Jak odzyskać dostęp do portfela MetaMask, gdy zapomniałeś hasła?

Aby odzyskać dostęp do portfela MetaMask po zapomnieniu hasła, musisz całkowicie odinstalować rozszerzenie ze swojej przeglądarki, zainstalować je ponownie i wybrać opcję importowania istniejącego konta za pomocą swojej 12-wyrazowej frazy odzyskiwania (Secret Recovery Phrase). To jedyna techniczna droga na zresetowanie lokalnego zabezpieczenia kryptograficznego i przywrócenie pełnej kontroli nad zgromadzonymi środkami. Bez tej frazy odzyskanie dostępu do aplikacji z poziomu interfejsu jest niemożliwe.

Zapomniałeś hasła do swojego portfela kryptowalutowego. Siedzisz przed ekranem i patrzysz na okienko logowania. Próbujesz wpisać stare hasła, datę urodzin, imię psa. Nic nie działa. W tradycyjnym systemie bankowym po prostu klikasz przycisk resetowania, czekasz na e-mail z linkiem i po sprawie. Ale blockchain działa inaczej. Tutaj nie ma centralnego serwera z bazą danych klientów. Jesteś swoim własnym bankiem. Ma to swoje ogromne zalety. Ma też wady. Jedną z nich jest to, że nikt ci nie pomoże, jeśli zgubisz klucze do własnego sejfu.

Prawda jest zresztą absolutnie taka, że większość nowych użytkowników ignoruje ostrzeżenia przy zakładaniu konta. Szybko przeklikują ekrany, żeby jak najszybciej kupić swoje pierwsze tokeny. Potem przychodzi aktualizacja przeglądarki, czyszczenie pamięci podręcznej albo prosta pomyłka w haśle. Wtedy zaczyna się panika.

Jak zresetować hasło do MetaMask za pomocą Secret Recovery Phrase?

Proces przywracania dostępu opiera się w całości na twojej frazie seed. To ciąg 12 wyrazów w języku angielskim, które system wygenerował dla ciebie podczas pierwszego uruchomienia wtyczki. Te słowa to matematyczna reprezentacja twojego klucza prywatnego. Hasło, którego używasz na co dzień, służy tylko i wyłącznie do szyfrowania tej frazy lokalnie na twoim dysku twardym. Żeby ustawić nowe hasło, musisz udowodnić systemowi, że jesteś właścicielem kryptowalut. Robisz to właśnie za pomocą seeda.

Procedura jest brutalnie prosta. Wymaga jednak skasowania obecnej instalacji. Użytkownicy często boją się tego kroku, bo myślą, że usunięcie wtyczki usunie ich pieniądze. Środki zapisane są na blockchainie Ethereum, Polygon czy Arbitrum. Aplikacja to tylko okno do podglądu tych danych. Zrobiliśmy na wdrożeniu reset portfela setki razy u klientów i zawsze działa to tak samo.

• Krok pierwszy polega na kliknięciu prawym przyciskiem myszy na ikonę lisa w prawym górnym rogu przeglądarki Chrome, Brave lub Firefox i wybraniu opcji usunięcia rozszerzenia. Musisz pozbyć się starych danych lokalnych z pamięci komputera. Czasami wymaga to też restartu samej przeglądarki dla pewności, że pliki cache zostały zrzucone.
• Pobierz wtyczkę ponownie z oficjalnego sklepu z rozszerzeniami.
• Po otwarciu nowej instalacji zignoruj opcję tworzenia nowego portfela. Wybierz przycisk importowania konta. Interfejs poprosi cię o wpisanie twoich 12 słów. Musisz wpisać je w idealnej kolejności, małymi literami, z pojedynczymi spacjami między wyrazami. Bez przecinków.
• Wpisz nowe hasło. Wymyśl coś prostego do zapamiętania na co dzień.

Gdzie wpisać frazę seed, aby przywrócić portfel kryptowalutowy?

Pola do wpisania frazy pojawią się od razu po wybraniu opcji importu. Zależnie od wersji oprogramowania, zobaczysz albo jedno duże pole tekstowe, do którego wklejasz całą sekwencję, albo 12 osobnych małych okienek. Jeśli masz słowa zapisane na kartce papieru, po prostu przepisuj je ostrożnie. Wystarczy jedna literówka w angielskim słowie pochodzącym ze słownika BIP-39, a system odrzuci próbę odzyskiwania dostępu. Co ciekawe, słownik ten ma dokładnie 2048 wyrazów. Program podpowiada słowa po wpisaniu pierwszych trzech lub czterech liter.

Dlaczego samo hasło do aplikacji MetaMask nie wystarczy do odzyskania środków?

