MetaMask Google-Login erhöht das Risiko von in der Cloud gespeicherten Wallet-Schlüsseln

Die neueste Login-Option von MetaMask mit Google-Konten sorgt für starke Bedenken in der Krypto-Community. Während das Update Bequemlichkeit bietet, warnen Nutzer davor, dass die Funktion private Wallet-Schlüssel gefährden könnte, falls Hacker jemals Cloud-Konten kompromittieren.

Die Entdeckung, die Bedenken auslöste

Der Alarm wurde von Cos, dem Gründer der Blockchain-Sicherheitsfirma SlowMist, ausgelöst. In einem Beitrag auf X teilte er mit, dass MetaMask nun Nutzern erlaubt, sich mit Google anzumelden und Wallet-Daten automatisch zu synchronisieren. Dazu gehören importierte Mnemonics und private Schlüssel in die Cloud. Cos gab zu, dass ihn diese Funktion überrascht hat und bezeichnete sie als unerwartetes Sicherheitsrisiko.

Er erklärte, dass wenn ein Google-Konto gehackt wird, der Angreifer potenziell mehrere über MetaMask verknüpfte Wallets auf einen Schlag leeren könnte. Seine Warnung fand in der Krypto-Community großen Anklang, da viele Investoren MetaMask zur Verwaltung ihrer auf Ethereum basierenden Vermögenswerte nutzen. Mit Milliarden von Dollar, die durch Self-Custody-Wallets fließen, könnte selbst der kleinste Fehler verheerende Verluste verursachen.

Wie das System funktioniert

MetaMask hat die neue Login-Funktion für eine einfachere Nutzung entwickelt. Anstatt eine Wallet von Grund auf neu zu erstellen, können Nutzer eine mit Google- oder iCloud-Zugangsdaten initialisieren. Die Wallet verschlüsselt und sichert dann die Mnemonic-Datei im gewählten Cloud-Dienst. Das Wallet-Entsperrpasswort dient als Entschlüsselungsschlüssel. Es ermöglicht den Nutzern, Backups selbst zu exportieren und zu verwalten. 

Theoretisch erleichtert dies den Einstieg für Neueinsteiger, die Schwierigkeiten mit der Aufbewahrung privater Schlüssel haben. Auch andere Wallet-Anbieter experimentieren mit ähnlichen Methoden. Zum Beispiel verwendet die Base Wallet von Coinbase Passkeys, um Zugangsdaten zu generieren und zu speichern. Das System speichert diese standardmäßig im iCloud-Schlüsselbund. Während dies die Nutzung vereinfacht, verlagert es die Sicherheitsverantwortung auch auf Technologiekonzerne wie Apple und Google.

Reaktionen der Community

Die Nachricht löste eine Welle von Debatten online aus. Einige Nutzer wiesen darauf hin, dass lokale Offline-Backups weiterhin die sicherste Option bleiben, da sie nicht durch Cloud-Hacks oder Phishing-Angriffe gefährdet sind. Ein Nutzer kommentierte unverblümt, dass es widersprüchlich erscheint, sich bei der Web3-Sicherheit auf große Tech-Unternehmen zu verlassen, da das System eigentlich auf Dezentralisierung ausgelegt ist, um solche Abhängigkeiten zu verringern. Cos antwortete auf einige Diskussionen und stellte klar, dass der Ansatz von MetaMask nichts mit Multi-Party Computation (MPC) zu tun hat. 

Stattdessen handelt es sich um ein einfaches System, bei dem die Wallet verschlüsselte Dateien mit Cloud-Konten verknüpft. Andere stellten Fragen zu den Einschränkungen, etwa ob die Funktion nur Ethereum-Wallets unterstützt oder auch auf Bitcoin ausgeweitet werden könnte. Cos antwortete, dass das System technisch beide Wallet-Typen unterstützen kann, räumte jedoch Lücken bei der Handhabung gestakter Vermögenswerte wie ETH ein.

Balance zwischen Bequemlichkeit und Sicherheit

Die Situation verdeutlicht einen anhaltenden Konflikt im Kryptobereich: Es gilt, Benutzerfreundlichkeit mit echter Dezentralisierung und Sicherheit auszubalancieren. Für Neueinsteiger senkt die Cloud-Integration die Einstiegshürden und verringert das Risiko, den Zugang zur Wallet zu verlieren. Für erfahrene Nutzer hingegen fühlt sich die Speicherung privater Schlüssel im Ökosystem von Google oder Apple wie ein gefährlicher Kompromiss an. 

Cos beendete seinen Thread mit einer Erinnerung an die Community: Überspringt traditionelle Backups nicht. Seed-Phrasen aufzuschreiben und offline aufzubewahren, mag unbequem erscheinen, bleibt aber der Goldstandard zum Schutz von Vermögenswerten. Da immer mehr Wallets Cloud-Logins integrieren, müssen Investoren Bequemlichkeit gegen Risiko abwägen. Denn im Kryptobereich kann die einfachste Abkürzung manchmal zu den größten Verlusten führen.