Er zitten verborgen privacyrisico’s in cryptowallets die als browserextensie draaien. Onderzoekers van DistriNet, de securitygroep van KU Leuven, ontdekten de lekken. Ze bekeken 85 populaire Chrome-wallets, samen goed voor zo’n 35 miljoen gebruikers. De software zelf blijkt gevoelige informatie te lekken.
Een blokchainadres bestaat uit een willekeurige reeks tekens en houdt daardoor gebruikers anoniem. Maar volgens het onderzoek lekt de software waarmee mensen inloggen op Web3-toepassingen zelf informatie. Bij zeventien van de onderzochte wallets, goed voor ongeveer 23 miljoen gebruikers, konden verschillende adressen van eenzelfde persoon aan elkaar worden gelinkt.
Het gaat niet om een eenmalig lek of een gehackte extensie, maar om systemische problemen in het ontwerp. Dat blijkt uit de toelichting van KU Leuven. De studie draagt de titel The Masks We (Think We) Wear en is aangenomen voor het PETS 2026-symposium, dat eind juli in het Canadese Calgary plaatsvindt. Op deze conferentie vormt privacy-technologie het grootste onderwerp.
Uitloggen werkt niet altijd
Een tweede probleem raakt aan iets wat gebruikers vanzelfsprekend achten: uitloggen. Dat betekent lang niet altijd dat de toegang echt wordt ingetrokken. Bij 22 van de 36 geteste Ethereum-compatibele wallets bleef een eerder gegeven toestemming bestaan, ook na het wissen van cookies of het herstarten van de browser.
Daarnaast konden de onderzoekers bij 23 van die 36 wallets verborgen pagina’s of vensters walletinformatie opvragen. Zo raakt gewone surfactiviteit gekoppeld aan cryptoadressen. Kent een website ook een naam of e-mailadres, dan kan een pseudoniem cryptoprofiel aan een echte persoon worden verbonden.
Om risico’s te beperken raden de onderzoekers aan om oude toestemmingen te verwijderen in hun walletinstellingen. De betrokken walletontwikkelaars werden door de onderzoekers op de hoogte gesteld van de privacylekken en ondernemen actie om de problemen op te lossen of hebben dit reeds gedaan. Betrokken ontwikkelaars zijn Coinbase Wallet, Coin98, Hana Wallet, MetaMask, OKX, Trust Wallet, Rabby Wallet, Binance Wallet En Bybit Wallet.
Verder dan tracking
De gevolgen reiken verder dan online tracking, waarschuwen de onderzoekers. Een gelekt walletadres kan financiële activiteit blootleggen en gebruikers kwetsbaarder maken voor phishing, oplichting en afpersing. Het DistriNet-onderzoek laat zien dat zelfs eerlijke, niet-gecompromitteerde wallets privacygevoelige data prijsgeven.
De onderzoekers raden gebruikers aan om oude toestemmingen handmatig te verwijderen in de walletinstellingen. Op ecosysteemniveau pleiten ze voor consistente intrekking van rechten en minder blootstelling van de provider-interface aan externe iframes.
Lees ook: Hack op Coinbase toont kwetsbaarheid crypto-industrie