تسجيل الدخول إلى MetaMask عبر Google يزيد من خطر تخزين مفاتيح المحفظة في السحابة

أحدث خيار تسجيل الدخول إلى MetaMask باستخدام حسابات Google قلقاً شديداً في مجتمع العملات الرقمية. فعلى الرغم من أن التحديث يوفر سهولة الاستخدام، إلا أن المستخدمين يحذرون من أن هذه الميزة قد تعرض مفاتيح المحافظ الخاصة للخطر إذا تم اختراق حسابات السحابة.

الاكتشاف الذي أثار المخاوف

أطلق Cos، مؤسس شركة أمن البلوكشين SlowMist، جرس الإنذار. ففي منشور على X، شارك أن MetaMask تسمح الآن للمستخدمين بتسجيل الدخول باستخدام Google ومزامنة بيانات المحفظة تلقائياً، بما في ذلك عبارات الاستذكار والمفاتيح الخاصة المستوردة إلى السحابة. وأقر Cos بأن هذه الميزة فاجأته، واصفاً إياها بأنها مخاطرة أمنية غير متوقعة.

وأوضح أنه إذا تم اختراق حساب Google، يمكن للمهاجم أن يمحو عدة محافظ مرتبطة عبر MetaMask بضربة واحدة. وقد لاقى تحذيره صدى واسعاً في مجتمع العملات الرقمية، حيث يعتمد العديد من المستثمرين على MetaMask لإدارة أصولهم المبنية على Ethereum. ومع تدفق مليارات الدولارات عبر المحافظ ذاتية الحفظ، حتى أصغر ثغرة قد تفتح الباب لخسائر مدمرة.

كيف يعمل النظام

صممت MetaMask ميزة تسجيل الدخول الجديدة لتسهيل الاستخدام. فبدلاً من إنشاء محفظة من الصفر، يمكن للمستخدمين تهيئة واحدة باستخدام بيانات اعتماد Google أو iCloud. بعد ذلك، تقوم المحفظة بتشفير ونسخ ملف العبارة الاستذكارية احتياطياً في خدمة السحابة المختارة. وتعمل كلمة مرور فتح المحفظة كمفتاح فك التشفير، مما يسمح للمستخدمين بتصدير النسخ الاحتياطية وإدارتها بأنفسهم. 

نظرياً، هذا يسهل عملية الانضمام للمبتدئين الذين يواجهون صعوبة في تخزين المفاتيح الخاصة. كما أن مزودي المحافظ الآخرين يجربون طرقاً مماثلة. فعلى سبيل المثال، تستخدم محفظة Base من Coinbase مفاتيح المرور (Passkeys) لإنشاء وتخزين بيانات الاعتماد، ويتم حفظ هذه البيانات افتراضياً في iCloud Keychain. وبينما يقلل ذلك من التعقيد، إلا أنه ينقل مسؤوليات الأمان إلى عمالقة التكنولوجيا مثل Apple وGoogle.

ردود فعل المجتمع

أثارت الأخبار موجة من النقاشات عبر الإنترنت. أشار بعض المستخدمين إلى أن النسخ الاحتياطية المحلية غير المتصلة بالإنترنت تظل الخيار الأكثر أماناً، حيث لا تعرضهم لاختراقات السحابة أو محاولات التصيد. وعلق أحد المستخدمين بصراحة أن الاعتماد على شركات التكنولوجيا الكبرى لأمن Web3 يبدو غير منطقي، إذ أن الهدف من النظام هو اللامركزية لتقليل مثل هذه التبعيات. ورد Cos على بعض النقاشات موضحاً أن نهج MetaMask لا علاقة له بالحوسبة متعددة الأطراف (MPC). 

بل هو نظام مباشر يربط الملفات المشفرة بحسابات السحابة. وطرح آخرون تساؤلات حول القيود، مثل ما إذا كانت الميزة تدعم فقط محافظ Ethereum أو يمكن أن تمتد إلى Bitcoin أيضاً. ورد Cos بأن النظام يمكنه من الناحية التقنية دعم كلا نوعي المحافظ، لكنه أقر بوجود فجوات في كيفية تعامل النظام مع الأصول المرهونة مثل ETH.

موازنة السهولة والأمان

تسلط هذه الحالة الضوء على توتر مستمر في عالم العملات الرقمية، حيث يجب الموازنة بين سهولة الاستخدام واللامركزية الحقيقية والأمان. بالنسبة للمبتدئين، تقلل التكامل مع السحابة من الحواجز وتقلل من احتمالية فقدان الوصول إلى المحفظة. أما بالنسبة للمستخدمين المخضرمين، فإن فكرة تخزين المفاتيح الخاصة في نظام Google أو Apple تبدو كحل وسط خطير. 

اختتم Cos سلسلته بتذكير المجتمع: لا تتجاهل النسخ الاحتياطية التقليدية. قد يبدو تدوين عبارات الاستذكار والاحتفاظ بها دون اتصال أمراً غير مريح، لكنه يظل المعيار الذهبي لحماية الأموال. ومع دمج المزيد من المحافظ لخيارات تسجيل الدخول السحابي، سيحتاج المستثمرون إلى موازنة السهولة مقابل المخاطر. ففي عالم العملات الرقمية، قد يؤدي أبسط اختصار أحياناً إلى أكبر الخسائر.