SSP Editorial Team

Was ist WalletConnect und wie funktioniert es mit SSP

·7 Min. Lesezeit·Von SSP Editorial Team
WalletConnect QR-Code, der die SSP Wallet-Browsererweiterung und die SSP Key-App mit einer dApp verbindet.

Was ist WalletConnect und wie funktioniert es mit SSP

Wenn du schon einmal eine dezentrale Börse, einen NFT-Marktplatz oder eine Lending-App geöffnet und einen "Connect Wallet"-Button neben einem QR-Code gesehen hast, hast du WalletConnect bereits kennengelernt. Es ist die stille Verkabelung, die selbstverwahrte Wallets mit den Anwendungen verbindet, die Menschen tatsächlich nutzen. Für einen SSP-Anwender lautet die Frage nicht nur "Was ist WalletConnect?", sondern "Was ändert sich an meiner Sicherheit, wenn ich es nutze, und was bleibt gleich?"

Die kurze Antwort: WalletConnect ist die Tür. Deine Schlüssel — und der 2-of-2-Schutz von SSP — bleiben genau dort, wo sie waren.

Was WalletConnect tatsächlich ist

WalletConnect ist ein offenes Protokoll zum Übermitteln von Signaturanfragen zwischen einer dezentralen Anwendung (einer dApp) und einer Wallet. Es ist kein Verwahrer. Es hält keine Gelder. Es sieht weder deine Seed-Phrase noch deine privaten Schlüssel. Wenn sich eine Wallet und eine dApp über WalletConnect verbinden, bauen die beiden Endpunkte über ein Relay-Netzwerk eine verschlüsselte Sitzung auf, und Nachrichten wandern in dieser Sitzung hin und her. Das Relay sieht nur verschlüsselte Blöcke; lesen können sie nur die beiden Endpunkte.

Es wird fast überall im Ökosystem eingesetzt — und genau deshalb trägt dich ein einziger Ablauf auf der Wallet-Seite durch Hunderte von Apps, ohne dass du jedes Mal einen neuen Workflow lernen musst. Das Protokoll ist offen dokumentiert auf docs.walletconnect.com, und einen großen Katalog WalletConnect-kompatibler Apps findest du auf ethereum.org/en/dapps.

Der grundlegende Ablauf, Schritt für Schritt

Das Verbindungsritual ist nahezu immer dasselbe, unabhängig von der dApp, die du nutzt.

  1. Die dApp zeigt eine "Connect Wallet"-Option und präsentiert einen QR-Code, oder — wenn du am Smartphone bist — einen Deep Link.
  2. Du öffnest SSP, wählst die Verbindung zu einer dApp und scannst den QR-Code (oder folgst dem Link).
  3. SSP zeigt dir, was die dApp anfragt: eine Sitzung, deine Adresse, die Chain, auf der du dich verbindest.
  4. Du genehmigst die Sitzung. Zwischen SSP und der dApp ist nun ein verschlüsselter Kanal offen.
  5. Wenn du in der dApp eine Aktion ausführst, die eine Signatur erfordert — einen Swap, eine Token-Freigabe, eine Einzahlung — schickt die dApp eine Signaturanfrage durch den Kanal. SSP zeigt dir genau, was gefragt ist.
  6. Du entscheidest. Wenn du zustimmst, läuft der Signaturprozess in SSP, und die signierte Transaktion geht an die dApp zurück, die sie veröffentlicht.
  7. Wenn du fertig bist, trennst du die Sitzung.

Das Wichtige dabei: Die dApp fragt nie nach deinen privaten Schlüsseln. Sie fragt nach Signaturen. Jede Signatur ist eine eigene Entscheidung, die du in deiner Wallet triffst.

Wie sich das Signaturmodell auf SSP überträgt

Hier verändert SSP das Bild auf eine Weise, wie es die meisten Wallets nicht können. In einer typischen Einzelsignatur-Wallet ist jede Signaturanfrage eine einzige Bestätigung in der Wallet-UI — schnell, aber auch ein Single Point of Failure. Wenn dieses eine Gerät kompromittiert ist oder du eine feindliche Anfrage mit "Genehmigen" bestätigst, geschieht die Signatur.

SSP ist eine 2-of-2-Multisig-Wallet. Schlüssel 1 liegt in der SSP Wallet-Browsererweiterung. Schlüssel 2 liegt auf deinem Telefon in der SSP Key Mobile-App. Jede Transaktion braucht beide Schlüssel, jedes Mal. Dieses Modell verschwindet nicht, wenn du WalletConnect nutzt — es erstreckt sich darauf.

Wenn eine dApp über WalletConnect eine Signaturanfrage sendet:

  • Die Anfrage trifft zuerst bei der SSP Wallet-Erweiterung auf deinem Computer ein.
  • Du prüfst, was die dApp signiert haben möchte — den Contract, den Betrag, die Chain, das Calldata, wenn du es einsehen willst.
  • Du bestätigst sie in der Erweiterung. Die Erweiterung erzeugt ihren Anteil an der Signatur.
  • Die Anfrage wird zur Mitzeichnung an SSP Key auf deinem Telefon gepusht. Du siehst dort dieselben Details.
  • Du bestätigst sie auf dem Telefon. SSP Key erzeugt seinen Anteil.
  • Die beiden Anteile werden zu einer gültigen Signatur kombiniert und an die dApp zurückgegeben.

Auf UTXO-Chains geschieht das als BIP-48-Multisig-Signatur; auf EVM-Chains (Ethereum, Polygon, Base, BNB Smart Chain, Avalanche) als Schnorr-aggregierte 2-of-2-Signatur, verifiziert durch ein ERC-4337 smart account. Andere Kryptografie, dieselbe Eigenschaft: zwei Geräte, zwei Bestätigungen, eine Transaktion. Wenn du tiefer in die EVM-Seite einsteigen willst, sieh dir SSPs account abstraction-Architektur an, und für das grundlegende Konzept was 2-of-2-multisig ist.

Eine Phishing-dApp, die die Erweiterung täuscht, muss noch immer dein Telefon überzeugen. Genau darum geht es.

Sicherheitsimplikationen, die du kennen solltest

WalletConnect schwächt deine Sicherheit nicht; es verändert, worauf du achten musst. Die unten genannten Risiken sind nicht WalletConnect-spezifisch, aber eine verbundene dApp ist ein häufiger Ort, an dem sie auftreten.

Phishing-dApps. Jeder kann eine Website bauen, die wie ein bekanntes Protokoll aussieht, und dich bitten, dich zu verbinden. Die Wallet hat keine Möglichkeit zu wissen, welche echt ist. Bestätige vor dem Verbinden immer, dass du auf der richtigen Domain bist. Setze deine genutzten Apps auf Lesezeichen; gelange nicht über Suchanzeigen oder Chat-Links dorthin.

Bösartige Signaturanfragen. Sobald eine Sitzung offen ist, kann eine dApp beliebige Signaturen anfordern. Eine Swap-Oberfläche kann dir eine Token-Freigabe vorlegen, die einem fremden Contract die Erlaubnis gibt, einen Token-Bestand zu entleeren. Lies, was SSP dir zeigt. Wenn eine Signaturanfrage unbekannt wirkt — ein Contract, den du nicht kennst, eine unbegrenzte Freigabe, ein Transfer an eine Adresse, die nicht deine ist — lehne sie ab. Die 2-of-2-Prüfung auf deinem Telefon ist deine zweite Chance, das zu bemerken.

Blindsignaturen. Manchmal sind die signierten Daten undurchsichtig — eine lange Hex-Zeichenkette, die sich nicht in lesbare Felder auflöst. Behandle blinde Signaturanfragen mit Misstrauen. Bevorzuge Apps, die dir die lesbare Absicht dessen anzeigen, was du unterzeichnest.

Verwechslung von Link und App. WalletConnect ist ein Protokoll. Viele Wallets setzen es um. Eine Seite, die "Use WalletConnect" sagt, ist kein markenspezifisches Vertrauenssignal — es ist ein Verkabelungsstandard. Verwechsle "die dApp nutzt WalletConnect" nicht mit "die dApp ist sicher".

Eingeschränkte Berechtigungen. Eine Sitzung kann auf bestimmte Chains und Methoden begrenzt werden. Wenn SSP dir die Sitzungsanfrage zeigt, schau dir an, was verlangt wird. Es schadet nichts, eine Sitzung abzulehnen, die mehr verlangt, als die App tatsächlich braucht.

Vergessene Sitzungen. Eine Sitzung, die du vergessen hast, ist immer noch eine Sitzung. Wenn das Frontend einer dApp später kompromittiert wird, ist eine aktive Sitzung ein Einfallstor. Mach es dir zur Gewohnheit, nach dem Gebrauch zu trennen.

Konkrete Gewohnheiten, die das funktionieren lassen

Ein paar kleine Disziplinen halten deine WalletConnect-Nutzung sauber.

  • Überprüfe die URL der dApp, bevor du einen Verbindungs-QR-Code scannst. Tippe Domains lieber ein, als auf Links aus Chats oder Anzeigen zu klicken.
  • Lies jede Signaturanfrage. Welcher Contract wird aufgerufen? Welche Chain? Welcher Betrag? Eine unbegrenzte Token-Freigabe ist etwas anderes als eine mit festem Betrag — beides kann legitim sein, aber du musst wissen, was du signierst.
  • Nutze die Telefonbestätigung als zweiten Blick. Wenn die Anfrage am Computer gut aussah, aber am Telefon falsch wirkt, lehne ab. Zwei Geräte bedeuten zwei Chancen, etwas zu merken.
  • Trenne Sitzungen, wenn du fertig bist. SSP gibt dir die Sitzungsliste; behandle sie wie eine Liste offener Türen.
  • Bevorzuge seriöse Apps mit Audit-Historie. Tendiere zu Protokollen, die schon länger existieren, die Audits veröffentlichen und die keine Anmelde-Flows jenseits eines normalen WalletConnect-Handshakes verlangen.
  • Halte deine Seed-Phrase aus jedem dApp-Flow heraus. Keine seriöse dApp braucht jemals deine Seed-Phrase. Signaturanfragen sind die Art, wie dApps mit deiner Wallet sprechen; alles, was nach der Seed fragt, ist Betrug. Sieh dir Best Practices für Seed-Phrasen für den tieferen Einstieg an.
  • Wenn du auf Ethereum unterwirfst, gelten dieselben chain-spezifischen Regeln zu gas, nonces und Contract-Interaktionen — Ethereum in SSP behandelt die Chain-Details.

Den Bogen schließen

WalletConnect ist die Tür zwischen SSP und dem dApp-Ökosystem. Es ist verschlüsselt, Open Source und wird von den meisten Wallets und Protokollen genutzt, denen du begegnen wirst. Es verändert nicht, wo deine Schlüssel liegen, und es schwächt das 2-of-2-Modell von SSP nicht. Jede Transaktion, nach der eine dApp fragt, muss weiterhin sowohl deine Browsererweiterung als auch dein Telefon passieren — das ist die Sicherheits­eigenschaft, die du dir mit der Wahl von SSP gesichert hast, und sie reist mit dir durch jede dApp, mit der du dich verbindest.

Die Schlüssel bleiben bei dir. Die Tür ist nur offen, während du hindurchgehst.

Diesen Artikel teilen

Verwandte Artikel

SSP Kauf-, Verkaufs- und Swap-Flows über einer 2-of-2 multisig Wallet

Krypto aus SSP tauschen: Kaufen, Verkaufen und Swap erklärt

Kaufen, Verkaufen und Swap aus SSP: wie On-Ramps, Off-Ramps, der interne Aggregator und DEX-dApps sich unterscheiden, während die 2-of-2 multisig signiert.

7 min read
Quadratische Illustration: ein Swap-Angebot wird durch price impact und slippage zu einem anderen Endbetrag.

Slippage und price impact, erklärt

Warum ein swap zu einem anderen Preis abrechnet als angeboten, was slippage tolerance bewirkt und wie man es in SSP betrachtet.

7 min read
Quadratische Illustration, die das MEV-Sandwich-Angriffs-Muster zeigt

MEV: Frontrunning, Sandwiching und wie du dich schützt

MEV für Selbstverwahrungs-Nutzer erklärt: Was Frontrunning und Sandwich-Angriffe sind, wer gefährdet ist und welche Gewohnheiten deine Exposition reduzieren.

7 min read