MetaMask Google Girişi, Bulut Tabanlı Cüzdan Anahtarlarını Riski Altına Sokuyor

MetaMask’in Google hesaplarıyla yeni giriş seçeneği, kripto topluluğunda ciddi endişelere yol açtı. Güncelleme kullanım kolaylığı sunsa da, kullanıcılar bu özelliğin özel cüzdan anahtarlarını, hackerlar bulut hesaplarını ele geçirirse riske atabileceği uyarısında bulunuyor.

Endişeleri Tetikleyen Keşif

Alarmı, blokzincir güvenlik firması SlowMist’in kurucusu Cos verdi. X’teki paylaşımında, MetaMask’in artık kullanıcıların Google hesaplarıyla giriş yapmasına ve cüzdan verilerini otomatik olarak bulutta senkronize etmesine izin verdiğini açıkladı. Bu, ithal edilmiş mnemonic (anahtar kelime) ifadeleri ve özel anahtarları da buluta taşıyor. Cos, bu özelliğin kendisini şaşırttığını ve beklenmedik bir güvenlik riski oluşturduğunu belirtti.

Cos, bir Google hesabı hacklenirse saldırganın MetaMask üzerinden bağlanmış birden fazla cüzdanı tek seferde silebileceğini açıkladı. Uyarısı kripto topluluğunda geniş yankı buldu. Zira birçok yatırımcı, Ethereum tabanlı varlıklarını yönetmek için MetaMask kullanıyor. Milyarlarca dolar kendi kendine saklanan cüzdanlardan geçiyor. En küçük bir güvenlik açığı bile yıkıcı kayıplara yol açabilir.

Sistem Nasıl Çalışıyor

MetaMask, yeni giriş özelliğini kullanım kolaylığı için tasarladı. Kullanıcıların sıfırdan cüzdan oluşturmaları yerine Google veya iCloud bilgileriyle bir cüzdan başlatmasına izin veriliyor. Cüzdan, mnemonic dosyasını seçilen bulut hizmetinde şifreleyip yedekliyor. Cüzdanın açma şifresi, şifre çözme anahtarı olarak işlev görüyor ve kullanıcıların yedekleri kendilerinin yönetmesine olanak sağlıyor.

Teoride, bu özellik özel anahtar yönetiminde zorlanan yeni kullanıcılar için onboarding sürecini kolaylaştırıyor. Diğer cüzdan sağlayıcıları da benzer yöntemleri deniyor. Örneğin, Coinbase’in Base cüzdanı Passkey’leri kullanarak kimlik bilgilerini üretiyor ve varsayılan olarak iCloud Keychain’de saklıyor. Bu, kullanım kolaylığını artırsa da güvenlik sorumluluğunu Apple ve Google gibi teknoloji devlerine kaydırıyor.

Topluluk Tepkileri

Haber, çevrimiçi ortamda yoğun tartışmaları tetikledi. Bazı kullanıcılar, yerel offline yedeklerin hâlâ en güvenli seçenek olduğunu belirtti; çünkü sistem onları bulut hackleri veya phishing saldırılarına maruz bırakmıyor. Bir kullanıcı, Web3 güvenliği için büyük teknoloji firmalarına güvenmenin mantıksız olduğunu açıkça ifade etti. Zira sistem, merkeziyetsizliği artırmak ve bu tür bağımlılıkları azaltmak için tasarlanmıştı.

Cos, tartışmaların bazılarına yanıt vererek MetaMask’in yaklaşımının multi-party computation (MPC) ile ilgisi olmadığını açıkladı. Bunun yerine, cüzdanın şifrelenmiş dosyaları doğrudan bulut hesaplarına bağladığı basit bir sistemden bahsediyor. Diğer kullanıcılar, özelliğin yalnızca Ethereum cüzdanlarını mı desteklediğini yoksa Bitcoin’e de genişletilip genişletilemeyeceğini sorguladı. Cos, sistemin teknik olarak her iki cüzdan türünü de destekleyebileceğini ancak stake edilmiş varlıklar (ETH gibi) konusunda bazı boşluklar bulunduğunu kabul etti.

Kullanım Kolaylığı ile Güvenliği Dengede Tutmak

Durum, kripto dünyasında süregelen bir gerilimi gözler önüne seriyor: kullanım kolaylığı ile gerçek merkeziyetsizlik ve güvenlik arasında denge kurmak. Yeni kullanıcılar için bulut entegrasyonu, erişim kaybı riskini azaltıp bariyerleri düşürüyor. Ancak deneyimli kullanıcılar için özel anahtarları Google veya Apple ekosisteminde saklamak tehlikeli bir taviz gibi görünüyor.

Cos, thread’in sonunda topluluğa bir hatırlatma yaptı: geleneksel yedekleri atlamayın. Seed (anahtar kelime) ifadelerini yazıp offline saklamak zahmetli gelebilir, ancak fonları korumanın altın standardı hâlâ bu yöntemdir. Daha fazla cüzdan bulut girişlerini entegre ettikçe, yatırımcıların kullanım kolaylığı ile risk arasında denge kurması gerekecek. Çünkü kripto dünyasında en basit kısayol bazen en büyük kayıplara yol açabilir.