Im Zentrum der Untersuchung steht zunächst die Art, wie Wallets mit Websites und Blockchain-Servern kommunizieren. Um Kontostände anzuzeigen, fragen Wallets fortlaufend externe Server ab und übermitteln dabei ihre Adresse im Klartext an den jeweiligen Betreiber. Wenn dabei zwei Adressen in einer einzigen Anfrage auftauchen, lässt sich unmittelbar erkennen, dass sie derselben Person gehören. Laut Studie legten 17 Wallets Verbindungen zwischen getrennten Adressen eines Nutzers offen: 13, indem sie zwei Adressen in einer Anfrage bündelten, vier weitere durch separate Anfragen im Abstand von Millisekunden. Diese Wallets stehen den Forschern zufolge zusammen für rund 23 Millionen der untersuchten Installationen.
Ein weiterer Befund: Websites können erkennen, welche Wallets im Browser installiert sind. Jede Wallet gibt sich nach Darstellung der Forscher gegenüber jeder geladenen Seite zu erkennen, sodass ein Skript die genaue Kombination der installierten Wallets auslesen kann. Dieser Fingerabdruck funktioniert demnach selbst dann, wenn nie eine Wallet verbunden wird und auch dann, wenn Cookies blockiert sind. Betroffen waren 36 der 85 untersuchten Wallets; ihre Nutzer machen laut Studie etwa 82 Prozent der erfassten Installationen aus.
Diese 36 Wallets spielen auch bei den nächsten Problemen eine Rolle. Wer eine Wallet mit einer Website verbindet und später wieder trennt, kann nicht davon ausgehen, dass der Zugriff wirklich endet. Das liegt laut Untersuchung an zwei Gründen. Von 30 populären Web3-Anwendungen, die das Team testete, schickten nur 11 beim Klick auf „Trennen“ oder „Abmelden“ tatsächlich einen Befehl zum Entzug der Berechtigung an die Wallet. Die übrigen löschten nur ihre eigene Anzeige.
Doch selbst wenn ein solcher Befehl gesendet wird, reagieren viele Wallets nicht wie erwartet. Bei 22 dieser 36 Wallets konnte die Website die Adresse auch nach dem Entzugsbefehl weiterhin auslesen; dieser Zugriff überdauerte sogar das Löschen von Cookies und einen Neustart des Browsers. Die alte Berechtigung bleibt laut Studie in der Erweiterung gespeichert, bis der Nutzer die Seite manuell in der Liste verbundener Websites entfernt.
Am weitesten reicht nach Einschätzung der Forscher das seitenübergreifende Tracking. Von denselben 36 Wallets geben 23 die Adresse auch dann preis, wenn sie sich in einem eingebetteten Frame befinden, den eine Seite von einer anderen Website lädt. Entscheidend ist dabei ein gemeinsames Tracking-Skript: Läuft dasselbe Skript sowohl auf einer Krypto-Anwendung, mit der die Wallet früher verbunden wurde, als auch auf einer gewöhnlichen, unabhängigen Website, kann die gewöhnliche Seite die Krypto-Anwendung unsichtbar einbetten. Weil die Anwendungsseite bereits autorisiert ist und die Wallet auch im Frame antwortet, erhält das Skript die Adresse ohne weitere Nutzerinteraktion zurück. Voraussetzung ist, dass sich die Anwendung einbetten lässt; laut Studie tun das viele.
Die Forscher schreiben ausdrücklich, dass sie damit einen realen und praktikablen Pfad gezeigt haben, nicht aber, dass Tracker ihn bereits in großem Maßstab einsetzen. Wird die Wallet-Adresse jedoch mit einem auf der Website vorhandenen Namen oder einer E-Mail-Adresse verknüpft, wird aus einem pseudonymen Krypto-Profil eine namentlich bekannte Person. Die Studie verweist darauf, dass eine Wallet-Adresse öffentlich Auskunft über Guthaben, Transaktionen und Token-Bestände gibt.
Vor der Veröffentlichung konzentrierte sich das Team bei der Offenlegung auf dieses seitenübergreifende Problem. Bei einer erneuten Prüfung im Februar 2026 hatten Coinbase Wallet und Coin98 es bereits behoben; Hana Wallet zog später nach. Von acht Herstellern, die laut Studie über ihre Bug-Bounty-Programme antworteten, wollten die meisten den Befund jedoch nicht als Fehler einstufen. MetaMask bezeichnete ihn als bekanntes Problem, schloss den Bericht als Duplikat und erklärte, man habe keine unmittelbaren Pläne, die Einbindung des eigenen Anbieters zu stoppen, weil das zu viele Anwendungen beeinträchtigen würde. Rabby erklärte, der Angriff setze dasselbe bösartige Skript auf zwei Websites gleichzeitig voraus, nannte das „praktisch unmöglich“ und folgerte, „die Schwachstelle existiert nicht“. OKX stimmte zu, dass der Befund technisch korrekt sei, schloss ihn aber als bloße Information, weil dabei kein Geld gestohlen werde. Bybit, Backpack und Core stuften das Risiko als gering ein oder als nicht vom Programm abgedeckt. Die vollständigen Antworten haben die Forscher in ihrem Repository veröffentlicht.
Die Arbeit baut auf Forschung aus dem Jahr 2023 von Christof Ferreira Torres und Kollegen auf, die bereits gezeigt hatte, dass Browser-Wallets Adressen an externe Server preisgeben. Nach Darstellung der KU Leuven deckt die neue Studie zusätzliche Lecks auf, die frühere Werkzeuge übersehen hatten, kartiert das seitenübergreifende Tracking und zeigt, wie sich dieselben Lecks zur Enttarnung von Personen nutzen lassen. Die Arbeit erschien auf arXiv und soll auf der PETS 2026 in Calgary vorgestellt werden.
