Il login di MetaMask con Google aumenta il rischio per le chiavi delle wallet archiviate in cloud

La più recente opzione di login di MetaMask tramite account Google ha suscitato forti preoccupazioni nella comunità cripto. Pur offrendo maggiore comodità, gli utenti avvertono che la funzione potrebbe mettere a rischio le chiavi private delle wallet se gli account cloud venissero mai compromessi da hacker.

La scoperta che ha generato preoccupazioni

L’allarme è stato lanciato da Cos, fondatore della società di sicurezza blockchain SlowMist. In un post su X ha condiviso che MetaMask permette ora agli utenti di accedere con Google e sincronizzare automaticamente i dati della wallet. Questo include le frasi mnemoniche importate e le chiavi private nel cloud. Cos ha ammesso di essere rimasto sorpreso da questa funzione, definendola un rischio di sicurezza inatteso.

Ha spiegato che, se un account Google venisse hackerato, l’attaccante potrebbe potenzialmente cancellare più wallet collegate a MetaMask in un solo colpo. Il suo avvertimento ha trovato eco nella comunità cripto, considerando che molti investitori si affidano a MetaMask per gestire asset basati su Ethereum. Con miliardi di dollari che transitano tramite wallet a custodia autonoma, anche il più piccolo errore potrebbe aprire la porta a perdite devastanti.

Come funziona il sistema

MetaMask ha progettato la nuova funzione di login per facilitare l’uso. Invece di creare una wallet da zero, gli utenti possono inizializzarla utilizzando le credenziali di Google o iCloud. La wallet cifra e salva il file mnemonico sul servizio cloud scelto. La password di sblocco della wallet funge da chiave di decrittazione, permettendo agli utenti di esportare e gestire autonomamente i backup.

Sulla carta, questo semplifica l’onboarding per i nuovi utenti che faticano a gestire le chiavi private. Anche altri provider di wallet stanno sperimentando metodi simili. Ad esempio, la wallet Base di Coinbase utilizza le Passkeys per generare e salvare le credenziali, memorizzandole di default in iCloud Keychain. Pur riducendo gli ostacoli, questo sposta le responsabilità di sicurezza su grandi aziende tecnologiche come Apple e Google.

Reazioni della comunità

La notizia ha scatenato un acceso dibattito online. Alcuni utenti hanno sottolineato che i backup locali offline restano l’opzione più sicura, poiché non espongono a hack del cloud o tentativi di phishing. Un utente ha commentato senza mezzi termini che affidarsi a grandi aziende tecnologiche per la sicurezza in Web3 appare controintuitivo, dato che il sistema punta alla decentralizzazione per ridurre tali dipendenze.

Cos ha risposto ad alcune discussioni, chiarendo che l’approccio di MetaMask non ha nulla a che fare con il multi-party computation (MPC). Si tratta invece di un sistema semplice, dove la wallet lega i file cifrati agli account cloud. Altri hanno sollevato dubbi sui limiti, come il fatto che la funzione supporti solo wallet Ethereum o se possa estendersi anche a Bitcoin. Cos ha risposto che il sistema può tecnicamente supportare entrambi i tipi di wallet, pur riconoscendo lacune nella gestione di asset in staking come ETH.

Bilanciare comodità e sicurezza

La situazione evidenzia una tensione costante nel mondo cripto: bilanciare la facilità d’uso con la vera decentralizzazione e sicurezza. Per i nuovi utenti, l’integrazione cloud abbassa le barriere e riduce il rischio di perdere l’accesso alla wallet. Ma per utenti esperti, l’idea di conservare chiavi private nell’ecosistema di Google o Apple rappresenta un compromesso pericoloso.

Cos ha concluso il suo thread ricordando alla comunità: non trascurate i backup tradizionali. Scrivere le frasi seed e conservarle offline può risultare scomodo, ma rimane lo standard d’oro per proteggere i fondi. Con sempre più wallet che integrano il login in cloud, gli investitori dovranno valutare attentamente comodità e rischio. Nel mondo cripto, infatti, la scorciatoia più semplice può talvolta portare alle perdite più ingenti.