Вход в MetaMask Google повышает риск использования ключей кошелька, хранящихся в облаке

MetaMask представила возможность входа через учетные записи Google, однако обновление вызвало серьезные опасения среди пользователей. Хотя функция добавляет удобства, эксперты предупреждают: она может поставить под угрозу приватные ключи, если облачные аккаунты окажутся скомпрометированы.

Обнаружение, вызвавшее тревогу

Тревогу поднял Cos, основатель компании по кибербезопасности блокчейна SlowMist. В публикации на X он сообщил, что MetaMask теперь позволяет входить через Google и автоматически синхронизировать данные кошелька, включая импортированные мнемонические фразы и приватные ключи в облаке. Cos признался, что нововведение стало для него неожиданным и назвал его потенциальной угрозой безопасности.

Он пояснил: если злоумышленник получит доступ к учетной записи Google, он сможет одномоментно обнулить все кошельки, связанные с MetaMask. Предупреждение вызвало широкий отклик в криптосообществе, поскольку многие инвесторы используют MetaMask для управления активами на базе Ethereum. С учетом миллиардов долларов, проходящих через кошельки самоконтроля, даже незначительная уязвимость может обернуться катастрофическими потерями.

Как работает система

MetaMask создала новую функцию входа ради упрощения использования. Вместо того чтобы создавать кошелек с нуля, пользователь может инициализировать его через учетные данные Google или iCloud. Кошелек затем шифрует и сохраняет мнемонический файл в выбранном облачном сервисе. Пароль для разблокировки служит ключом расшифровки, что позволяет пользователю экспортировать и управлять резервными копиями самостоятельно.

На первый взгляд, это облегчает процесс для новичков, которым сложно хранить приватные ключи. Другие провайдеры кошельков также экспериментируют с подобными решениями. Например, кошелек Base от Coinbase использует Passkeys для генерации и хранения учетных данных, по умолчанию сохраняя их в iCloud Keychain. Это действительно снижает барьеры, но перекладывает ответственность за безопасность на технологических гигантов вроде Apple и Google.

Реакция сообщества

Новость вызвала бурные обсуждения. Некоторые пользователи отметили, что локальные офлайн-резервные копии остаются самым безопасным вариантом, так как они не подвержены рискам взлома облака или фишинга. Один из комментаторов заметил: полагаться на крупных технологических игроков для обеспечения безопасности Web3 выглядит противоречиво, ведь сама концепция децентрализации направлена на сокращение таких зависимостей.

Cos уточнил, что подход MetaMask не связан с многосторонними вычислениями (MPC). Это простая система, где зашифрованные файлы привязываются к облачным учетным записям. Некоторые пользователи поинтересовались ограничениями: поддерживает ли функция только кошельки Ethereum или также может работать с Bitcoin. Cos ответил, что технически система способна поддерживать оба варианта, но признал, что остаются пробелы в обработке застейканных активов, таких как ETH.

Баланс между удобством и безопасностью

Ситуация подчеркивает постоянное противоречие в криптоиндустрии — между простотой использования и истинной децентрализацией. Для новичков облачная интеграция снижает риски потери доступа, однако для опытных пользователей хранение приватных ключей в экосистемах Google или Apple кажется опасным компромиссом.

Cos завершил обсуждение напоминанием: не отказывайтесь от традиционных резервных копий. Записывать seed-фразы и хранить их офлайн может быть неудобно, но это по-прежнему лучший способ защитить средства. По мере того как все больше кошельков внедряют облачные входы, инвесторам придется самостоятельно решать, что важнее — удобство или безопасность. Ведь в криптоиндустрии самый простой путь нередко оборачивается самыми большими потерями.