Login Google MetaMask Meningkatkan Risiko Kunci Dompet yang Disimpan di Cloud

Opsi login terbaru MetaMask dengan akun Google memicu kekhawatiran kuat di komunitas kripto. Meskipun pembaruan ini menawarkan kemudahan, para pengguna memperingatkan bahwa fitur ini dapat membahayakan kunci privat dompet jika akun cloud diretas.

Penemuan yang Memicu Kekhawatiran

Peringatan ini disampaikan oleh Cos, pendiri perusahaan keamanan blockchain SlowMist. Dalam sebuah postingan di X, ia membagikan bahwa MetaMask kini memungkinkan pengguna login dengan Google dan secara otomatis menyinkronkan data dompet. Ini termasuk frasa mnemonic dan kunci privat yang diimpor ke cloud. Cos mengakui bahwa fitur ini membuatnya lengah, menyebutnya sebagai risiko keamanan yang tidak terduga.

Ia menjelaskan bahwa jika akun Google diretas, penyerang berpotensi menghapus beberapa dompet yang terhubung melalui MetaMask dalam satu serangan. Peringatannya mendapat perhatian luas di komunitas kripto. Karena banyak investor mengandalkan MetaMask untuk mengelola aset berbasis Ethereum mereka. Dengan miliaran dolar mengalir melalui dompet self-custody, bahkan celah terkecil pun bisa membuka peluang kerugian besar.

Bagaimana Sistem Ini Bekerja

MetaMask merancang fitur login barunya untuk kemudahan penggunaan. Alih-alih membuat dompet dari awal, pengguna dapat menginisialisasi dompet menggunakan kredensial Google atau iCloud. Dompet kemudian mengenkripsi dan mencadangkan file mnemonic di layanan cloud yang dipilih. Kata sandi unlock dompet berfungsi sebagai kunci dekripsi. Ini memungkinkan pengguna mengekspor dan mengelola cadangan mereka sendiri. 

Secara teori, ini memudahkan proses onboarding bagi pemula yang kesulitan menyimpan kunci privat. Penyedia dompet lain juga bereksperimen dengan metode serupa. Misalnya, dompet Base milik Coinbase menggunakan Passkeys untuk menghasilkan dan menyimpan kredensial. Sistem ini secara default menyimpan kredensial di iCloud Keychain. Meskipun ini mengurangi hambatan, tanggung jawab keamanan juga berpindah ke raksasa teknologi seperti Apple dan Google.

Reaksi Komunitas

Berita ini memicu gelombang perdebatan online. Beberapa pengguna menyoroti bahwa cadangan offline lokal tetap menjadi opsi paling aman. Karena sistem ini tidak terekspos pada peretasan cloud atau upaya phishing. Seorang pengguna secara blak-blakan berkomentar bahwa mengandalkan perusahaan teknologi besar untuk keamanan Web3 terasa bertentangan dengan tujuan. Karena sistem ini seharusnya mendesentralisasi untuk mengurangi ketergantungan seperti itu. Cos menanggapi beberapa diskusi, menegaskan bahwa pendekatan MetaMask tidak ada hubungannya dengan multi-party computation (MPC). 

Sebaliknya, ini adalah sistem langsung di mana dompet mengaitkan file terenkripsi ke akun cloud. Pengguna lain mengajukan pertanyaan tentang keterbatasan. Seperti apakah fitur ini hanya mendukung dompet Ethereum atau bisa juga diperluas ke Bitcoin. Cos menjawab bahwa secara teknis sistem ini dapat mendukung kedua jenis dompet. Namun ia mengakui adanya kekurangan dalam cara sistem menangani aset staking seperti ETH.

Menyeimbangkan Kenyamanan dan Keamanan

Situasi ini menyoroti ketegangan yang terus berlangsung di dunia kripto. Ini menyeimbangkan kemudahan penggunaan dengan desentralisasi dan keamanan sejati. Bagi pemula, integrasi cloud menurunkan hambatan dan mengurangi kemungkinan kehilangan akses dompet. Namun bagi pengguna berpengalaman, gagasan menyimpan kunci privat di ekosistem Google atau Apple terasa seperti kompromi yang berbahaya. 

Cos mengakhiri thread-nya dengan pengingat untuk komunitas: jangan lewatkan cadangan tradisional. Menuliskan seed phrase dan menyimpannya secara offline mungkin terasa merepotkan. Namun ini tetap menjadi standar emas untuk melindungi dana. Seiring semakin banyak dompet mengintegrasikan login cloud, investor perlu menimbang kenyamanan terhadap risiko. Karena di dunia kripto, jalan pintas paling sederhana kadang bisa membawa kerugian terbesar.