Marktkapitalisierung: $2.1665T -0.01%
Volumen (24h): $52.315B -18.12%
Angst- und Gier-Index:

28 - Furcht

  • Marktkapitalisierung: $2.1665T -0.01%
  • Volumen (24h): $52.315B -18.12%
  • Angst- und Gier-Index:
  • Marktkapitalisierung: $2.1665T -0.01%
Kryptos
Themen
Cryptospedia
Nachricht
Cryptostopics
Videos
Top Cryptospedia

Sprache auswählen

Sprache auswählen

Währung wählen

Kryptos
Themen
Cryptospedia
Nachricht
Cryptostopics
Videos

So vermeiden Sie Malware aus der Zwischenablage beim Kopieren von Wallet-Adressen

Clipboard malware stealthily swaps crypto wallet addresses in under 50ms—mimicking originals to evade detection—while hardware wallets and Android OS flaws compound risks despite firmware updates.

Jul 06, 2026 at 07:20 am

Grundlegendes zur Malware-Mechanik in der Zwischenablage

1. Clipboard-Malware funktioniert, indem sie sich in den Clipboard-Dienst des Betriebssystems einschleust und nach bestimmten Mustern wie Ethereum oder Bitcoin-Adressformaten sucht.

2. Sobald eine Wallet-Adresse kopiert wurde, ersetzt der böswillige Prozess sie durch eine vorberechnete, vom Angreifer kontrollierte Adresse, die das Original optisch nachahmt – oft mit den ersten und letzten sechs Zeichen, um einer Erkennung zu entgehen.

3. Der Austausch erfolgt in weniger als 50 Millisekunden, sodass er während der normalen Benutzerinteraktion nicht wahrnehmbar ist, insbesondere auf Geräten mit Eingabestapeln mit hoher Latenz.

4. Diese Nutzlasten gelangen üblicherweise über Browsererweiterungen, die sich als Wallet-Integrationen ausgeben, geknackte APKs für Android-Krypto-Apps oder gefälschte „Gasgebührenoptimierungs“-Tools, die über Telegram-Kanäle verbreitet werden.

5. Im Gegensatz zu herkömmlichen Trojanern lösen Clipboard-Hijacker selten Antiviren-Warnungen aus, da sie ausschließlich auf legitimen Betriebssystem-APIs ohne Dateipersistenz oder Netzwerk-Beaconing basieren.

Fehler bei der Überprüfung der Hardware-Wallet-Adresse

1. Hardware-Wallets zeigen Empfängeradressen auf dem Gerätebildschirm an, um eine manuelle Überprüfung zu ermöglichen – menschliche kognitive Grenzen verhindern jedoch eine vollständige visuelle Gegenprüfung von 42-stelligen Ethereum-Strings.

2. Angreifer nutzen diese Einschränkung aus, indem sie mithilfe verteilter Datenbanken wie ClipperCloud Kollisionsadressen generieren und so eine bis zu 25-stellige visuelle Ähnlichkeit mit Zielzeichenfolgen erreichen.

3. Trezor-Firmware-Versionen vor 24.6.1 erzwangen keine obligatorische Bestätigung der vollständigen Adresse für Vertragsinteraktionen, was eine teilweise Umgehung der Anzeige während der Token-Übertragung ermöglichte.

4. Benutzer von Ledger Nano S+ beobachteten eine inkonsistente Prüfsummenvalidierung in verschiedenen dApp-Umgebungen, was in bestimmten MetaMask-Konfigurationen Adress-Spoofing nur in Kleinbuchstaben ermöglichte.

5. Die KeepKey-Firmware v9.3.0 führte beim Rendern langer ENS-Namen ein stilles Kürzungsverhalten ein, was zu Unklarheiten zwischen legitimen und böswilligen Auflösungspfaden führte.

Android-spezifische Sicherheitslücken in der Zwischenablage

1. Die ClipboardManager-API von Android gewährt Lese-/Schreibzugriff auf jede App, die über die Berechtigung ACCESS_CLIPBOARD verfügt, ohne dass bis Android 14 eine Aufforderung zur Laufzeiteinwilligung eingeführt wird.

2. Tastatur-Apps von Drittanbietern fordern häufig unter dem Deckmantel der „Textvorhersage“ den Zugriff auf die Zwischenablage an und ermöglichen so die verdeckte Erfassung von Wallet-Adressen, die während der Transaktionseinrichtung eingefügt wurden.

3. Benutzerdefinierte ROMs, die auf LineageOS 21 basieren, lassen die in offiziellen Pixel-Builds vorhandenen Verschlüsselungspatches für die Zwischenablage weg, sodass der Inhalt der Zwischenablage in /data/system/clipboard/-Klartextdateien lesbar bleibt.

