MetaMask Google登入提高雲端錢包金鑰存儲風險

MetaMask 最新推出的 Google 帳號登入選項在加密貨幣社群中引發強烈關注。雖然這項更新帶來便利，但用戶警告稱，若駭客入侵雲端帳號，該功能可能會讓私有錢包金鑰面臨風險。

引發關注的發現

這一警訊由區塊鏈安全公司 SlowMist 創辦人 Cos 發出。他在 X 上發文指出，MetaMask 現在允許用戶透過 Google 登入並自動同步錢包資料。這包括導入的助記詞和私鑰都會上傳到雲端。Cos 坦言這個功能讓他措手不及，稱其為意想不到的安全風險。

他解釋說，如果 Google 帳號遭駭，攻擊者可能一次性清空所有透過 MetaMask 綁定的多個錢包。他的警告在加密貨幣社群引起廣泛共鳴，因為許多投資者依賴 MetaMask 管理基於 Ethereum 的資產。隨著數十億美元流經自託管錢包，即使是最小的漏洞也可能導致毀滅性損失。

系統運作方式

MetaMask 設計這項新登入功能是為了提升易用性。用戶無需從頭建立錢包，可以直接用 Google 或 iCloud 憑證初始化。錢包會將助記詞檔案加密後備份到所選雲端服務。錢包解鎖密碼則作為解密金鑰，允許用戶自行匯出與管理備份。

理論上，這讓不擅長私鑰儲存的新手更容易入門。其他錢包服務商也在嘗試類似方法。例如，Coinbase 的 Base 錢包採用 Passkeys 生成並儲存憑證，系統預設將其保存在 iCloud Keychain。雖然這降低了使用門檻，但同時也將安全責任轉嫁給 Apple 和 Google 等科技巨頭。

社群反應

這則消息在網路上引發熱烈討論。有用戶指出，本地離線備份仍是最安全的選擇，因為這樣不會暴露於雲端駭客或釣魚攻擊。一位用戶直言，依賴大型科技公司來保障 Web3 安全顯得本末倒置，畢竟去中心化的初衷就是為了減少這類依賴。Cos 也回應部分討論，澄清 MetaMask 的做法與多方計算（MPC）無關。

事實上，這是一個簡單的系統，錢包僅將加密檔案綁定到雲端帳號。也有人提出疑問，例如該功能是否僅支援 Ethereum 錢包，還是也能擴展到 Bitcoin。Cos 回應，技術上該系統可同時支援這兩種錢包，但他也承認系統在處理像 ETH 這類質押資產時存在不足。

便利與安全的平衡

這一情況凸顯了加密貨幣領域長期存在的矛盾：如何在易用性、真正的去中心化與安全性之間取得平衡。對新手而言，雲端整合降低了門檻，也減少遺失錢包存取權的風險。但對資深用戶來說，將私鑰儲存在 Google 或 Apple 生態系統中，無疑是一種危險的妥協。

Cos 最後提醒社群：不要忽略傳統備份。將助記詞寫下並離線保存或許不便，但仍是保護資金的黃金標準。隨著越來越多錢包整合雲端登入，投資者必須在便利與風險之間做出抉擇。因為在加密貨幣領域，最簡單的捷徑有時也會帶來最大的損失。