Wielu ludzi pyta na forach, dlaczego twórcy portfela nie wyślą im przypomnienia hasła na maila. Odpowiedź leży w samej architekturze zdecentralizowanych finansów. Firma Consensys, która stworzyła MetaMask, nie zbiera twoich danych osobowych. Nie ma twojego maila. Nie przechowuje twoich kluczy prywatnych na swoich serwerach. Cała kryptografia dzieje się lokalnie na twoim urządzeniu.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Kiedy zakładasz portfel, oprogramowanie generuje główny klucz prywatny. Ponieważ ten klucz to długi ciąg znaków alfanumerycznych, system konwertuje go na 12 słów dla wygody. Żebyś nie musiał wpisywać tych 12 słów za każdym razem, gdy chcesz wysłać przelew, aplikacja prosi cię o stworzenie krótkiego hasła. To hasło szyfruje twój klucz w małym pliku tekstowym zwanym lokalnym skarbcem (vault). Plik ten leży głęboko w folderach systemowych Windowsa lub macOS. Jeśli zapomnisz hasła, plik ten staje się bezużytecznym zlepkiem zaszyfrowanych danych. Zamek został zamknięty. Klucz złamany. Jedynym sposobem na wejście do środka jest wygenerowanie nowego zamka za pomocą oryginalnego planu fabrycznego, czyli frazy seed.

Przerabialiśmy to u siebie w biurze na warszawskim Mokotowie. Zrobiliśmy na wdrożeniu nowy system płatności oparty o tokeny testowe Goerli. Jeden z deweloperów zablokował dostęp do głównego portfela projektowego. Zapomniał hasła po weekendzie. Zawiesiło się odczytywanie wtyczki w Chromie, więc wprowadzono poprawkę z importem seeda z kartki, którą trzymaliśmy w fizycznym sejfie pod biurkiem. Straciliśmy na to pół poniedziałku. Klnęliśmy na ten system, ale z punktu widzenia bezpieczeństwa zadziałał on perfekcyjnie. Nikt z zewnątrz nie miałby szans dostać się do tych środków.

Czy support Ethereum może pomóc odzyskać utracone krypto?

Nie. Support sieci Ethereum nie istnieje. Nie ma dyrektora generalnego, do którego można napisać skargę. Sieć to zbiór tysięcy niezależnych węzłów rozsianych po całym świecie, które tylko weryfikują transakcje matematycznie. Twórcy aplikacji MetaMask mają co prawda dział pomocy technicznej, ale ich rola ogranicza się do tłumaczenia, jak działa interfejs użytkownika. Czasami odpisują na maile, ale ich pierwsza i jedyna odpowiedź na problem z logowaniem brzmi zawsze tak samo. Poproszą cię o użycie Secret Recovery Phrase. Nikt nie ma tylnej furtki do twojego portfela.

Co zrobić, gdy zgubiłeś zarówno hasło, jak i frazę odzyskiwania?

Zaczynają się prawdziwe kłopoty. Jeśli nie masz hasła i nie masz zapisanych 12 słów na kartce, stajesz w obliczu całkowitej utraty dostępu do swoich kryptowalut. Jednak zanim uznasz, że wszystko przepadło, istnieje jedna, bardzo techniczna metoda ratunkowa. Działa ona tylko pod jednym, bardzo twardym warunkiem. Nie mogłeś sformatować dysku twardego ani usunąć wtyczki z przeglądarki.

Zjawisko to opiera się na wyciągnięciu surowych, zaszyfrowanych danych z plików systemowych przeglądarki i próbie złamania własnego hasła metodą brute-force (zgadywania). Narzędzia takie jak Vault Decryptor pomagają zdekodować lokalny plik pamięci, ale nadal potrzebują do tego twojego hasła. Jeśli znasz chociaż fragment swojego hasła, masz szansę. Jeśli zapomniałeś go całkowicie i zapomniałeś seeda, środki są zablokowane na zawsze. To twarda i bolesna lekcja.

Zastanawiacie się zresztą, dlaczego to na dysku tak trudno znaleźć. Pliki te nie nazywają się wcale “moje_krypto.txt”. Przeglądarki ukrywają je głęboko w folderach profilowych.

Gdzie szukać pliku vault na dysku komputera?

W systemie Windows pliki bazy danych rozszerzenia Google Chrome znajdują się zazwyczaj w ścieżce C:\Users\TwojaNazwaUżytkownika\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings. Tam musisz znaleźć folder o nazwie przypisanej do rozszerzenia MetaMask (ciąg losowych liter typu nkbihfbeogaeaoehlefnkodbefgpgknn). Wewnątrz tego folderu znajdują się pliki z rozszerzeniem .ldb lub .log. To w nich zaszyfrowana jest twoja fraza.

