Katholieke Universiteit Leuven vzw

07/09/2026 | News release | Distributed by Public on 07/09/2026 03:14

KU Leuven-onderzoekers leggen verborgen privacyrisico’s van cryptowallets bloot

Onderzoekers van DistriNet, de onderzoeksgroep computerbeveiliging van KU Leuven, hebben verborgen privacyrisico's ontdekt in populaire cryptowallets die als browserextensie worden gebruikt. Ze analyseerden 85 veelgebruikte Chrome-wallets, samen goed voor ongeveer 35 miljoen gebruikers wereldwijd. Uit het onderzoek blijkt dat sommige wallets cryptoadressen aan elkaar kunnen linken, gebruikers herkenbaar maken nadat ze denken te zijn uitgelogd, en in bepaalde gevallen zelfs gewone surfactiviteit kunnen koppelen aan iemands cryptovermogen.

Wie cryptomunten gebruikt, doet dat vaak via een digitale wallet: een soort sleutelbos waarmee je toegang krijgt tot je cryptorekeningen en Web3-toepassingen. Zulke toepassingen laten gebruikers bijvoorbeeld cryptomunten verhandelen, lenen of inzetten op online markten. Veel gebruikers gaan ervan uit dat ze daarbij anoniem blijven, omdat een blockchainadres eruitziet als een willekeurige reeks tekens en niet als een naam of e-mailadres. Maar net daar wringt het schoentje.

De onderzoekers tonen aan dat de software waarmee gebruikers zich aanmelden bij Web3-toepassingen zelf informatie kan prijsgeven. Een wallet kan bijvoorbeeld verschillende adressen van dezelfde gebruiker in één patroon zichtbaar maken. Daardoor kunnen adressen die bedoeld waren om gescheiden te blijven, toch aan één persoon worden gekoppeld. In de studie vertoonden 17 wallets zulke signalen, samen goed voor ongeveer 23 miljoen gebruikers.

Een tweede probleem is dat "uitloggen" of "disconnect" niet altijd betekent dat de toegang echt is ingetrokken. Bij 22 van de 36 onderzochte Ethereum-compatibele wallets bleef een toestemming bestaan, zelfs nadat een Web3-app vroeg om die te verwijderen. Zo kan een website of script een gebruiker later opnieuw herkennen, ook na het wissen van cookies of het herstarten van de browser.

Het meest gevoelige risico ontstaat wanneer trackers die informatie gebruiken buiten Web3-sites. In 23 van de 36 onderzochte Ethereum-compatibele wallets konden verborgen pagina's of ingebedde vensters walletinformatie opvragen. Dat kan ervoor zorgen dat een tracker gewone surfactiviteit - bijvoorbeeld nieuws lezen of online winkelen - koppelt aan cryptoadressen. Als een van die websites ook een naam of e-mailadres kent, kan een pseudoniem cryptoprofiel plots aan een echte persoon worden verbonden.

"Zelf je cryptosleutels beheren geeft gebruikers controle, maar niet automatisch privacy. Ons onderzoek toont dat het Web3-ecosysteem veiligere standaarden en betere standaardinstellingen nodig heeft, zodat gebruikers niet ongemerkt herkenbaar worden."

Weihong Wang, KU Leuven DistriNet

De gevolgen kunnen verder gaan dan online tracking. Omdat transacties en saldi op publieke blockchains zichtbaar blijven, kan een gelekt walletadres veel prijsgeven over iemands financiële activiteit. Dat maakt gebruikers kwetsbaarder voor gerichte phishing, oplichting, afpersing of in extreme gevallen zelfs fysieke bedreiging.

De onderzoekers gingen verantwoordelijk om met hun bevindingen en lichtten betrokken walletontwikkelaars in vóór publicatie. Bij een hertest in februari 2026 hadden Coinbase Wallet en Coin98 het onderzochte probleem al opgelost; ook Hana Wallet loste het later op. Andere grote spelers, waaronder MetaMask, OKX, Trust Wallet, Rabby Wallet, Binance Wallet en Bybit Wallet, reageerden via hun bug-bountyprogramma's.

Wat kunnen gebruikers doen?

Gebruikers kunnen hun risico verkleinen door oude toestemmingen handmatig te verwijderen in de walletinstellingen, bijvoorbeeld onder "Connected Sites" of "Permissions". Ook helpt het om verschillende activiteiten niet telkens met dezelfde wallet of hetzelfde browserprofiel te combineren. Toch benadrukken de onderzoekers dat de verantwoordelijkheid niet alleen bij gebruikers mag liggen: walletontwikkelaars en Web3-platformen moeten privacy beter inbouwen in hun ontwerp.

De onderzoekers hebben ook een interactieve tool ontwikkeld waarmee gebruikers kunnen testen of hun eigen wallet wordt getroffen door beide privacyrisico's: zowel de toestemming die blijft bestaan nadat de wallet is losgekoppeld, als het lekken van het walletadres via trackers op gewone websites. De tool draait volledig in de browser van de gebruiker en slaat geen gegevens op.

De tool is beschikbaar via de interactieve wallettest.

Meer informatie

Het onderzoek werd uitgevoerd door Weihong Wang, Yana Dimova, Victor Vansteenkiste, Tom Van Goethem en Tom Van Cutsem van DistriNet, KU Leuven. De paper, The Masks We (Think We) Wear: Privacy Threats of Browser-Extension Wallets in the Web3 Ecosystem, werd aanvaard voor de Proceedings on Privacy Enhancing Technologies en staat op het programma van PETS 2026, dat van 20 tot 25 juli 2026 plaatsvindt in Calgary, Canada.

Het onderzoek kreeg gedeeltelijke steun van het Onderzoeksfonds KU Leuven en het Cybersecurity Research Program Flanders.

Katholieke Universiteit Leuven vzw published this content on July 09, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on July 09, 2026 at 09:14 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]