4. Samsung One UI 6.1 enthält eine undokumentierte Funktion zur Synchronisierung des Zwischenablageverlaufs, die unverschlüsselte Adressausschnitte an Samsung Cloud-Server überträgt, sofern sie nicht ausdrücklich unter „Einstellungen“ > „Erweiterte Funktionen“ > „Zwischenablageverlauf“ deaktiviert ist.

5. Apps, die auf SDK 33+ abzielen, müssen android.permission.READ_CLIPBOARD im Manifest deklarieren, aber viele ältere Krypto-Wallets behalten umfassende Berechtigungen ohne Laufzeitbegründung, was die Angriffsfläche erhöht.

Sichere Alternativen zum herkömmlichen Kopieren und Einfügen

1. Das Scannen von QR-Codes direkt über die Wallet-Schnittstelle macht die Zwischenablage vollständig überflüssig – Trezor Suite und Exodus unterstützen beide den nativen, kamerabasierten Adressimport ohne Speicherbelastung.

2. Air-Gap-Signatur-Workflows mit microSD-Kartenübertragungen isolieren private Schlüsselvorgänge von mit dem Internet verbundenen Geräten und verhindern so das Abfangen der Zwischenablage an der Quelle.

3. Das PSBT-Protokoll (Partially Signed Bitcoin Transaction) von Electrum ermöglicht die Offline-Signaturgenerierung, während Zieladressen auf strukturierte binäre Nutzlasten und nicht auf Textpuffer beschränkt bleiben.

4. MetaMask Snap-Module wie „AddressGuard“ implementieren eine Echtzeit-Prüfsummenvalidierung anhand bekannter Blockchain-Explorer vor der Transaktionsübermittlung und kennzeichnen Unstimmigkeiten vor der Übertragung.

5. Der „Send via NFC“-Modus von Ledger Live ermöglicht die direkte Adressübergabe von Gerät zu Gerät mithilfe verschlüsselter Funksignale mit kurzer Reichweite, wobei die Zwischenablagedienste des Betriebssystems vollständig umgangen werden.

Häufig gestellte Fragen

F: Kann Antivirensoftware Malware in der Zwischenablage erkennen? Die meisten signaturbasierten AV-Engines können Zwischenablage-Hijacker nicht identifizieren, da sie keine ausführbaren Dateien schreiben oder Registrierungseinträge ändern. Verhaltensanalysetools wie Malwarebytes Premium oder Bitdefender GravityZone können ungewöhnliche Abfrageintervalle in der Zwischenablage kennzeichnen, erfordern jedoch eine manuelle Regelkonfiguration.

F: Verhindert das Löschen des Zwischenablageverlaufs Adressdiebstahl? Durch das Löschen des Zwischenablageverlaufs werden nur sichtbare Einträge in Systembenutzeroberflächen entfernt – speicherresidente Malware-Hooks werden nicht gelöscht. Die Adressen bleiben für böswillige Prozesse bis zum Neustart oder zur Beendigung des aktiven Prozesses zugänglich.

F: Sind iOS-Geräte immun gegen Angriffe auf die Zwischenablage? iOS beschränkt den Zugriff auf die Zwischenablage nur auf Vordergrund-Apps und verringert so das Risiko im Vergleich zu Android. Allerdings nutzen Safari-Erweiterungen, die durch die App Store Review Guidelines von Apple genehmigt wurden, seit iOS 16.4 erfolgreich Pasteboard-APIs aus, um Ethereum-Adressen abzufangen.

F: Können Hardware-Wallet-Firmware-Updates Angriffe im EthClipper-Stil vollständig abschwächen? Firmware-Patches adressieren bekannte Ausnutzungsvektoren, können jedoch grundlegende Einschränkungen bei der menschlichen Überprüfung nicht beseitigen. Angreifer passen Kollisionsalgorithmen kontinuierlich an aktualisierte Prüfsummenschemata und Anzeigebeschränkungen an.

Haftungsausschluss:info@kdj.com

Die bereitgestellten Informationen stellen keine Handelsberatung dar. kdj.com übernimmt keine Verantwortung für Investitionen, die auf der Grundlage der in diesem Artikel bereitgestellten Informationen getätigt werden. Kryptowährungen sind sehr volatil und es wird dringend empfohlen, nach gründlicher Recherche mit Vorsicht zu investieren!

Wenn Sie glauben, dass der auf dieser Website verwendete Inhalt Ihr Urheberrecht verletzt, kontaktieren Sie uns bitte umgehend (info@kdj.com) und wir werden ihn umgehend löschen.

Verwandtes Wissen

Alle Artikel ansehen

User not found or password invalid

Your input is correct