Itdaily - Zijn cryptowallets veilig? KU Leuven ontdekt verborgen risico’s

Zijn cryptowallets veilig? KU Leuven ontdekt verborgen risico’s

cryptowallet

Onderzoekers van de KU Leuven hebben privacylekken blootgelegd in 85 populaire cryptowallets. Zo kunnen adressen gekoppeld worden, gebruikers herkend blijven na uitloggen en surfgedrag gelinkt aan cryptovermogen. De problemen treffen miljoenen gebruikers wereldwijd.

Cryptowallets in de vorm van browserextensies zijn populair om toegang te krijgen tot Web3-toepassingen, zoals het verhandelen of lenen van cryptomunten. Veel gebruikers gaan ervan uit dat ze anoniem blijven, maar uit onderzoek van KU Leuven blijkt dat dit niet altijd het geval is. De onderzoekers analyseerden 85 wallets, goed voor ongeveer 35 miljoen gebruikers.

Adressen koppelen en surfgedrag tracken

Uit het onderzoek komt naar voren dat 17 wallets, samen goed voor 23 miljoen gebruikers, cryptoadressen van dezelfde gebruiker aan elkaar kunnen linken. Hierdoor worden adressen die gescheiden moesten blijven, toch aan één persoon gekoppeld. Bovendien blijkt dat uitloggen bij 22 van de 36 onderzochte Ethereum-wallets niet altijd betekent dat de toegang echt is ingetrokken. Een website of script kan een gebruiker zo later opnieuw herkennen.

Nog gevoeliger is het risico wanneer trackers buiten Web3-sites walletinformatie opvragen. Bij 23 van de 36 wallets konden verborgen pagina’s of ingebedde vensters deze gegevens ophalen. Hierdoor kan gewoon surfgedrag, zoals nieuws lezen, gekoppeld worden aan cryptoadressen.

Cryptowallets beveiligen

De onderzoekers lichtten de betrokken walletontwikkelaars in voordat ze hun bevindingen publiceerden. Coinbase Wallet, Coin98 en Hana Wallet hebben de problemen inmiddels opgelost. Andere grote spelers, zoals MetaMask en Binance Wallet, reageerden via hun bug-bountyprogramma’s.

Gebruikers kunnen hun risico verkleinen door oude toestemmingen handmatig te verwijderen in de walletinstellingen. Toch benadrukken de onderzoekers dat de verantwoordelijkheid niet alleen bij gebruikers mag liggen. Ook een interactieve tool om te testen of een wallet getroffen is, werd ontwikkeld.

Het onderzoek toont aan dat het Web3-ecosysteem veiligere standaarden en betere standaardinstellingen nodig heeft. De paper wordt gepresenteerd op een conferentie in Calgary, Canada. KU Leuven verricht belangrijk onderzoek naar beveiliging van veelgebruikte technologie. Zo wisten onderzoekers in het recente verleden kwetsbaarheden in AMD-processoren, computerservers en cloudservers bloot te leggen.