MetaMask Google-pålogging øker risikoen for sky-lagring av lommeboknøkler

MetaMasks nyeste påloggingsalternativ med Google-kontoer skaper sterke bekymringer i kryptomiljøet. Selv om oppdateringen gir økt brukervennlighet, advarer brukere om at funksjonen kan sette private lommeboknøkler i fare dersom hackere skulle kompromittere skylagringskontoer.

Oppdagelsen som utløste bekymringene

Alarmen ble hevet av Cos, grunnlegger av blokkjede-sikkerhetsselskapet SlowMist. I et innlegg på X delte han at MetaMask nå lar brukere logge inn med Google og automatisk synkronisere lommebokdata. Dette inkluderer importerte mnemonic-faser og private nøkler til skyen. Cos innrømmet at funksjonen tok ham på sengen og kalte det en uventet sikkerhetsrisiko.

Han forklarte at hvis en Google-konto blir hacket, kan angriperen potensielt slette flere lommebøker knyttet til MetaMask i ett slag. Advarselen hans fikk gjenklang i kryptomiljøet, ettersom mange investorer stoler på MetaMask for å administrere Ethereum-baserte eiendeler. Med milliarder av dollar som strømmer gjennom selvforvaltede lommebøker, kan selv den minste svakhet føre til store tap.

Slik fungerer systemet

MetaMask har designet den nye påloggingsfunksjonen for brukervennlighet. I stedet for å opprette en lommebok fra bunnen av, kan brukere initialisere en med Google- eller iCloud-legitimasjon. Lommeboken krypterer deretter mnemonic-filen og sikkerhetskopierer den i valgt skylagring. Lommebokens passord fungerer som dekrypteringsnøkkel, og lar brukerne eksportere og administrere sikkerhetskopier selv.

På papiret gjør dette onboarding enklere for nybegynnere som sliter med lagring av private nøkler. Andre lommebokleverandører eksperimenterer også med lignende metoder. For eksempel bruker Coinbase Base-lommeboken Passkeys for å generere og lagre legitimasjon, som som standard lagres i iCloud Keychain. Selv om dette reduserer friksjon, flytter det også sikkerhetsansvaret over på teknologigiganter som Apple og Google.

Reaksjoner fra fellesskapet

Nyheten utløste en bølge av debatt på nettet. Noen brukere påpekte at lokale offline-sikkerhetskopier fortsatt er det sikreste alternativet, ettersom systemet ikke utsetter dem for skyhacking eller phishing. Én bruker kommenterte direkte at det føles motstridende å stole på store teknologiselskaper for Web3-sikkerhet, siden systemet opprinnelig var ment å redusere slike avhengigheter.

Cos svarte på noen av diskusjonene og presiserte at MetaMasks tilnærming ikke har noe med multi-party computation (MPC) å gjøre. Det er i stedet et enkelt system der lommeboken knytter krypterte filer til sky-kontoer. Andre stilte spørsmål om begrensninger, for eksempel om funksjonen kun støtter Ethereum-lommebøker eller om den også kan brukes for Bitcoin. Cos svarte at systemet teknisk sett kan støtte begge typer lommebøker, men innrømmet at det finnes hull i hvordan systemet håndterer staket eiendeler som ETH.

Balansen mellom brukervennlighet og sikkerhet

Situasjonen understreker en pågående spenning i kryptoverdenen: balansen mellom brukervennlighet og ekte desentralisering og sikkerhet. For nybegynnere reduserer skyintegrasjon terskelen og sjansen for å miste tilgang til lommeboken. For erfarne brukere føles det derimot som en farlig kompromiss å lagre private nøkler i Google- eller Apples økosystem.

Cos avsluttet tråden med en påminnelse til fellesskapet: ikke hopp over tradisjonelle sikkerhetskopier. Å skrive ned seed-faser og oppbevare dem offline kan føles tungvint, men det forblir gullstandarden for å beskytte midlene. Etter hvert som flere lommebøker integrerer sky-pålogging, må investorer veie brukervennlighet opp mot risiko. I kryptoverdenen kan den enkleste snarveien noen ganger føre til de største tapene.