Logowanie do MetaMask przez Google zwiększa ryzyko przechowywania kluczy portfela w chmurze

Najnowsza opcja logowania MetaMask za pomocą kont Google budzi poważne obawy w społeczności kryptowalutowej. Choć aktualizacja oferuje wygodę, użytkownicy ostrzegają, że funkcja ta może narazić prywatne klucze portfeli na ryzyko, jeśli konta w chmurze zostaną zhakowane.

Odkrycie, które wywołało obawy

Alarm podniósł Cos, założyciel firmy zajmującej się bezpieczeństwem blockchain SlowMist. W poście na X podzielił się informacją, że MetaMask pozwala teraz użytkownikom logować się przez Google i automatycznie synchronizować dane portfela. Obejmuje to importowane frazy mnemoniczne oraz klucze prywatne do chmury. Cos przyznał, że funkcja ta go zaskoczyła, nazywając ją nieoczekiwanym ryzykiem bezpieczeństwa.

Wyjaśnił, że jeśli konto Google zostanie zhakowane, atakujący może potencjalnie wyczyścić wiele portfeli powiązanych przez MetaMask za jednym zamachem. Jego ostrzeżenie odbiło się szerokim echem w społeczności kryptowalutowej, ponieważ wielu inwestorów polega na MetaMask do zarządzania aktywami opartymi na Ethereum. Przy miliardach dolarów przepływających przez portfele self-custody, nawet najmniejsza luka może otworzyć drzwi do druzgocących strat.

Jak działa ten system

MetaMask zaprojektował swoją nową funkcję logowania z myślą o łatwości użytkowania. Zamiast tworzyć portfel od podstaw, użytkownicy mogą zainicjować go za pomocą danych logowania Google lub iCloud. Portfel następnie szyfruje i tworzy kopię zapasową pliku mnemonicznego w wybranej usłudze chmurowej. Hasło do odblokowania portfela służy jako klucz deszyfrujący. Pozwala to użytkownikom samodzielnie eksportować i zarządzać kopiami zapasowymi. 

Teoretycznie ułatwia to rozpoczęcie przygody nowicjuszom, którzy mają trudności z przechowywaniem kluczy prywatnych. Inni dostawcy portfeli również eksperymentują z podobnymi metodami. Na przykład portfel Base od Coinbase używa Passkeys do generowania i przechowywania danych uwierzytelniających. System domyślnie zapisuje je w iCloud Keychain. Choć zmniejsza to tarcia, przenosi również odpowiedzialność za bezpieczeństwo na gigantów technologicznych, takich jak Apple i Google.

Reakcje społeczności

Wiadomość wywołała falę dyskusji online. Niektórzy użytkownicy zauważyli, że lokalne, offline'owe kopie zapasowe pozostają najbezpieczniejszą opcją, ponieważ nie są narażone na ataki na chmurę czy próby phishingu. Jeden z użytkowników skomentował wprost, że poleganie na dużych firmach technologicznych w kwestii bezpieczeństwa Web3 wydaje się sprzeczne z intuicją, ponieważ system miał na celu decentralizację i ograniczenie takich zależności. Cos odpowiedział na część dyskusji, wyjaśniając, że podejście MetaMask nie ma nic wspólnego z multi-party computation (MPC). 

Zamiast tego jest to prosty system, w którym portfel powiązuje zaszyfrowane pliki z kontami w chmurze. Inni zadawali pytania o ograniczenia, na przykład czy funkcja obsługuje tylko portfele Ethereum, czy może rozszerzyć się na Bitcoin. Cos odpowiedział, że system technicznie może obsługiwać oba typy portfeli, ale przyznał, że istnieją luki w sposobie obsługi aktywów stakingowych, takich jak ETH.

Równowaga między wygodą a bezpieczeństwem

Sytuacja ta podkreśla trwające napięcie w świecie kryptowalut. Chodzi o równowagę między łatwością użytkowania a prawdziwą decentralizacją i bezpieczeństwem. Dla nowicjuszy integracja z chmurą obniża bariery wejścia i zmniejsza ryzyko utraty dostępu do portfela. Jednak dla doświadczonych użytkowników pomysł przechowywania kluczy prywatnych w ekosystemie Google lub Apple wydaje się niebezpiecznym kompromisem. 

Cos zakończył swój wątek przypomnieniem dla społeczności: nie pomijajcie tradycyjnych kopii zapasowych. Zapisywanie fraz seed i przechowywanie ich offline może wydawać się niewygodne, ale nadal pozostaje złotym standardem ochrony środków. W miarę jak coraz więcej portfeli integruje logowanie przez chmurę, inwestorzy będą musieli rozważyć wygodę wobec ryzyka. Bo w kryptowalutach najprostszy skrót może czasem prowadzić do największych strat.