Ich möchte hier mal einen Thread über die Privatsphäre von Wallets aufmachen.
Ich beziehe mich auf Wallets als Software die entweder direkt die Seed haben (Hot Wallets) oder sich mit einer Hardware Wallet verbinden (Cold Wallet).
Selbst wenn eine Wallet Open Source ist und man verifizieren kann das sie nicht direkt alle Daten sammelt und zum Server schickt gibt es fast immer vorallem diese 2 Privacy Probleme:
|
Abfragen mehrerer Krypto Adressen über dieselbe IP Adresse:
Fast jede Wallet Software fragt bei jedem öffnen automatisch das Guthaben aller eigenen Adressen von der Node des Wallet Anbieters ab. Selbst wenn man einen VPN oder Tor verwendet kann der Node Betreiber sehen das von einer IP Adresse mehrere Krypto Adressen abgefragt werden und kann, besonders wenn so etwas immer wieder passiert, schlussfolgern das all diese Adressen zu einer Wallet gehören.
Lösen kann man das von Seiten des Anbieters in dem man eine Option bietet automatisches Abfragen auszuschalten und nur abzufragen wenn jemand das für eine Adresse anklickt. Falls die Wallet diese Option nicht hat könnte der User für jede Adresse eine eigene Passphrase verwenden, das wiederum ist aber ziemlich nervig.
Eindeutiger API Key für jede Wallet Installation:
Viele Wallets weisen jeder Installation einen eindeutigen API Key zu der bei Abfragen von Adressen verwendet wird. Wenn das passiert dann weiß der Anbieter, und jeder der auf diese Daten zugriff bekommt (wie z.B Behörden oder im schlimmsten Fall Hacker) exakt welche Adressen zusammengehören, da diese ja immer wieder denselben API Key verwenden.
|
Was ist eure Meinung zu diesen Punkten, kennt ihr vielleicht Lösungen?
Fallen euch weitere ein?
Anmerkung:
Wenn man eine eigene Node verwendet und diese wiederum über Tor verbunden ist, fallen viele dieser Probleme weg, aber da sehr viele Menschen keine eigene Node haben, finde ich das die obigen Punkte sehr wichtig sind.
Wallet-Privatsphäre ist ein großes Thema, und die meisten Nutzer unterschätzen, wie einfach ihre Adressen deanonymisiert werden können.
Wer sich schützen will, sollte:
Man kann sich auch mit Nodes verbinden, bei denen Logs ausgestellt sind. Das sind Leute, die einen guten Ruf in der Szene besitzen. Eine Garantie gibt es nicht, aber besser als irgendwo seine Adresse abzufragen.
Manche Wallets zeigen den API-Key in den Einstellungen oder in Log-Dateien an.
Schau in den Einstellungen der Wallet nach Optionen wie „API Key“ oder „Tracking ID“. Electrum z.B. speichert keine API-Keys, aber Wallets wie Trust Wallet oder Exodus könnten welche für bestimmte Services nutzen.
Electrum benutze ich schon einige Zeit aber ich finde keine Option zum ausstellen des automatischem abfragen von Adressen.
Trust Wallet oder Exodus sind leider nicht richtig Open Source das heißt es kann sibieso niemand überprüfen was die wirklich machen.
Man sperrt der Wallet App die Internet Berechtigung so das sie immer offline ist. geht sowohl bei Android als auch auf Linux wenn man sie als Flatpack installiert oder vor jedem Start der App das Internet des System ausschaltet.
Man braucht aber eine Wallet die es einem erlaubt Transaktionen zu signen und dann woanders zu broadcasten.
Ich weiß das es mit Trezor Suite geht, aber sie blockieren es wenn man nicht genug Coins hat, was es für diese Methode unbrauchbar macht, da die Wallet ja immer denken wird das man zu wenig Coins hat, wenn sie nie zum Internet verbunden wird.
Wenn man die Wallet in einer Sandbox ohne Internet Zugriff betreibt, werden auch Closed Source Wallets wieder eine Option.
Wenn man Internet, Inter Process Communication und File System Zugriff sperrt, kann die Wallet gar nichts leaken.
Jetzt brauche ich nur noch eine Wallet welche es mir erlaubt Transaktionen zu signen auch wenn das Konto (laut der Wallet) nicht gedeckt ist.
Ich möchte Bitcoin und Ethereum nutzen, kann jemand Wallets empfehlen die das von mir genannte können und eine der beiden Kryptowährungen oder beide unterstützten, es wäre auch ok 2 Wallets zu haben die dann eh eine Seed verwenden? Dürfen auch Closed Source sein.
