Вход в MetaMask через Google увеличивает риск хранения ключей кошелька в облаке

Последняя опция входа в MetaMask с помощью аккаунтов Google вызывает серьезные опасения в криптосообществе. Хотя обновление обеспечивает удобство, пользователи предупреждают, что эта функция может подвергнуть риску приватные ключи кошельков, если злоумышленники когда-либо получат доступ к облачным аккаунтам.

Открытие, вызвавшее опасения

Тревогу поднял Cos, основатель компании по блокчейн-безопасности SlowMist. В посте на X он сообщил, что теперь MetaMask позволяет пользователям входить через Google и автоматически синхронизировать данные кошелька. Это включает импортированные мнемонические фразы и приватные ключи в облако. Cos признался, что эта функция застала его врасплох, назвав ее неожиданным риском для безопасности.

Он объяснил, что если Google-аккаунт будет взломан, злоумышленник потенциально сможет за один раз опустошить несколько кошельков, связанных через MetaMask. Его предупреждение вызвало отклик во всем криптосообществе, поскольку многие инвесторы используют MetaMask для управления активами на базе Ethereum. С учетом того, что через кошельки с самостоятельным хранением проходят миллиарды долларов, даже малейшая уязвимость может привести к катастрофическим потерям.

Как работает система

MetaMask разработал новую функцию входа для удобства пользователей. Вместо создания кошелька с нуля, пользователь может инициализировать его с помощью учетных данных Google или iCloud. Затем кошелек шифрует и сохраняет мнемонический файл в выбранном облачном сервисе. Пароль для разблокировки кошелька служит ключом для расшифровки. Это позволяет пользователям самостоятельно экспортировать и управлять резервными копиями. 

На первый взгляд это облегчает процесс для новичков, которым сложно хранить приватные ключи. Другие провайдеры кошельков также экспериментируют с подобными методами. Например, Base-кошелек от Coinbase использует Passkeys для генерации и хранения учетных данных. По умолчанию система сохраняет их в iCloud Keychain. Хотя это снижает трения, ответственность за безопасность перекладывается на такие технологические гиганты, как Apple и Google.

Реакция сообщества

Новость вызвала волну обсуждений в интернете. Некоторые пользователи отметили, что локальные офлайн-резервные копии остаются самым безопасным вариантом, поскольку система не подвергает их риску облачных взломов или фишинговых атак. Один из пользователей прямо заявил, что полагаться на крупные технологические компании в вопросах безопасности Web3 кажется нелогичным, ведь система изначально задумывалась для децентрализации и уменьшения такой зависимости. Cos ответил на некоторые обсуждения, уточнив, что подход MetaMask не имеет отношения к многосторонним вычислениям (MPC). 

Вместо этого это простая система, где кошелек связывает зашифрованные файлы с облачными аккаунтами. Другие участники обсуждения подняли вопросы о возможных ограничениях, например, поддерживает ли функция только Ethereum-кошельки или может быть расширена на Bitcoin. Cos ответил, что технически система может поддерживать оба типа кошельков, но признал, что существуют пробелы в том, как система обрабатывает застейканные активы, такие как ETH.

Баланс между удобством и безопасностью

Ситуация подчеркивает постоянное напряжение в криптоиндустрии между удобством использования, настоящей децентрализацией и безопасностью. Для новичков интеграция с облаком снижает барьеры и уменьшает вероятность потери доступа к кошельку. Но для опытных пользователей идея хранения приватных ключей в экосистемах Google или Apple кажется опасным компромиссом. 

Cos завершил свою ветку напоминанием для сообщества: не пренебрегайте традиционными резервными копиями. Записывать seed-фразы и хранить их офлайн может быть неудобно, но это по-прежнему золотой стандарт защиты средств. По мере того как все больше кошельков интегрируют облачные входы, инвесторам придется взвешивать удобство и риск. Ведь в криптоиндустрии самый простой путь иногда приводит к самым большим потерям.