Login do MetaMask pelo Google aumenta o risco de chaves de carteira armazenadas na nuvem

A mais recente opção de login do MetaMask com contas do Google está gerando fortes preocupações na comunidade cripto. Embora a atualização ofereça conveniência, usuários alertam que o recurso pode colocar as chaves privadas das carteiras em risco caso hackers comprometam contas na nuvem.

A Descoberta Que Gerou Preocupações

O alerta foi feito por Cos, fundador da empresa de segurança blockchain SlowMist. Em uma publicação no X, ele compartilhou que o MetaMask agora permite que usuários façam login com o Google e sincronizem automaticamente os dados da carteira. Isso inclui frases mnemônicas importadas e chaves privadas na nuvem. Cos admitiu que o recurso o pegou de surpresa, chamando-o de um risco de segurança inesperado.

Ele explicou que, se uma conta Google for hackeada, o invasor pode potencialmente esvaziar várias carteiras vinculadas ao MetaMask de uma só vez. Seu alerta repercutiu em toda a comunidade cripto, já que muitos investidores dependem do MetaMask para gerenciar seus ativos baseados em Ethereum. Com bilhões de dólares circulando por carteiras de autocustódia, até mesmo a menor falha pode abrir caminho para perdas devastadoras.

Como o Sistema Funciona

O MetaMask desenvolveu seu novo recurso de login visando a facilidade de uso. Em vez de criar uma carteira do zero, os usuários podem inicializar uma usando credenciais do Google ou iCloud. A carteira então criptografa e faz backup do arquivo mnemônico no serviço de nuvem escolhido. A senha de desbloqueio da carteira serve como chave de descriptografia, permitindo que os usuários exportem e gerenciem seus próprios backups. 

No papel, isso facilita a entrada de novos usuários que têm dificuldade em armazenar chaves privadas. Outros provedores de carteira também estão experimentando métodos semelhantes. Por exemplo, a carteira Base da Coinbase utiliza Passkeys para gerar e armazenar credenciais. O sistema salva essas informações no iCloud Keychain por padrão. Embora isso reduza a fricção, também transfere a responsabilidade de segurança para gigantes da tecnologia como Apple e Google.

Reações da Comunidade

A notícia desencadeou uma onda de debates online. Alguns usuários apontaram que backups locais e offline continuam sendo a opção mais segura, já que o sistema não os expõe a ataques na nuvem ou tentativas de phishing. Um usuário comentou diretamente que confiar em grandes empresas de tecnologia para a segurança do Web3 parece contraditório, já que o sistema foi criado para descentralizar e reduzir tais dependências. Cos respondeu a algumas discussões, esclarecendo que a abordagem do MetaMask não tem relação com computação multipartidária (MPC). 

Em vez disso, trata-se de um sistema simples em que a carteira vincula arquivos criptografados às contas na nuvem. Outros levantaram dúvidas sobre limitações, como se o recurso suporta apenas carteiras Ethereum ou se poderia ser estendido ao Bitcoin. Cos respondeu que o sistema pode tecnicamente suportar ambos os tipos de carteira, mas reconheceu lacunas em como o sistema lida com ativos em staking como ETH.

Equilibrando Conveniência e Segurança

A situação destaca uma tensão constante no universo cripto: equilibrar facilidade de uso com verdadeira descentralização e segurança. Para iniciantes, a integração com a nuvem reduz barreiras e diminui a chance de perder o acesso à carteira. Mas para usuários experientes, a ideia de armazenar chaves privadas nos ecossistemas do Google ou Apple parece um compromisso perigoso. 

Cos encerrou sua thread com um lembrete para a comunidade: não pule os backups tradicionais. Anotar as frases-semente e mantê-las offline pode parecer inconveniente, mas continua sendo o padrão-ouro para proteger fundos. À medida que mais carteiras integram logins em nuvem, os investidores precisarão pesar conveniência contra risco. Porque, no universo cripto, o atalho mais simples pode, às vezes, levar às maiores perdas.