Đăng nhập MetaMask bằng Google làm tăng nguy cơ khóa ví được lưu trữ trên đám mây

Tùy chọn đăng nhập mới của MetaMask thông qua tài khoản Google đang làm dấy lên lo ngại trong cộng đồng tiền mã hóa. Dù tính năng này mang lại sự tiện lợi, nhiều người cảnh báo nó có thể khiến khóa ví cá nhân bị rò rỉ nếu tài khoản đám mây bị tin tặc xâm nhập.

Phát hiện gây lo ngại

Cảnh báo được đưa ra bởi Cos, nhà sáng lập công ty an ninh blockchain SlowMist. Trong một bài đăng trên X, anh chia sẻ rằng MetaMask hiện cho phép người dùng đăng nhập bằng Google và tự động đồng bộ dữ liệu ví — bao gồm cả cụm từ ghi nhớ (mnemonic phrase) và khóa riêng — lên đám mây. Cos thừa nhận tính năng này khiến anh bất ngờ, gọi đây là một rủi ro bảo mật ngoài dự kiến.

Anh giải thích rằng nếu tài khoản Google bị tấn công, kẻ xâm nhập có thể xóa sạch nhiều ví được liên kết thông qua MetaMask chỉ trong một lần. Cảnh báo này nhanh chóng lan rộng trong cộng đồng tiền mã hóa, khi nhiều nhà đầu tư đang sử dụng MetaMask để quản lý tài sản trên Ethereum. Với hàng tỷ USD lưu chuyển qua các ví tự lưu ký, chỉ một sai sót nhỏ cũng có thể dẫn đến thiệt hại nghiêm trọng.

Cách hệ thống hoạt động

MetaMask thiết kế tính năng đăng nhập mới nhằm tăng sự tiện dụng. Thay vì tạo ví từ đầu, người dùng có thể khởi tạo ví bằng tài khoản Google hoặc iCloud. Ví sẽ mã hóa và sao lưu tệp mnemonic lên dịch vụ đám mây đã chọn. Mật khẩu mở khóa ví đóng vai trò như khóa giải mã, cho phép người dùng tự xuất và quản lý bản sao lưu.

Trên lý thuyết, điều này giúp người mới dễ tiếp cận hơn khi gặp khó khăn trong việc lưu trữ khóa riêng. Một số nhà cung cấp ví khác cũng đang thử nghiệm phương pháp tương tự. Chẳng hạn, ví Base của Coinbase sử dụng Passkeys để tạo và lưu thông tin đăng nhập, mặc định được lưu trong iCloud Keychain. Dù giúp giảm bớt thao tác, cách này lại chuyển gánh nặng bảo mật sang các tập đoàn công nghệ như Apple và Google.

Phản ứng của cộng đồng

Thông tin này đã châm ngòi cho nhiều tranh luận trực tuyến. Một số người cho rằng việc sao lưu ngoại tuyến tại chỗ vẫn là lựa chọn an toàn nhất, vì không bị ảnh hưởng bởi tấn công đám mây hay lừa đảo trực tuyến. Một người dùng bình luận rằng việc dựa vào các tập đoàn công nghệ lớn để bảo vệ Web3 là điều đi ngược lại mục tiêu phi tập trung ban đầu.

Cos phản hồi rằng cách tiếp cận của MetaMask không liên quan đến tính toán đa bên (MPC), mà chỉ đơn giản là gắn tệp mã hóa vào tài khoản đám mây. Một số người khác đặt câu hỏi liệu tính năng này chỉ hỗ trợ ví Ethereum hay có thể mở rộng sang Bitcoin. Cos cho biết hệ thống về mặt kỹ thuật có thể hỗ trợ cả hai, nhưng thừa nhận còn hạn chế khi xử lý tài sản staking như ETH.

Cân bằng giữa tiện lợi và bảo mật

Tình huống này cho thấy mâu thuẫn cố hữu trong thế giới crypto: cân bằng giữa tiện lợi và bảo mật thực sự. Với người mới, tích hợp đám mây giúp giảm rào cản và hạn chế nguy cơ mất quyền truy cập ví. Nhưng với người dùng lâu năm, việc lưu khóa riêng trong hệ sinh thái của Google hay Apple là một thỏa hiệp rủi ro.

Cos kết thúc chuỗi bài đăng bằng lời nhắc: đừng bỏ qua cách sao lưu truyền thống. Việc ghi lại cụm từ khôi phục và lưu giữ ngoại tuyến tuy bất tiện, nhưng vẫn là tiêu chuẩn vàng để bảo vệ tài sản. Khi ngày càng nhiều ví hỗ trợ đăng nhập đám mây, nhà đầu tư cần cân nhắc kỹ giữa tiện lợi và rủi ro — bởi trong crypto, lối tắt dễ dàng nhất đôi khi lại dẫn đến mất mát lớn nhất.