Studie van 85 Crypto Wallet-extensies vindt adreslekken en cross-site trackingrisico’s

Onderzoekers van de KU Leuven testten 85 van de meest populaire crypto-wallets die als browserextensies draaien en ontdekten dat de wallets zelf voldoende lekken om de mensen die ze gebruiken te linken en te volgen.

De manier waarop deze portemonnees met websites en blockchain-servers communiceren, kan de afzonderlijke adressen van een persoon aan elkaar koppelen, zodat buitenstaanders deze van site naar site kunnen volgen. En op een site die al een naam of e-mailadres bevat, kunnen dezelfde lekken een echte naam geven aan een ‘anonieme’ crypto-identiteit.

Dit is geen hack. De portemonnees gedragen zich precies zoals ze zijn gebouwd. De 85 extensies hebben samen ongeveer 35 miljoen gebruikers in de Chrome Web Store.

Het team van de DistriNet-beveiligingsgroep van de universiteit heeft het artikel deze maand gepost en zal het eind juli presenteren op de PETS 2026-privacyconferentie in Calgary.

Ze voerden echte portemonnees uit tegen echte Web3-sites en brachten vijf privacyzwakheden in kaart in de manier waarop portemonnees en websites met elkaar omgaan. Toen ze de meest verstrekkende bug aan de portemonneemakers rapporteerden voordat ze deze publiceerden, weigerden de meesten het überhaupt een bug te noemen.

Probleem 1: Uw afzonderlijke adressen worden gekoppeld

Veel mensen houden met opzet meerdere portemonnee-adressen bij, om delen van hun financiële leven gescheiden te houden. Dat werkt alleen als niemand kan zien dat de adressen van dezelfde persoon zijn. Maar om uw saldo te tonen, pingt een portemonnee voortdurend naar externe servers, en die verzoeken dragen uw adres duidelijk door aan degene die de server beheert.

Wanneer een portemonnee twee van uw adressen in één verzoek plaatst, leert de server dat deze van u zijn. Zeventien portemonnees hebben verbindingen tussen de afzonderlijke adressen van een gebruiker blootgelegd. Dertien deden het op de voor de hand liggende manier, door twee adressen in één verzoek te bundelen. Vier anderen gaven zichzelf prijs door binnen milliseconden na elkaar afzonderlijke verzoeken af ​​te vuren, een zwakker maar nog steeds bruikbaar signaal.

Samen dekken deze portemonnees ongeveer 23 miljoen van de onderzochte installaties. Degene die de server beheert, of iedereen die later de gegevens ervan krijgt, kan de adressen in één profiel samenvoegen.

Probleem 2: Uitloggen zorgt er vaak niet voor dat u ook uitlogt

Dit en het volgende probleem delen een uitgangspunt: een website kan zien welke portemonnees je hebt geïnstalleerd. Elke portemonnee kondigt zichzelf aan op elke pagina die hij laadt, zodat een script de exacte set die je bij je hebt, kan lezen, een vingerafdruk die zelfs werkt als je nooit een portemonnee aansluit en zelfs als je cookies blokkeert.

De onderzoekers ontdekten dat 36 van de 85 portemonnees dit doen, en dat hun gebruikers ongeveer 82% van de onderzochte installaties uitmaken. Diezelfde 36 zijn de groep achter onderstaande cijfers.

Wanneer u een portemonnee aan een site koppelt en later de verbinding verbreekt, gaat u ervan uit dat de site geen toegang meer heeft. Vaak niet, om twee verschillende redenen.

Ten eerste vertellen veel sites de portemonnee nooit dat hij de toegang moet afsluiten. Van de dertig populaire Web3-apps die het team heeft getest, stuurden er slechts elf een echt intrekkingscommando wanneer een gebruiker op Verbinding verbreken of Uitloggen klikte. De rest heeft zojuist hun eigen scherm gewist.

Ten tweede negeren veel portemonnees het commando, zelfs als het wordt verzonden. In 22 van die 36 portemonnees kon de site nog steeds je adres lezen nadat hij de portemonnee had gevraagd het in te trekken, en die toegang overleefde het wissen van cookies en het opnieuw opstarten van de browser.

Dat maakt het adres tot een krachtige trackingtag. Het is wereldwijd uniek en verdwijnt, in tegenstelling tot een cookie, niet wanneer u uw browser leegmaakt. De verouderde toestemming blijft binnen de extensie totdat u de lijst “Verbonden sites” van de portemonnee opent en de site handmatig verwijdert; tot die tijd blijft een script op de pagina het adres op de achtergrond lezen.

