MetaMaskのGoogleログイン、クラウド保存ウォレットキーのリスクを高める

MetaMaskの最新のGoogleアカウントによるログインオプションが、暗号資産コミュニティで強い懸念を引き起こしています。このアップデートは利便性を提供する一方で、ユーザーは、ハッカーがクラウドアカウントを侵害した場合、プライベートウォレットキーが危険にさらされる可能性があると警告しています。

懸念を呼んだ発見

この警鐘を鳴らしたのは、ブロックチェーンセキュリティ企業SlowMistの創設者Cos氏です。Xへの投稿で、MetaMaskがGoogleでのログインを可能にし、ウォレットデータを自動的に同期するようになったことを共有しました。これには、インポートされたニーモニックフレーズやプライベートキーもクラウドに保存されます。Cos氏は、この機能が予想外であり、思いがけないセキュリティリスクだと述べました。

彼は、もしGoogleアカウントがハッキングされた場合、攻撃者はMetaMaskを通じてリンクされた複数のウォレットを一度に全て奪う可能性があると説明しました。この警告は暗号資産コミュニティ全体に響き渡りました。多くの投資家がMetaMaskを使ってEthereumベースの資産を管理しているためです。セルフカストディウォレットを通じて数十億ドルが流れている中、わずかな欠陥でも壊滅的な損失につながる可能性があります。

システムの仕組み

MetaMaskは利便性を重視して新しいログイン機能を設計しました。ウォレットを一から作成する代わりに、ユーザーはGoogleやiCloudの認証情報を使って初期化できます。ウォレットは選択したクラウドサービスにニーモニックファイルを暗号化してバックアップします。ウォレットのアンロックパスワードが復号キーとなり、ユーザー自身でバックアップのエクスポートや管理が可能です。

理論上、これはプライベートキーの保管に苦労する初心者のオンボーディングを容易にします。他のウォレットプロバイダーも同様の手法を試しています。例えば、CoinbaseのBaseウォレットはPasskeysを使って認証情報を生成・保存し、デフォルトでiCloud Keychainに保存します。これにより利便性は向上しますが、セキュリティの責任がAppleやGoogleといったテック大手に移ることにもなります。

コミュニティの反応

このニュースはオンライン上で議論の波を引き起こしました。一部のユーザーは、ローカルのオフラインバックアップが最も安全な選択肢であると指摘しています。なぜなら、クラウドのハッキングやフィッシング攻撃にさらされることがないからです。あるユーザーは、大手テック企業にWeb3のセキュリティを頼るのは本末転倒だと率直にコメントしました。なぜなら、分散化はこうした依存を減らすためのものだからです。Cos氏は一部の議論に応じ、MetaMaskのアプローチはマルチパーティ計算（MPC）とは無関係であると明言しました。

実際には、ウォレットが暗号化ファイルをクラウドアカウントに紐付けるシンプルなシステムです。他にも、EthereumウォレットだけでなくBitcoinにも対応できるのかなど、機能の制限について疑問が上がりました。Cos氏は、技術的には両方のウォレットタイプをサポートできると答えましたが、ETHのようなステーキング資産の扱いには課題があることを認めました。

利便性とセキュリティのバランス

この状況は、暗号資産業界における継続的なジレンマを浮き彫りにしています。使いやすさと真の分散化、セキュリティのバランスです。初心者にとっては、クラウド統合により障壁が下がり、ウォレットアクセスの喪失リスクも減ります。しかし経験豊富なユーザーにとっては、プライベートキーをGoogleやAppleのエコシステムに保存するという発想自体が危険な妥協に感じられます。

Cos氏はスレッドの最後でコミュニティに伝えました。「従来のバックアップを省略しないでください」。シードフレーズを書き留めてオフラインで保管するのは面倒に感じるかもしれませんが、資金を守るためのゴールドスタンダードであり続けています。今後さらに多くのウォレットがクラウドログインを統合する中で、投資家は利便性とリスクを天秤にかける必要があります。なぜなら、暗号資産の世界では、最も簡単な近道が最大の損失につながることもあるからです。