安全问题使每个人都措手不及
当我了解到这一点时,我真的很惊讶。 MetAmask的新Google登录功能不仅仅是便利性 – 实际上,它正在同步您手动导入的钱包种子短语和私有钥匙云存储。这就是区块链安全公司Slowmist的创始人Cos在社交媒体上发现并共享的原因。
他承认该功能使他完全措手不及。如果您的Google帐户被妥协,攻击者可能会一次访问通过MetAmask链接的多个钱包。这是许多用户可能没有想到的相当重大的安全风险。
系统如何实际工作
据我了解,MetAmask设计了此功能,以使新移民更容易。用户可以使用其Google或iCloud凭据初始化一个钱包,而不是从头开始创建钱包。然后,钱包加密并将助记符文件备份到所选的云服务中。
钱包解锁密码用作解密密钥,从理论上讲,该密码可以使用户控制其备份。从表面上看,这对于那些与私钥存储斗争的人来说是有意义的。但是也许它会产生比解决的问题更多的问题。
其他钱包提供商正在尝试类似的方法。 Coinbase的基本钱包使用Passkeys,默认情况下将凭据存储在iCloud钥匙扣中。尽管这减少了摩擦,但这也意味着我们对苹果和Google等科技巨头更加信任。
社区反应和关注
这一消息引发了一场在线辩论。许多用户指出,本地脱机备份仍然是最安全的选择,因为它们没有暴露于云黑客或网络钓鱼尝试中。
一位用户提出了一个很好的观点 – 在大型科技公司的Web3 Security上努力有些违反直觉。我的意思是,这不是减少我们对集中实体的依赖的全部目的吗?
COS澄清说,MetAmask的方法不使用多方计算(MPC)。这是一个更简单的系统,加密的钱包文件与云帐户挂钩。一些用户还质疑此功能是否仅支持以太坊钱包,还是可以扩展到比特币。 COS提到该系统可以从技术上支持两种钱包类型,但是它如何处理储存资产可能存在差距。
加密的持续紧张
这种情况确实突出了加密货币领域的持续斗争 – 将便利与真正的权力下放和安全性衡量。对于新移民来说,云集成无疑会降低障碍,并减少失去钱包访问的机会。这是合理的好处。
但是对于有经验的用户来说,将私钥存储在Google或Apple的生态系统中的想法感觉就像是危险的折衷方案。将这些服务用于电子邮件或文档是一回事,但是私钥在根本上是不同的。
COS以简单但重要的提醒结束了他的讨论:不要跳过传统备份。写下种子短语并使它们离线可能会感到老式,但它仍然是保护资金的最可靠方式。
随着越来越多的钱包整合云登录,我们都需要小心地权衡便利性与风险。有时,最简单的途径并不是最安全的道路,而在加密货币中,该课程特别昂贵。
关键词:
