Funktionsweise
Monerujo ist eine non-custodial Android-Wallet für Monero (XMR). Die App führt den Monero-Wallet-Code lokal aus; private Ausgabe- und View-Schlüssel werden auf dem Gerät erzeugt und verlassen es nie. Sie verbindet sich mit einem entfernten Monero-Daemon — der Nutzer kann die mitgelieferten Voreinstellungen wählen oder einen selbst gehosteten Node — damit das Gerät nicht die gesamte Blockchain synchronisieren muss. Die Builds werden über Google Play und das projekteigene F-Droid-Repository unter f-droid.monerujo.io ausgeliefert. Die Codebasis, m2049r/xmrwallet, steht unter der Apache-2.0-Lizenz und wird seit 2017 durchgehend auf GitHub gepflegt. Die aktuelle Version ist v4.1.7 „Exolix“ (Juni 2025) und bringt Monero Core v0.18.3.4 sowie die integrierte Swap-Anbindung mit. Bemerkenswerte Extras sind Sidekick (eine in v4.0.7 eingeführte Signatur-Konfiguration auf einem zweiten Telefon), Unterstützung für die Hardware-Wallet Ledger Nano S, die versetzten Passphrasen CrAzYpass sowie OpenAlias-Auflösung.
KYC & Datenschutz
Die Wallet selbst verlangt nichts. Keine E-Mail, kein Telefon, keine Anmeldung, kein Konto. Schlüssel, Seeds und Transaktionsverlauf liegen auf dem Gerät; ein Backup ist eine lokale Datei, die der Nutzer vom Telefon herunterkopiert. Node-Verbindungen verraten die üblichen Remote-Node-Metadaten (der Daemon sieht, dass eine IP nach bestimmten Outputs gefragt hat), weshalb datenschutzbewusste Nutzer Monerujo per Orbot über Tor leiten oder einen eigenen Node betreiben. Der eingebaute Exolix-Swap wird als „KYC-frei“ beworben, doch die AML-Logik der Börse kann einzelne Swaps markieren — dieses Risiko trägt Exolix, nicht die Wallet. Eine Funktion verdient eine Fußnote: PocketChange, das einen eingehenden Output zur Vereinfachung des späteren Ausgebens auf zehn Enotes verteilt. Moonstone Research kommt in der Postmortem-Analyse des Monero-CCS-Hacks vom September 2023 zu dem Schluss, dass der Angreifer vermutlich ein Monerujo-Nutzer mit aktiviertem PocketChange war, weil eine Transaktionssignatur mit elf Outputs im Netzwerk selten ist. Die Funktion ist opt-in und lässt sich abschalten.
Stärken und Grenzen
Das stärkste Argument für Monerujo ist Langeweile im technischen Sinn. Acht Jahre Releases, ein öffentliches Changelog, ein aktiv jedes Zyklus mitgezogener Monero Core und ein Maintainer (m2049r), der weiterhin unter demselben Pseudonym Patches liefert. Apache-2.0 bedeutet, dass jeder das Projekt forken kann, sollte es eines Tages stillstehen. Sidekick ist ein leise raffiniertes Feature: Ein zweites Offline-Telefon hält die Schlüssel, während das Online-Telefon nur als Relay dient. Auch die Grenzen sind sichtbar. Es gibt keinen iOS-Build, keine Desktop-Portierung, keine Browser-Erweiterung. Die Hardware-Unterstützung beschränkt sich auf den Ledger Nano S — neuere Ledgers und andere Signer werden nicht abgedeckt. Die App hat nie ein namentlich genanntes Drittanbieter-Sicherheitsaudit durchlaufen. Und die PocketChange-Episode zeigt, dass selbst gut gemeinte UX-Abkürzungen einen im Netz sichtbaren Fingerabdruck hinterlassen können.
Fazit
Monerujo ist das, wie eine reine Android-Monero-Wallet im Jahr 2026 aussehen sollte: schlanke Oberfläche, kein Server, der nach dem Namen fragt, ein offensichtlicher Update-Pfad über F-Droid und ein Maintainer, der weiter ausliefert. Die Datenschutz-Obergrenze ist das, was das Monero-Protokoll erlaubt, abzüglich einiger opt-in Funktionen, die der Nutzer selbst auswählt. Nutzen Sie sie unter Android, lassen Sie PocketChange aus, wenn Sie von einer öffentlich bekannten Adresse ausgeben, und leiten Sie den Daemon über Tor. Note: A- (8,8/10). Vertrauen: TRUSTED.
Acht Jahre pseudonyme Open-Source-Wartung, ohne Anmeldung und ohne Custody — die kleinen Vorbehalte (kein iOS, kein formales Audit, der PocketChange-Fingerabdruck) wirken nach ehrlicher, konservativer Ingenieursarbeit, nicht nach Vernachlässigung. Wer XMR auf einem Android-Telefon hält, fährt mit Monerujo weiterhin am sichersten. Note: A- (8,8/10). Vertrauen: TRUSTED.
