L'accesso a MetaMask tramite Google aumenta il rischio di chiavi del wallet archiviate nel cloud

L’ultima opzione di accesso a MetaMask tramite account Google sta suscitando forti preoccupazioni nella comunità crypto. Sebbene l’aggiornamento offra comodità, gli utenti avvertono che la funzione potrebbe mettere a rischio le chiavi private del wallet se gli account cloud venissero compromessi dagli hacker.

La scoperta che ha suscitato preoccupazione

L’allarme è stato lanciato da Cos, fondatore della società di sicurezza blockchain SlowMist. In un post su X, ha condiviso che MetaMask ora consente agli utenti di accedere tramite Google e sincronizzare automaticamente i dati del wallet. Questo include le frasi mnemoniche importate e le chiavi private nel cloud. Cos ha ammesso che la funzione lo ha colto di sorpresa, definendola un rischio di sicurezza inaspettato.

Ha spiegato che se un account Google viene hackerato, l’attaccante potrebbe potenzialmente svuotare più wallet collegati tramite MetaMask in un solo colpo. Il suo avvertimento ha trovato eco in tutta la comunità crypto, dato che molti investitori si affidano a MetaMask per gestire i loro asset basati su Ethereum. Con miliardi di dollari che transitano attraverso wallet self-custody, anche il più piccolo difetto potrebbe aprire la porta a perdite devastanti.

Come funziona il sistema

MetaMask ha progettato la sua nuova funzione di login per facilitare l’uso. Invece di creare un wallet da zero, gli utenti possono inizializzarne uno utilizzando le credenziali Google o iCloud. Il wallet quindi cripta e salva il file mnemonico nel servizio cloud scelto. La password di sblocco del wallet funge da chiave di decrittazione, consentendo agli utenti di esportare e gestire autonomamente i backup. 

Sulla carta, questo rende l’onboarding più semplice per i neofiti che hanno difficoltà con la conservazione delle chiavi private. Anche altri provider di wallet stanno sperimentando metodi simili. Ad esempio, il wallet Base di Coinbase utilizza Passkeys per generare e conservare le credenziali, salvandole di default in iCloud Keychain. Sebbene ciò riduca le difficoltà, sposta anche la responsabilità della sicurezza sui giganti tecnologici come Apple e Google.

Reazioni della comunità

La notizia ha scatenato un’ondata di dibattiti online. Alcuni utenti hanno sottolineato che i backup locali offline restano l’opzione più sicura, poiché il sistema non li espone ad attacchi cloud o tentativi di phishing. Un utente ha commentato senza mezzi termini che affidarsi alle grandi aziende tech per la sicurezza Web3 sembra controintuitivo, dato che il sistema è nato per la decentralizzazione e per ridurre tali dipendenze. Cos ha risposto ad alcune discussioni, chiarendo che l’approccio di MetaMask non ha nulla a che vedere con la multi-party computation (MPC). 

Si tratta invece di un sistema diretto in cui il wallet collega file criptati agli account cloud. Altri hanno sollevato domande sui limiti, ad esempio se la funzione supporti solo wallet Ethereum o se possa estendersi anche a Bitcoin. Cos ha risposto che tecnicamente il sistema può supportare entrambi i tipi di wallet, ma ha riconosciuto delle lacune nella gestione di asset in staking come ETH.

Bilanciare comodità e sicurezza

La situazione evidenzia una tensione costante nel mondo crypto: bilanciare la facilità d’uso con la vera decentralizzazione e sicurezza. Per i neofiti, l’integrazione cloud abbassa le barriere e riduce il rischio di perdere l’accesso al wallet. Ma per gli utenti esperti, l’idea di conservare le chiavi private nell’ecosistema Google o Apple appare come un compromesso pericoloso. 

Cos ha concluso il suo thread ricordando alla comunità: non saltate i backup tradizionali. Scrivere le seed phrase e conservarle offline può sembrare scomodo, ma resta lo standard d’oro per proteggere i fondi. Con sempre più wallet che integrano l’accesso tramite cloud, gli investitori dovranno valutare la comodità rispetto al rischio. Perché nel mondo crypto, la scorciatoia più semplice può talvolta portare alle perdite più grandi.