KryptoRatgeber

Glossar

Clipboard-Hijacking

Aktualisiert 12. Juni 2026

Clipboard-Hijacking ist ein Angriff, bei dem Schadsoftware den Zwischenspeicher (Clipboard) eines Betriebssystems überwacht und dort abgelegte Inhalte – insbesondere Kryptowährungs-Wallet-Adressen – unbemerkt durch eine vom Angreifer kontrollierte Adresse ersetzt.

Funktionsweise

Das Prinzip nutzt ein alltägliches Nutzungsverhalten aus: Wallet-Adressen bestehen aus langen, zufällig wirkenden Zeichenketten, die kaum jemand manuell eintippt. Stattdessen wird die Adresse des Empfängers kopiert und per Paste in das Zielfeld einer Transaktion eingefügt. Genau in diesem Moment greift die sogenannte Clipper Malware ein. Sie läuft im Hintergrund, erkennt anhand typischer Muster, ob sich eine Bitcoin-, Ethereum- oder andere Blockchain-Adresse im Clipboard befindet, und ersetzt diese mit der Adresse des Angreifers – im exakt gleichen Format. Wer die eingefügte Adresse nicht zeichengenau prüft, bemerkt den Austausch nicht.

Das Ergebnis: Die Transaktion wird korrekt signiert und an das Netzwerk übermittelt – allerdings an den falschen Empfänger. Da Blockchain-Transaktionen irreversibel sind, sind die Gelder dauerhaft verloren. Eine Rückbuchung ist technisch nicht möglich.

Verbreitung und Kontext

Clipper Malware gelangt über verschiedene Wege auf ein System: kompromittierte Websites, gefälschte CAPTCHA-Seiten, die manipulierte Befehle in die Zwischenablage schreiben, infizierte Software-Downloads oder bösartige Browser-Erweiterungen. Besonders tückisch sind gefälschte Wallet-Anwendungen, die unter dem Namen bekannter Produkte vertrieben werden und die Hijacking-Funktion von Beginn an enthalten – ein Szenario, das eng mit dem Phänomen der Fake Wallet verwandt ist.

Der Angriff richtet sich bevorzugt gegen Nutzer, die Kryptowährungen selbst verwahren, also Non-Custodial Wallets verwenden, da dort keine zentrale Instanz eine Transaktion prüfen oder stoppen kann.

Schutzmaßnahmen

Drei Maßnahmen reduzieren das Risiko erheblich:

  1. Adresse nach dem Einfügen zeichengenau prüfen – zumindest Anfang und Ende mit der Originalquelle vergleichen.
  2. Aktuellen Virenschutz einsetzen, der Clipboard-Zugriffe durch unbekannte Prozesse erkennt und blockiert.
  3. Wallet mit eingebautem Adressverifizierungsschritt nutzen – viele Hardware Wallets zeigen die Zieladresse nochmals auf dem Gerätedisplay an, bevor die Transaktion signiert wird. Eine Air-Gapped Wallet schließt den Angriff weitgehend aus, da sie nie mit einem kompromittierbaren System verbunden ist.

Verwandte Begriffe