การเข้าสู่ระบบ MetaMask ด้วย Google เพิ่มความเสี่ยงต่อการเก็บกุญแจวอลเล็ตในคลาวด์

ตัวเลือกการเข้าสู่ระบบล่าสุดของ MetaMask ผ่านบัญชี Google ได้สร้างความกังวลอย่างมากในชุมชนคริปโต แม้ว่าการอัปเดตนี้จะช่วยเพิ่มความสะดวกสบาย แต่ผู้ใช้เตือนว่าฟีเจอร์นี้อาจทำให้กุญแจส่วนตัวของวอลเล็ตตกอยู่ในความเสี่ยง หากบัญชีคลาวด์ถูกแฮ็ก

การค้นพบที่ก่อให้เกิดความกังวล

สัญญาณเตือนถูกส่งโดย Cos ผู้ก่อตั้งบริษัทด้านความปลอดภัยบล็อกเชน SlowMist ในโพสต์บน X เขาแชร์ว่า MetaMask อนุญาตให้ผู้ใช้เข้าสู่ระบบด้วย Google และซิงก์ข้อมูลวอลเล็ตโดยอัตโนมัติ ซึ่งรวมถึงวลีจำและกุญแจส่วนตัวที่ถูกนำเข้ามาไปยังคลาวด์ Cos ยอมรับว่าฟีเจอร์นี้ทำให้เขาประหลาดใจ และเรียกมันว่าเป็นความเสี่ยงด้านความปลอดภัยที่ไม่คาดคิด

เขาอธิบายว่าหากบัญชี Google ถูกแฮ็ก ผู้โจมตีอาจลบวอลเล็ตหลายรายการที่เชื่อมต่อกับ MetaMask ได้ในครั้งเดียว คำเตือนของเขาส่งผลสะท้อนในชุมชนคริปโต เนื่องจากนักลงทุนจำนวนมากพึ่งพา MetaMask ในการจัดการสินทรัพย์บน Ethereum ด้วยเงินหลายพันล้านดอลลาร์ที่ไหลผ่านวอลเล็ตแบบ self-custody แม้ข้อบกพร่องเล็กน้อยก็อาจนำไปสู่ความเสียหายอย่างรุนแรง

วิธีการทำงานของระบบ

MetaMask ออกแบบฟีเจอร์เข้าสู่ระบบใหม่นี้เพื่อความสะดวก ผู้ใช้ไม่ต้องสร้างวอลเล็ตใหม่ตั้งแต่ต้น แต่สามารถเริ่มใช้งานได้โดยใช้ข้อมูลประจำตัว Google หรือ iCloud วอลเล็ตจะเข้ารหัสและสำรองไฟล์วลีจำไปยังบริการคลาวด์ที่เลือก รหัสผ่านสำหรับปลดล็อกวอลเล็ตทำหน้าที่เป็นกุญแจถอดรหัส ช่วยให้ผู้ใช้สามารถส่งออกและจัดการสำรองข้อมูลได้ด้วยตัวเอง

ในทางทฤษฎี ฟีเจอร์นี้ทำให้นักลงทุนใหม่ที่มีปัญหาในการจัดเก็บกุญแจส่วนตัวเข้าถึงได้ง่ายขึ้น ผู้ให้บริการวอลเล็ตอื่นก็ทดลองใช้วิธีคล้ายกัน เช่น วอลเล็ต Base ของ Coinbase ใช้ Passkeys ในการสร้างและจัดเก็บข้อมูลประจำตัว ระบบบันทึกข้อมูลเหล่านี้ใน iCloud Keychain เป็นค่าเริ่มต้น แม้ว่าจะช่วยลดความซับซ้อน แต่ก็ย้ายความรับผิดชอบด้านความปลอดภัยไปยังบริษัทยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Apple และ Google

ปฏิกิริยาของชุมชน

ข่าวนี้กระตุ้นให้เกิดการถกเถียงออนไลน์ ผู้ใช้บางคนชี้ว่า การสำรองข้อมูลแบบออฟไลน์ในเครื่องยังคงเป็นตัวเลือกที่ปลอดภัยที่สุด เพราะไม่ถูกเปิดเผยต่อการแฮ็กคลาวด์หรือการโจมตีแบบฟิชชิง ผู้ใช้คนหนึ่งแสดงความคิดเห็นอย่างตรงไปตรงมาว่า การพึ่งพาบริษัทเทคโนโลยีใหญ่เพื่อความปลอดภัยของ Web3 ดูขัดแย้งกับแนวคิดการกระจายอำนาจของระบบ

Cos ตอบข้อสงสัยบางส่วน โดยชี้แจงว่ากลยุทธ์ของ MetaMask ไม่มีความเกี่ยวข้องกับการคำนวณแบบ multi-party computation (MPC) แต่เป็นระบบตรงไปตรงมาที่วอลเล็ตเชื่อมไฟล์เข้ารหัสกับบัญชีคลาวด์ ผู้ใช้อื่น ๆ ตั้งคำถามเกี่ยวกับข้อจำกัด เช่น ฟีเจอร์รองรับเฉพาะวอลเล็ต Ethereum หรือสามารถขยายไปยัง Bitcoin ได้หรือไม่ Cos ตอบว่าระบบสามารถรองรับวอลเล็ตทั้งสองประเภทได้ แต่ยอมรับว่ามีช่องว่างในการจัดการสินทรัพย์ที่อยู่ใน staking เช่น ETH

การหาสมดุลระหว่างความสะดวกและความปลอดภัย

สถานการณ์นี้สะท้อนถึงความตึงเครียดที่เกิดขึ้นในโลกคริปโต ระหว่างความสะดวกในการใช้งานและการกระจายอำนาจรวมถึงความปลอดภัย สำหรับนักลงทุนใหม่ การผสานคลาวด์ช่วยลดอุปสรรคและลดโอกาสสูญเสียการเข้าถึงวอลเล็ต แต่สำหรับผู้ใช้ที่มีประสบการณ์ แนวคิดในการเก็บกุญแจส่วนตัวในระบบของ Google หรือ Apple ถือเป็นความเสี่ยงที่อันตราย

Cos สรุปข้อความของเขาด้วยการเตือนชุมชนว่าอย่าละเลยการสำรองข้อมูลแบบดั้งเดิม การจดบันทึก seed phrase และเก็บแบบออฟไลน์อาจไม่สะดวก แต่ยังคงเป็นมาตรฐานทองคำในการปกป้องเงินทุน เมื่อวอลเล็ตหลายแห่งรวมฟีเจอร์เข้าสู่ระบบคลาวด์ นักลงทุนต้องชั่งน้ำหนักระหว่างความสะดวกกับความเสี่ยง เพราะในโลกคริปโต เส้นทางลัดที่ง่ายที่สุดบางครั้งอาจนำไปสู่ความสูญเสียที่ใหญ่ที่สุด