
Web3 安全入门避坑指南|剪贴板安全
作者:Liz & Reborn
编辑:Sherry
背景
在上一期 Web3 安全入门避坑指南中,我们分析了貔貅盘骗局,本期我们将聚焦剪贴板安全。
在许多加密资产被盗事件中,受害者最困惑的一点常常是:“我根本没联网传输过私钥,怎么就被盗了?”事实上,私钥 / 助记词的泄露并不一定通过云端或网络上传,它也可能在你看似“本地、安全”的操作中发生。比如,你是否曾通过复制粘贴填写过私钥 / 助记词?是否曾保存在备忘录或截图里?这些常见操作,也是黑客盯上的突破口。
本期内容将围绕剪贴板安全展开,带你了解它的原理、攻击方式,以及我们在实践中总结出的防范建议,帮助用户构建更稳固的资产保护意识。
剪贴板为何存在风险
剪贴板是操作系统提供的一个供本地应用程序共享的临时存储空间,主要用于存储临时数据(如文本、图片、文件路径等),以便不同的应用程序之间可以方便地复制和粘贴内容。例如,当你复制一个钱包地址时,操作系统会将该地址存储在剪贴板中,直到它被新的内容覆盖或清空。
-
明文存储:大多数操作系统(如 Windows、macOS、Linux)默认不会对剪贴板数据进行加密,而是以明文形式存储在内存中。
-
系统 API 提供了访问方式:大多数操作系统都提供了剪贴板相关的 API,允许应用程序访问剪贴板。这意味着,如果一个应用程序(如文本编辑器、浏览器扩展、输入法、截图工具甚至恶意软件)具有相应的权限,它就可以在后台静默读取甚至篡改数据。
而且,由于剪贴板的内容默认不会自动清除,它可能在较长时间内保持可访问状态。如果用户复制了敏感信息但没有及时覆盖或清除,恶意软件或第三方应用就有机会读取这些内容。
有些剪贴板恶意软件专门用于篡改地址,2024 年联合国毒品和犯罪问题办公室发布的东南亚跨国有组织犯罪的欺诈报告提到,东南亚犯罪集团常用的一个恶意软件是剪切器。这种软件监控受感染系统的剪贴板,伺机替换加密货币交易中的地址,一旦受害者无意中进行交易,就会将资金转移到攻击者的地址上。由于加密钱包地址通常很⻓,导致用户不太会注意到收款地址的变化。
(https://www.unodc.org/roseap/uploads/documents/Publications/2024/TOC_Convergence_Report_2024.pdf)
行文至此,相信大家也意识到,要防范剪贴板攻击,最根本的方法就是避免复制敏感信息并安装专业的杀毒软件,以防止恶意软件入侵。
清除剪贴板的主要作用是缩短敏感信息的暴露时间,减少被恶意软件或其他应用读取的风险。如果你不小心复制了敏感信息,及时清除剪贴板可以降低泄露的可能性。一个简单的方法是立即复制一大段无关内容,将之前复制的敏感信息“冲掉”,这样可以在一定程度上降低被读取的概率。
但如果你的设备已经感染了会窃取或篡改剪贴板内容的恶意软件,那么手动清除剪贴板的作用就很有限。因为这些恶意程序可以实时监控并读取数据,手动清除的速度很难赶上它们的操作。因此,最好的做法还是从源头上避免复制敏感信息,并确保设备安全。如果你怀疑设备已经被感染,建议尽快将资产安全转移到新的钱包,以防进一步损失。
除了剪贴板,敏感信息还可能通过以下方式泄露,用户也需多加注意:
-
相册、云存储、输入法:避免私钥 / 助记词触网,包括但不限于相册、云端、微信收藏、手机备忘录等,避免在输入法中输入敏感信息,建议使用系统自带输入法,并关闭输入法的“云同步”功能,并尽量不要通过复制粘贴的方式填写私钥 / 助记词。
-
恶意软件风险:定期使用杀毒软件扫描系统,查杀潜在的恶意软件。
-
浏览器扩展权限问题:禁用不必要的浏览器扩展。如果担心某扩展的权限风险,安装扩展后可以先不使用,看下扩展 ID,搜索到电脑本地路径,找到扩展根目录下的 manifest.json 文件,把文件内容发给 AI 做权限风险解读。如果有隔离思维,可以考虑给陌生扩展单独启用 Chrome Profile,至少作恶可控。
-
转账地址篡改风险:在进行加密货币转账等操作时,务必仔细核对钱包地址,避免因剪贴板篡改而误转资金。
剪贴板清除教程
以下是 macOS、iOS、Android、Windows 清除剪贴板的一些较简单的方法,大家可以实践下:
macOS 只保存当前剪贴板内容,不会记录历史,复制一段无关内容即可覆盖敏感历史。iOS 也只保存当前剪贴板内容,除了复制一段无关内容的方法,用户还可以创建快捷指令,将清除剪贴板的指令添加到主屏幕,这样清除起来更方便。
(https://x.com/0xBeyondLee/status/1855630836118467028)
