Ang pag-login sa MetaMask gamit ang Google ay nagpapataas ng panganib sa mga wallet key na naka-imbak sa cloud

coinfomania2025/10/03 17:56

Ipakita ang orihinal

By:coinfomania

Nagpakilala ang MetaMask ng isang tampok na nagpapahintulot sa mga user na mag-login gamit ang kanilang Google o iCloud credentials at mag-back up ng naka-encrypt na wallet data (kabilang ang mga private key) sa cloud. Tinukoy ito ni Cos ng SlowMist bilang isang malaking panganib sa seguridad, dahil kapag nakompromiso ang cloud account, maaaring mawala ang lahat ng nakaugnay na wallet. Ini-encrypt ng sistema ang mnemonic file, at ang wallet unlock password ang nagsisilbing susi sa decryption. Binibigyang-diin ng development na ito ang mga kritikal na usapin sa seguridad.

Ang pinakabagong opsyon ng pag-login ng MetaMask gamit ang Google accounts ay nagdudulot ng matinding pag-aalala sa crypto community. Bagama't nag-aalok ang update ng kaginhawahan, nagbabala ang mga user na maaaring malagay sa panganib ang mga private wallet key kung sakaling ma-kompromiso ng mga hacker ang cloud accounts.

Okay, talagang nagulat ako, hindi ko inakala na ang MetaMask na naka-login gamit ang Google account ay isasama rin sa cloud sync ang iba ko pang wallet mnemonic/private key na mano-mano kong in-import... Kung mapasok ang Google account ko, talagang sabay-sabay mawawala lahat. Napakalaking risk nito @MetaMask https://t.co/YtTmgFebab pic.twitter.com/ZxOsOVI0T9
— Cos(余弦)😶‍🌫️ (@evilcos) October 3, 2025

Ang Pagdiskubre na Nagdulot ng Pag-aalala

Ang alarma ay itinataas ni Cos, tagapagtatag ng blockchain security firm na SlowMist. Sa isang post sa X, ibinahagi niya na pinapayagan na ngayon ng MetaMask ang mga user na mag-login gamit ang Google at awtomatikong i-sync ang wallet data. Kabilang dito ang mga in-import na mnemonic phrases at private keys sa cloud. Inamin ni Cos na hindi niya inaasahan ang feature na ito, at tinawag itong isang hindi inaasahang panganib sa seguridad.

Ipinaliwanag niya na kung ma-hack ang isang Google account, maaaring burahin ng attacker ang maraming wallet na naka-link sa MetaMask sa isang bagsak. Ang kanyang babala ay umalingawngaw sa buong crypto community. Maraming investors ang umaasa sa MetaMask para pamahalaan ang kanilang Ethereum based assets. Sa bilyun-bilyong dolyar na dumadaloy sa self-custody wallets, kahit ang pinakamaliit na kahinaan ay maaaring magbukas ng pinto sa malalaking pagkalugi.

Paano Gumagana ang Sistema

Dinisenyo ng MetaMask ang bagong login feature nito para sa kaginhawahan ng mga user. Sa halip na gumawa ng wallet mula sa simula, maaaring mag-initialize ang mga user gamit ang Google o iCloud credentials. I-e-encrypt at i-ba-backup ng wallet ang mnemonic file sa napiling cloud service. Ang wallet unlock password ang nagsisilbing decryption key. Pinapayagan nito ang mga user na i-export at pamahalaan ang kanilang mga backup nang sila mismo.

Sa papel, mas pinadadali nito ang onboarding para sa mga baguhan na nahihirapan sa pag-iingat ng private key. Ang ibang wallet provider ay sumusubok din ng katulad na mga pamamaraan. Halimbawa, ang Base wallet ng Coinbase ay gumagamit ng Passkeys para gumawa at mag-imbak ng credentials. Awtomatikong sine-save ng sistema ang mga ito sa iCloud Keychain. Bagama't nababawasan nito ang abala, naililipat naman ang responsibilidad sa seguridad sa mga tech giant tulad ng Apple at Google.

Mga Reaksyon ng Komunidad

Ang balita ay nagpasimula ng malawak na debate online. May ilang user na itinuro na ang lokal na offline backup pa rin ang pinakaligtas na opsyon, dahil hindi ito nalalantad sa cloud hacks o phishing attempts. Isang user ang tahasang nagkomento na ang pag-asa sa malalaking tech firm para sa Web3 security ay tila kontra sa layunin, dahil ang sistema ay nilikha para sa desentralisasyon upang mabawasan ang ganitong mga dependency. Tumugon si Cos sa ilan sa mga diskusyon, nilinaw na ang approach ng MetaMask ay walang kinalaman sa multi-party computation (MPC).

Sa halip, ito ay isang tuwirang sistema kung saan ang wallet ay nag-uugnay ng encrypted files sa cloud accounts. May ilan ding nagtanong tungkol sa mga limitasyon, tulad ng kung ang feature ay sumusuporta lamang sa Ethereum wallets o maaari ring i-extend sa Bitcoin. Sumagot si Cos na technically, kayang suportahan ng sistema ang parehong uri ng wallet. Ngunit inamin niyang may kakulangan sa kung paano hinahawakan ng sistema ang mga staked assets tulad ng ETH.

Pagbabalanse ng Kaginhawahan at Seguridad

Ipinapakita ng sitwasyon ang patuloy na tensyon sa crypto: ang pagbabalanse ng kaginhawahan at tunay na desentralisasyon at seguridad. Para sa mga baguhan, pinabababa ng cloud integration ang hadlang at binabawasan ang tsansa ng pagkawala ng access sa wallet. Ngunit para sa mga bihasang user, ang ideya ng pag-iimbak ng private keys sa ecosystem ng Google o Apple ay tila isang mapanganib na kompromiso.

Tinapos ni Cos ang kanyang thread sa isang paalala para sa komunidad: huwag kalimutang gumawa ng tradisyonal na backup. Ang pagsulat ng seed phrases at pag-iingat nito offline ay maaaring mukhang abala, ngunit ito pa rin ang pinakamahusay na paraan para maprotektahan ang pondo. Habang mas maraming wallet ang nag-iintegrate ng cloud logins, kailangang timbangin ng mga investor ang kaginhawahan laban sa panganib. Dahil sa crypto, ang pinakamadaling shortcut ay maaaring magdulot ng pinakamalaking pagkalugi.

Disclaimer: Ang nilalaman ng artikulong ito ay sumasalamin lamang sa opinyon ng author at hindi kumakatawan sa platform sa anumang kapasidad. Ang artikulong ito ay hindi nilayon na magsilbi bilang isang sanggunian para sa paggawa ng mga desisyon sa investment.

PoolX: Naka-lock para sa mga bagong token.

Hanggang 12%. Palaging naka-on, laging may airdrop.

Mag Locked na ngayon!