中招了怎么办

先说实话:钱进了攻击者的地址,追回的概率非常低。链上转账不可撤销,没有任何机构能强制把币划回来——这笔钱的处境,和把币转错了地址完全一样,哪些情况还有一线希望、哪些可以死心,转错地址这篇分情况讲透了。但低概率不等于什么都不做,下面几件事仍然值得做,顺序如下:

1. 立刻停用中招的设备转账。如果是剪贴板被劫持,说明设备上有木马,先彻底查杀甚至重装系统,换干净设备改掉相关账户的密码和两步验证。
2. 保全证据并报案。TxID、双方地址、转账截图、发现经过,整理好向警方报案。能否追回不取决于你,但正式立案是后续一切环节的前提。
3. 向平台和浏览器举报攻击者地址。交易所和主流区块浏览器都接受地址举报,标记虽然救不回你这笔,但能拦下后面的人。

如果中招的环节在交易所一侧——比如账户被盗、贼把币提去了陌生地址——除了报案,还要第一时间冻结账户、改密码换 2FA,并把被盗经过提交给平台安全团队。平台拦不回已经上链的币,但能配合警方提供登录与设备记录,也能拦下账户里还没被动的部分。

然后是必须说重的一句:当你在网上讲述被骗经过之后,「链上追回专家」「黑客团队」「维权律师」会主动找上门,开口先收定金或手续费的,全部是骗子,没有例外。被骗一次已经够疼,二次诈骗专挑这个时候下手,别再交一遍学费。

回到老张:四道闸,拉住一道就够

把老张的故事倒回去看,这个局其实要连闯四道闸才能做成:粉尘混进历史——他没留意;从历史记录复制——第一道闸破了;只核对首尾四位——第二道闸破了;一把转出没有试转——最后一道闸也没拉。四道闸,任何一道拉住,这笔钱都还在。

反过来说,防住这类骗局不需要你时刻紧绷,只需要把几个动作固定下来:地址进地址簿、复制只认当场来源、核对加上中间段、大额先试转。我们把这些都做进了转账检查单,转账前花一分钟逐项打勾,流程跑熟之后,不必靠临场警觉也能防得住。