Windows 7 及更早版本只保存当前剪贴板内容,无历史记录,可以通过复制一段无关内容覆盖剪贴板中的原始内容,从而间接清空。Windows 10 / 11(如果启用了“剪贴板历史”):按 Win + V 可查看剪贴板历史,点击右上角的 “全部清除” 按钮,即可删除所有历史记录。
安卓的剪贴板历史通常是指输入法记录的剪贴板历史,很多安卓设备会在输入法中提供剪贴板历史功能,可以进入输入法的剪贴板管理界面,手动清除不需要的记录。
简而言之,如果系统本身不会保存历史,只需复制新内容覆盖即可。如果系统有剪贴板历史(如 Windows 10 / 11、部分 Android 设备),则按照上述方法手动清除历史记录即可。
总结
剪贴板是一个常被忽视却高发的泄露渠道,我们希望本期文章能帮助用户重新审视复制粘贴的安全隐患,认识到“本地操作不等于绝对安全”。安全不仅仅是技术问题,也是行为习惯问题。只有在日常操作中保持警觉、提升安全意识,并落实基础防护措施,才能真正守住自己的资产。
比推快讯
更多 >>- 甲骨文与Meta商谈200亿美元AI云计算合作
- 美股三大股指集体收涨,道指涨 172 点
- FTX将启动第三轮债权人偿付,总额达16亿美元
- X平台指控某加密诈骗团伙贿赂其员工以恢复账户
- 证券基金经理增持标普 500 净多头头寸至 891,634 手
- 戴利:就业市场放缓与美国经济前景有关
- 国际货币基金组织:货币宽松政策应继续以应对通胀目标
- Robinhood CEO下月将与美联储以及美国财长贝森特会面
- 美联储逆回购操作接纳 113.63 亿美元
- 知情人士:马斯克的xAI寻求融资100亿美元,估值飙至2000亿美元
- Arkm:Aster已成为BSC链上USDT最大持有方,持有量仅次于币安热钱包
- 旨在避免美国政府停摆的临时支出法案未能在美国参议院通过
- 旨在避免美国政府停摆的临时拨款法案在参议院未能获得通过所需票数,投票仍在继续
- 字节跳动:将按照中国法律要求推进相关工作,让 TikTok 美国公司继续服务美国用户
- 某新建钱包花费约 133 万美元买入 27321 枚 HFUN
- 美联储新任理事米兰:降息立场独立,未受特朗普影响
- 美国法官驳回特朗普对《纽约时报》150 亿美元诉讼
- 一鲸鱼近 20 小时斥资 730 万美元买入 10 亿枚 PUMP
- 美 CFTC 任命摩根大通数字资产市场主管 Scott Lucas 为 GMAC 数字资产市场小组联合主席
- 分析师:比特币或将再次测试 12 万美元关口
- 灰度新加密基金GDLC登陆纽交所,资管规模已逾9亿美元
- Hyperliquid 过去 24 小时协议收入超越 pump.fun
- PayPal 稳定币 PYUSD0 已在 Sei 网络上线
- ARK Invest 在公开市场购入价值约 1.62 亿美元 Solmate 股票
- 特朗普称与中国国家主席通话顺利,将在 APEC 峰会期间会面
- 美国财政部启动 GENIUS 法案细则制定,开启稳定币监管意见征集
- 美联储理事米兰:若特朗普希望我留在美联储,我会离开经济顾问委员会
- 美联储理事米兰:紧缩政策对就业市场风险加大
- 比特币 ETF 今日净流入 1,205 枚 BTC,以太坊 ETF 净流入 41,150 枚 ETH
- 米兰:美联储应接近中性利率
- 麻吉PUMP 多单已浮亏 318 万美元,当前持仓价值达 2524 万美元
- 习近平同美国总统特朗普通电话
- 孙宇晨:将用 SUNPerp 全部收入回购 SUN 代币
- 美众议院通过临时支出法案,参议院或将引发激烈交锋
- 鲍威尔:美联储将逐次决定未来货币政策,国债终结连涨
- Resolv 已开发第二季空投申领
- USDC Treasury 在 Solana 链上新铸造 2.5 亿枚 USDC
- 国际商业结算的加密合营企业将买入价值 1090 万美元的加密挖矿硬件
- 国际商业结算宣布购入超算服务器拓展加密货币业务
- pump.fun 已累计回购价值超 1.06 亿美元 PUMP 代币
- Ju.com 平台币 JU 正式启动通缩,完成首期回购并启动分批销毁
- Paxos 收购 Nucleus Earn,成立 Paxos Labs 推进企业链上金融服务
- 易理华:投资的核心是投人,币圈大部分创业最终由投资人买单
- OpenAI 计划投入 1000 亿美元建设备用服务器
- 特朗普要求大法官允许他在庭审期间解雇美联储理事库克
- 美国最高法院要求美联储理事库克于下周四之前作出回应
- JustLend DAO 下调能量租赁存入门槛
- MetaMask 将在钱包内通过 Hyperliquid 推出永续合约交易
- 美 SEC 拟全面改革上市公司信息披露规则,特朗普同期呼吁“季报改半年报”
- 美参议员沃伦致函财长贝森特对反洗钱规则推迟到 2028 年表示担忧