Probleem 3: Een portemonnee waarmee u ooit verbinding heeft gemaakt, kan u op andere sites blootstellen

Het laatste probleem reikt het verst. Van diezelfde 36 portemonnees delen er 23 uw adres uit vanuit een frame dat de ene pagina van een andere site heeft geladen. Op zichzelf levert dat niets op. Het addertje onder het gras is wat een gedeelde tracker ermee kan doen.

Stel dat hetzelfde trackingscript wordt uitgevoerd op een crypto-app waarmee u ooit verbinding hebt gemaakt, en op een gewone, niet-gerelateerde website. Op de gewone site laadt de tracker stilletjes die crypto-app in een onzichtbaar frame.

De pagina van de app is al geautoriseerd door de portemonnee en deze portemonnees antwoorden vanuit het frame, zodat de portemonnee het adres teruggeeft aan het script zonder dat de gebruiker hoeft te klikken. Om dit te laten werken, moet de app ingebed zijn, hoewel veel van hen dat wel doen.

Koppel dat adres aan een naam of e-mailadres dat de site al heeft geregistreerd, en een pseudoniem cryptoprofiel verandert in een genoemde persoon. Een portemonnee-adres is een openbaar register van de saldi, transacties en tokenbezit. Koppel dat aan een echte identiteit en een browsegeschiedenis, en een aanvaller heeft een genoemd doelwit wiens geld nu in zicht is.

De onderzoekers lieten zien dat dit pad reëel en bruikbaar is; ze beweerden niet dat trackers het al op grote schaal uitvoeren.

Wat te doen en hoe de industrie reageerde

Voor gebruikers zijn de oplossingen slechts gedeeltelijk. Open uw portemonnee en wis oude sitemachtigingen die u niet langer gebruikt. Dat stopt het traceren van verouderde adressen uit Probleem 2, maar het doet niets aan het lekken van adressen naar servers of de vingerafdruk van de geïnstalleerde portemonnee.

De demo van de onderzoekers laat zien hoe je eigen portemonnee zich gedraagt; het draait in je browser en slaat, zo zeggen ze, niets op. Gebruik voor de zekerheid een wegwerpportemonnee. Het helpt ook om verschillende activiteiten in afzonderlijke portemonnees of browserprofielen te houden. De grotere oplossingen liggen buiten de handen van de gebruikers.

De onderzoekers concentreerden hun onthulling op dat cross-site probleem en vertelden de betrokken portefeuillemakers voordat ze publiceerden. Bij een nieuwe test in februari 2026 hadden Coinbase Wallet en Coin98 het probleem al opgelost, en Hana Wallet deed dit later. Maar van de acht leveranciers die volgens de krant reageerden via hun bugbounty-programma’s, weigerden de meesten het als een bug te behandelen.

MetaMask noemde het een bekend probleem, sloot het rapport als een duplicaat en zei dat het geen onmiddellijke plannen had om te stoppen met het injecteren van zijn provider, omdat dat te veel apps kapot zou maken.

Rabby zei dat voor de aanval hetzelfde kwaadaardige script op twee sites tegelijk zou moeten worden uitgevoerd, en noemde dat ‘vrijwel onmogelijk’, en concludeerde dat ‘de kwetsbaarheid niet bestaat’. OKX was het ermee eens dat de bevinding technisch correct was, maar sloot het af als informatief omdat het gegevens openbaar maakt zonder geld te stelen.

Bybit, Backpack en Core noemden het een laag risico of buiten de reikwijdte. De volledige antwoorden worden gepubliceerd in de repository van de onderzoekers.

Het onderzoek bouwt voort op onderzoek uit 2023 door Christof Ferreira Torres en collega’s, die voor het eerst aantoonden dat browserportefeuilles adressen lekten naar externe servers. Dit werk spoort lekken op die eerdere tools over het hoofd hebben gezien, brengt de cross-site tracking in kaart en laat zien hoe hetzelfde lek kan worden gebruikt om mensen te ontmaskeren.

Waar scanners als WalletRadar en WalletProbe op regelrechte bugs jagen, laat dit artikel zien dat een portemonnee geen bug nodig heeft om u bloot te stellen. Dat onderscheidt het van de valse portemonnee-extensies die vorig jaar werden betrapt op het stelen van sleutels. Daar stalen criminelen. Hier wordt niets gestolen en is het lek ingebouwd.

De paper verscheen op 7 juli op arXiv en zal worden gepresenteerd op PETS 2026 in Calgary, van 20 tot 25 juli. Voorlopig werken de portefeuilles zoals ontworpen, en verschillende makers hebben in feite gezegd dat het ontwerp prima is.

De echte oplossing is niet nog een waarschuwing aan gebruikers. Het zijn portemonnees die zichzelf niet meer blootgeven in ingebedde frames, en een ecosysteemstandaard die zegt wat uitloggen daadwerkelijk moet doen.

Thijs Van der Does