Wie cryptomunten gebruikt, gaat er vaak van uit dat een walletadres voldoende anonimiteit biedt. Nieuw onderzoek van de KU Leuven toont echter aan dat het privacyplaatje een stuk complexer is. ‘Zelf je cryptosleutels beheren geeft gebruikers controle, maar niet automatisch privacy.’
Bij een analyse van 85 populaire browserextensies voor cryptowallets, samen goed voor zo’n 35 miljoen gebruikers wereldwijd, ontdekte DistriNet, de onderzoeksgroep computerbeveiliging van de KU Leuven, meerdere manieren waarop gebruikers ongemerkt kunnen worden gevolgd of geïdentificeerd.
De onderzoekers analyseerden browserextensies die worden gebruikt om in te loggen op Web3-toepassingen, zoals platformen voor cryptohandel en andere Web3-diensten. Daarbij bleek dat 17 wallets signalen uitsturen waarmee verschillende blockchainadressen van dezelfde gebruiker aan elkaar kunnen worden gekoppeld. Daardoor kunnen adressen die bewust gescheiden werden gehouden alsnog tot één profiel worden herleid.
Een tweede probleem schuilt in de manier waarop sommige wallets omgaan met het verbreken van een verbinding. Bij 22 van de 36 onderzochte Ethereum-compatibele wallets bleef een verleende toestemming bestaan nadat een gebruiker op ‘disconnect’ had geklikt. Daardoor kan een website een bezoeker later opnieuw herkennen, zelfs nadat cookies werden verwijderd of de browser opnieuw werd gestart.
Grootste risico ligt buiten
Het grootste privacyrisico ontstaat wanneer informatie buiten de Web3-omgeving terechtkomt. In 23 van de 36 onderzochte wallets konden verborgen pagina’s of ingebedde vensters walletinformatie opvragen.
Daardoor kunnen trackers het gewone surfgedrag van gebruikers, zoals online winkelen, koppelen aan een cryptowallet. Wanneer een website ook over een naam of e-mailadres beschikt, kan een pseudoniem blockchainadres alsnog aan een echte identiteit worden gelinkt.
De gevolgen reiken bovendien verder dan online tracking. Omdat transacties en saldi op publieke blockchains zichtbaar blijven, kan een gelekt walletadres veel prijsgeven over iemands financiële activiteiten. Dat maakt gebruikers kwetsbaarder voor gerichte phishing, oplichting, afpersing of in extreme gevallen zelfs fysieke bedreiging.
Meer aandacht voor privacy
De onderzoekers brachten de betrokken walletontwikkelaars vooraf op de hoogte. Coinbase Wallet, Coin98 en Hana Wallet hebben het onderzochte probleem inmiddels opgelost. Andere grote spelers, waaronder MetaMask, OKX, Trust Wallet, Rabby Wallet, Binance Wallet en Bybit Wallet, reageerden via hun bug-bountyprogramma’s.
Volgens de onderzoekers moeten ontwikkelaars en Web3-platformen privacy veel sterker in hun ontwerp verankeren. Intussen ontwikkelden de KU Leuven-onderzoekers ook een interactieve tool waarmee gebruikers kunnen nagaan of hun wallet kwetsbaar is voor de onderzochte privacylekken.
