Đăng nhập Google trên MetaMask làm tăng nguy cơ lưu trữ khóa ví trên đám mây

Tùy chọn đăng nhập mới nhất của MetaMask bằng tài khoản Google đang gây ra nhiều lo ngại trong cộng đồng crypto. Mặc dù bản cập nhật này mang lại sự tiện lợi, người dùng cảnh báo rằng tính năng này có thể khiến khóa ví cá nhân gặp rủi ro nếu tài khoản đám mây bị hacker xâm nhập.

Khám Phá Gây Lo Ngại

Chuông báo động được gióng lên bởi Cos, nhà sáng lập công ty bảo mật blockchain SlowMist. Trong một bài đăng trên X, anh chia sẻ rằng MetaMask hiện cho phép người dùng đăng nhập bằng Google và tự động đồng bộ dữ liệu ví. Điều này bao gồm cả cụm từ ghi nhớ và khóa riêng tư được nhập vào lên đám mây. Cos thừa nhận rằng tính năng này khiến anh bất ngờ, gọi đây là một rủi ro bảo mật không lường trước.

Anh giải thích rằng nếu một tài khoản Google bị hack, kẻ tấn công có thể xóa sạch nhiều ví được liên kết qua MetaMask chỉ trong một lần. Cảnh báo của anh đã nhận được sự đồng cảm rộng rãi trong cộng đồng crypto, khi nhiều nhà đầu tư dựa vào MetaMask để quản lý tài sản dựa trên Ethereum của họ. Với hàng tỷ đô la luân chuyển qua các ví tự quản, chỉ một sơ hở nhỏ cũng có thể dẫn đến những tổn thất nghiêm trọng.

Cách Hệ Thống Hoạt Động

MetaMask thiết kế tính năng đăng nhập mới này để tăng sự tiện lợi cho người dùng. Thay vì phải tạo ví từ đầu, người dùng có thể khởi tạo ví bằng thông tin đăng nhập Google hoặc iCloud. Ví sau đó sẽ mã hóa và sao lưu tệp mnemonic lên dịch vụ đám mây đã chọn. Mật khẩu mở khóa ví sẽ đóng vai trò là khóa giải mã, cho phép người dùng tự xuất và quản lý các bản sao lưu. 

Trên lý thuyết, điều này giúp người mới dễ dàng tiếp cận hơn, đặc biệt với những ai gặp khó khăn trong việc lưu trữ khóa riêng tư. Các nhà cung cấp ví khác cũng đang thử nghiệm các phương pháp tương tự. Ví dụ, ví Base của Coinbase sử dụng Passkeys để tạo và lưu trữ thông tin đăng nhập, hệ thống này mặc định lưu vào iCloud Keychain. Dù điều này giúp giảm bớt rào cản, nó cũng chuyển giao trách nhiệm bảo mật sang các ông lớn công nghệ như Apple và Google.

Phản Ứng Của Cộng Đồng

Tin tức này đã làm dấy lên làn sóng tranh luận trên mạng. Một số người dùng chỉ ra rằng sao lưu ngoại tuyến tại chỗ vẫn là lựa chọn an toàn nhất, vì hệ thống này không khiến họ gặp rủi ro từ các vụ hack đám mây hoặc lừa đảo phishing. Một người dùng thẳng thắn bình luận rằng việc dựa vào các công ty công nghệ lớn để bảo vệ Web3 là điều đi ngược lại mục tiêu ban đầu, bởi hệ thống này vốn hướng tới phi tập trung để giảm sự phụ thuộc như vậy. Cos đã phản hồi một số thảo luận, làm rõ rằng cách tiếp cận của MetaMask không liên quan đến tính toán đa bên (MPC). 

Thay vào đó, đây là một hệ thống đơn giản, nơi ví liên kết các tệp được mã hóa với tài khoản đám mây. Một số người khác đặt câu hỏi về giới hạn, chẳng hạn tính năng này chỉ hỗ trợ ví Ethereum hay có thể mở rộng sang Bitcoin. Cos trả lời rằng về mặt kỹ thuật, hệ thống có thể hỗ trợ cả hai loại ví, nhưng anh cũng thừa nhận còn nhiều lỗ hổng trong cách hệ thống xử lý tài sản staking như ETH.

Cân Bằng Giữa Tiện Lợi Và Bảo Mật

Tình huống này làm nổi bật sự căng thẳng kéo dài trong lĩnh vực crypto: cân bằng giữa sự tiện lợi và tính phi tập trung, bảo mật thực sự. Đối với người mới, tích hợp đám mây giúp giảm rào cản và nguy cơ mất quyền truy cập ví. Nhưng với những người dùng dày dạn, ý tưởng lưu trữ khóa riêng tư trong hệ sinh thái của Google hoặc Apple lại là một sự thỏa hiệp nguy hiểm. 

Cos kết thúc chuỗi bài đăng của mình bằng lời nhắc nhở cộng đồng: đừng bỏ qua việc sao lưu truyền thống. Việc ghi lại cụm từ seed và giữ chúng ngoại tuyến có thể gây bất tiện, nhưng vẫn là tiêu chuẩn vàng để bảo vệ tài sản. Khi ngày càng nhiều ví tích hợp đăng nhập đám mây, nhà đầu tư sẽ phải cân nhắc giữa tiện lợi và rủi ro. Bởi trong crypto, lối tắt đơn giản nhất đôi khi lại dẫn đến những mất mát lớn nhất.