MetaMask Google Login erhöht das Risiko von in der Cloud gespeicherten Wallet-Schlüsseln

Die neue Login-Option von MetaMask über Google-Konten sorgt in der Krypto-Community für starke Bedenken. Zwar bietet das Update Komfort, doch warnen Nutzer, dass private Wallet-Schlüssel gefährdet sein könnten, falls Hacker jemals Cloud-Konten kompromittieren.

Die Entdeckung, die Bedenken auslöste

Alarm schlug Cos, Gründer der Blockchain-Sicherheitsfirma SlowMist. In einem Beitrag auf X teilte er mit, dass MetaMask nun die Anmeldung über Google erlaubt und automatisch Wallet-Daten synchronisiert. Dazu gehören importierte Mnemonic-Phrasen und private Schlüssel in der Cloud. Cos gab zu, dass ihn die Funktion überrascht habe und nannte sie ein unerwartetes Sicherheitsrisiko.

Er erklärte, dass bei einem gehackten Google-Konto ein Angreifer theoretisch mehrere über MetaMask verbundene Wallets auf einen Schlag löschen könnte. Seine Warnung fand in der Krypto-Community großen Widerhall, da viele Anleger MetaMask zur Verwaltung ihrer Ethereum-basierten Assets nutzen. Mit Milliarden von Dollar, die durch Self-Custody-Wallets fließen, könnte selbst ein kleiner Fehler zu erheblichen Verlusten führen.

So funktioniert das System

MetaMask hat die neue Login-Funktion für Benutzerfreundlichkeit entwickelt. Statt eine Wallet von Grund auf zu erstellen, können Nutzer eine Wallet mit Google- oder iCloud-Zugangsdaten initialisieren. Die Wallet verschlüsselt die Mnemonic-Datei und sichert sie in dem gewählten Cloud-Dienst. Das Wallet-Passwort dient als Entschlüsselungsschlüssel und ermöglicht den Nutzern, Backups selbst zu exportieren und zu verwalten.

Auf dem Papier erleichtert dies besonders Neueinsteigern den Einstieg, die Schwierigkeiten beim sicheren Umgang mit privaten Schlüsseln haben. Auch andere Wallet-Anbieter experimentieren mit ähnlichen Methoden. So nutzt beispielsweise Coinbase’s Base Wallet Passkeys zur Generierung und Speicherung von Zugangsdaten, die standardmäßig in iCloud Keychain gesichert werden. Zwar reduziert dies Hürden, verschiebt aber die Sicherheitsverantwortung auf Tech-Giganten wie Apple und Google.

Reaktionen aus der Community

Die Ankündigung löste online eine Debatte aus. Einige Nutzer betonten, dass lokale Offline-Backups nach wie vor die sicherste Methode seien, da sie vor Cloud-Hacks oder Phishing schützen. Ein Nutzer kommentierte offen, dass das Vertrauen auf große Tech-Firmen für Web3-Sicherheit kontraintuitiv sei, da das System eigentlich Dezentralisierung fördern soll. Cos reagierte auf einige Diskussionen und stellte klar, dass MetaMasks Ansatz nichts mit Multi-Party Computation (MPC) zu tun habe.

Stattdessen handelt es sich um ein einfaches System, bei dem die Wallet verschlüsselte Dateien mit Cloud-Konten verknüpft. Andere hinterfragten Einschränkungen, etwa ob die Funktion nur Ethereum-Wallets unterstützt oder auch auf Bitcoin erweitert werden könnte. Cos erklärte, dass das System technisch beide Wallet-Typen unterstützen könne, räumte jedoch Lücken bei der Handhabung von gestakten Assets wie ETH ein.

Balance zwischen Komfort und Sicherheit

Die Situation verdeutlicht eine fortwährende Spannung im Krypto-Bereich: der Spagat zwischen Benutzerfreundlichkeit und echter Dezentralisierung/Sicherheit. Für Neueinsteiger senkt die Cloud-Integration Barrieren und verringert das Risiko, den Wallet-Zugang zu verlieren. Für erfahrene Nutzer wirkt die Speicherung privater Schlüssel in Google- oder Apple-Ökosystemen jedoch wie ein riskantes Kompromiss.

Cos schloss seinen Thread mit einer Erinnerung an die Community: traditionelle Backups nicht zu vernachlässigen. Das Aufschreiben von Seed-Phrasen und die Offline-Aufbewahrung mag umständlich wirken, bleibt aber der Goldstandard zum Schutz von Geldern. Mit zunehmender Integration von Cloud-Logins müssen Anleger abwägen, ob Komfort das Risiko wert ist – denn in der Krypto-Welt kann die einfachste Abkürzung manchmal zu den größten Verlusten führen.