Вхід через Google у MetaMask підвищує ризик зберігання ключів гаманця в хмарі

Остання опція входу в MetaMask за допомогою Google-акаунтів викликає серйозне занепокоєння у криптоспільноті. Хоча це оновлення забезпечує зручність, користувачі попереджають, що ця функція може поставити під загрозу приватні ключі гаманця, якщо хакери коли-небудь скомпрометують хмарні акаунти.

Відкриття, що викликало занепокоєння

Тривогу підняв Cos, засновник компанії з блокчейн-безпеки SlowMist. У своєму пості на X він поділився, що MetaMask тепер дозволяє користувачам входити через Google та автоматично синхронізувати дані гаманця. Це включає імпортовані мнемонічні фрази та приватні ключі у хмару. Cos зізнався, що ця функція застала його зненацька, назвавши її несподіваним ризиком для безпеки.

Він пояснив, що якщо Google-акаунт буде зламано, зловмисник потенційно може знищити кілька гаманців, пов’язаних через MetaMask, одним ударом. Його попередження знайшло відгук у криптоспільноті, оскільки багато інвесторів покладаються на MetaMask для управління своїми активами на базі Ethereum. З мільярдами доларів, що проходять через гаманці самостійного зберігання, навіть найменша вада може відкрити шлях до катастрофічних втрат.

Як працює система

MetaMask розробив свою нову функцію входу для зручності використання. Замість створення гаманця з нуля, користувачі можуть ініціалізувати його за допомогою облікових даних Google або iCloud. Гаманець потім шифрує та створює резервну копію мнемонічного файлу у вибраній хмарній службі. Пароль для розблокування гаманця служить ключем для дешифрування. Це дозволяє користувачам експортувати та керувати резервними копіями самостійно. 

На папері це спрощує процес для новачків, які мають труднощі зі зберіганням приватних ключів. Інші провайдери гаманців також експериментують із подібними методами. Наприклад, Base гаманець від Coinbase використовує Passkeys для генерації та зберігання облікових даних. Система за замовчуванням зберігає їх у iCloud Keychain. Хоча це зменшує тертя, це також перекладає відповідальність за безпеку на технологічних гігантів, таких як Apple та Google.

Реакція спільноти

Ця новина викликала хвилю дискусій в інтернеті. Деякі користувачі зазначили, що локальні офлайн-резервні копії залишаються найбезпечнішим варіантом, оскільки система не піддає їх ризику хакерських атак на хмару чи фішингових спроб. Один користувач прямо прокоментував, що покладатися на великі технологічні компанії для безпеки Web3 здається нелогічним, оскільки система мала на меті децентралізацію для зменшення таких залежностей. Cos відповів на деякі обговорення, уточнивши, що підхід MetaMask не має нічого спільного з багатосторонніми обчисленнями (MPC). 

Замість цього це проста система, де гаманець прив’язує зашифровані файли до хмарних акаунтів. Інші підняли питання щодо обмежень, наприклад, чи підтримує ця функція лише Ethereum-гаманці, чи може вона розширитися на Bitcoin. Cos відповів, що технічно система може підтримувати обидва типи гаманців, але він визнав прогалини у тому, як система обробляє застейкані активи, такі як ETH.

Баланс між зручністю та безпекою

Ситуація підкреслює постійну напругу у криптосфері: баланс між зручністю використання, справжньою децентралізацією та безпекою. Для новачків інтеграція з хмарою знижує бар’єри та зменшує ймовірність втрати доступу до гаманця. Але для досвідчених користувачів ідея зберігання приватних ключів у екосистемі Google чи Apple здається небезпечним компромісом. 

Cos завершив свою гілку нагадуванням для спільноти: не ігноруйте традиційні резервні копії. Записування seed-фраз і зберігання їх офлайн може здаватися незручним, але це залишається золотим стандартом захисту коштів. Оскільки все більше гаманців інтегрують вхід через хмару, інвесторам доведеться зважувати зручність проти ризику. Адже у крипто найпростіший шлях іноді може призвести до найбільших втрат.