Web3安全指南：慢雾教你如何避免剪贴板安全隐患

04-2116.0k

本期内容将围绕剪贴簿安全展开，带你了解它的原理、攻击方式，以及我们在实践中总结出的防范建议，帮助使用者构建更稳固的资产保护意识。（前情提要：Web3加密安全资料报告：操作需谨慎，小心收益被钓鱼）

背景

在上一期 Web3 安全入门避坑指南中，我们分析了貔貅盘骗局，本期我们将聚焦剪贴簿安全。

在许多加密资产被盗事件中，受害者最困惑的一点常常是：「我根本没联网传输过私钥，怎么就被盗了？」事实上，私钥 / 助记词的泄露并不一定通过云端或网路上传，它也可能在你看似「本地、安全」的操作中发生。比如，你是否曾通过复制贴上填写过私钥 / 助记词？是否曾储存在备忘录或截圖里？这些常见操作，也是骇客盯上的突破口。

本期内容将围绕剪贴簿安全展开，带你了解它的原理、攻击方式，以及我们在实践中总结出的防范建议，帮助使用者构建更稳固的资产保护意识。

剪贴簿为何存在风险

剪贴簿是作业系统提供的一个供本地应用程式共享的临时储存空间，主要用于储存临时资料（如文字、图片、档案路径等），以便不同的应用程式之间可以方便地复制和贴上内容。例如，当你复制一个钱包地址时，作业系统会将该地址储存在剪贴簿中，直到它被新的内容覆盖或清空。

明文储存：大多数作业系统（如 Windows、macOS、Linux）预设不会对剪贴簿资料进行加密，而是以明文形式储存在记忆体中。
系统 API 提供了访问方式：大多数作业系统都提供了剪贴簿相关的 API，允许应用程式访问剪贴簿。这意味著，如果一个应用程式（如文字编辑器、浏览器扩展套件、输入法、截圖工具甚至恶意软体）具有相应的许可权，它就可以在后台静默读取甚至篡改资料。

而且，由于剪贴簿的内容预设不会自动清除，它可能在较长时间内保持可访问状态。如果使用者复制了敏感资讯但没有及时覆盖或清除，恶意软体或第三方应用就有机会读取这些内容。

有些剪贴簿恶意软体专门用于篡改地址，2024 年联合国毒品和犯罪问题办公室释出的东南亚跨国有组织犯罪的欺诈报告提到，东南亚犯罪集团常用的一个恶意软体是剪下器。这种软体监控受感染系统的剪贴簿，伺机替换加密货币交易中的地址，一旦受害者无意中进行交易，就会将资金转移到攻击者的地址上。由于加密钱包地址通常很⻓，导致使用者不太会注意到收款地址的变化。

行文至此，相信大家也意识到，要防范剪贴簿攻击，最根本的方法就是避免复制敏感资讯并安装专业的防毒软体，以防止恶意软体入侵。

清除剪贴簿的主要作用是缩短敏感资讯的暴露时间，减少被恶意软体或其他应用读取的风险。如果你不小心复制了敏感资讯，及时清除剪贴簿可以降低泄露的可能性。一个简单的方法是立即复制一大段无关内容，将之前复制的敏感资讯「冲掉」，这样可以在一定程度上降低被读取的概率。

但如果你的装置已经感染了会窃取或篡改剪贴簿内容的恶意软体，那么手动清除剪贴簿的作用就很有限。因为这些恶意程式可以即时监控并读取资料，手动清除的速度很难赶上它们的操作。因此，最好的做法还是从源头上避免复制敏感资讯，并确保装置安全。如果你怀疑装置已经被感染，建议尽快将资产安全转移到新的钱包，以防进一步损失。

除了剪贴簿，敏感资讯还可能通过以下方式泄露，使用者也需多加注意：

相簿、云端储存、输入法：避免私钥 / 助记词触网，包括但不限于相簿、云端、微信收藏、手机备忘录等，避免在输入法中输入敏感资讯，建议使用系统自带输入法，并关闭输入法的「云同步」功能，并尽量不要通过复制贴上的方式填写私钥 / 助记词。
恶意软体风险：定期使用防毒软体扫描系统，查杀潜在的恶意软体。
浏览器扩展套件许可权问题：禁用不必要的浏览器扩展套件。如果担心某扩展套件的许可权风险，安装扩展套件后可以先不使用，看下扩展套件 ID，搜寻到电脑本地路径，找到扩展套件根目录下的 manifest.json 档案，把档案内容发给 AI 做许可权风险解读。如果有隔离思维，可以考虑给陌生扩展套件单独启用 Chrome Profile，至少作恶可控。
转帐地址篡改风险：在进行加密货币转帐等操作时，务必仔细核对钱包地址，避免因剪贴簿篡改而误转资金。