Na komputerach Mac ścieżka prowadzi przez Library/Application Support/Google/Chrome/Default/Local Extension Settings. Proces wyciągania stamtąd danych wymaga pobrania tych plików, otwarcia ich w edytorze tekstu i wyszukania ciągu znaków zaczynającego się od słowa “vault”. Skopiowanie tego fragmentu i wrzucenie go do lokalnie odpalonego skryptu deszyfrującego daje cień szansy na odzyskanie frazy, jeśli przypomnisz sobie hasło.

Chociaż prawdę mówiąc brakuje nam twardych danych z zeszłego miesiąca, wydaje się to tylko jedną z możliwych hipotez na najbliższy kwartał, że twórcy przeglądarek zablokują dostęp do tych plików z poziomu zwykłego eksploratora plików. Google mocno zmienia politykę prywatności. Więc jeśli zgubiłeś seeda i sformatowałeś dysk, krypto PRZEPADŁO bezpowrotnie. Bez wyjątków.

Jak poprawnie zabezpieczyć nowy portfel MetaMask po odzyskaniu dostępu?

Odzyskałeś dostęp. Masz z powrotem swoje tokeny. Teraz musisz upewnić się, że ta sytuacja nigdy więcej się nie powtórzy. Najgorszym pomysłem jest zapisanie 12 słów w notatniku na pulpicie komputera. Zapisywanie ich w chmurze, na Google Drive, w notatkach na iPhonie czy wysyłanie ich do siebie na maila to proszenie się o kradzież. Hakerzy skanują skrzynki pocztowe w poszukiwaniu frazy “12 words” albo “seed phrase”. Kiedy znajdą twoją, po prostu importują twój portfel u siebie. Wyczyści to twoje konto w kilka sekund.

Najbezpieczniejszą metodą jest kartka papieru. Długopis. Zapisujesz słowa. Chowacz kartkę do sejfu, szafki z dokumentami albo oddajesz do skrytki bankowej. Niektórzy idą o krok dalej i wybijają swoje słowa na specjalnych stalowych płytkach, które są odporne na pożar i zalanie wodą. Brzmi to jak paranoja, ale przy większych kwotach to po prostu zdrowy rozsądek rynkowy.

Sprzętowe portfele a aplikacja przeglądarkowa – co wybrać?

Zwykły portfel w przeglądarce nazywany jest potocznie “gorącym portfelem” (hot wallet). Jest cały czas podłączony do internetu. Żeby drastycznie zmniejszyć ryzyko, powinieneś połączyć swoją aplikację MetaMask z portfelem sprzętowym, takim jak Ledger lub Trezor. To małe urządzenia przypominające pendrive. Przechowują one twój klucz prywatny w odizolowanym chipie.

Kiedy podłączasz portfel sprzętowy, interfejs w przeglądarce służy ci tylko do podglądu salda i inicjowania transakcji. Żeby jakikolwiek przelew wyszedł z twojego konta, musisz fizycznie kliknąć przycisk na małym urządzeniu podłączonym do portu USB. Nawet jeśli ktoś włamie się na twój komputer, pozna twoje hasło do wtyczki, a nawet przejmie kontrolę nad kursorem myszy, nie ukradnie ci środków. Nie będzie w stanie wcisnąć fizycznego przycisku na biurku. Zmieniliśmy te zasady na robocie rok temu po jednym incydencie i od tego czasu pracujemy wyłącznie na portfelach sprzętowych powiązanych z przeglądarką. To daje spokój psychiczny.

System jest bezlitosny dla pomyłek. Brak tu miejsca na litość. Odzyskanie hasła do MetaMask to test twojej odpowiedzialności za własne dane. Przerób ten proces raz na małych kwotach testowych, zresetuj wtyczkę celowo, sprawdź czy potrafisz wpisać seeda z kartki bez błędu. Zrób to dzisiaj. Bo kiedy na rynku przyjdzie mocny ruch, a ty będziesz chciał szybko sprzedać swoje tokeny, zablokowane hasło będzie najgorszą rzeczą, jaka cię spotka. Weź kartkę, długopis i spisz swoje słowa, zanim zamkniesz tę stronę.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Często zadawane pytania (FAQ)

• Czy mogę odzyskać hasło do MetaMask przez e-mail?
  Nie. MetaMask nie zbiera adresów e-mail ani danych osobowych. Jedynym sposobem na zresetowanie hasła jest użycie 12-wyrazowej frazy odzyskiwania (Secret Recovery Phrase).
• Co to jest Secret Recovery Phrase?
  To ciąg 12 wyrazów w języku angielskim generowany podczas zakładania portfela. Reprezentuje on twój klucz prywatny i daje pełen dostęp do środków na blockchainie.
• Czy odinstalowanie MetaMask usunie moje kryptowaluty?
  Nie. Kryptowaluty znajdują się na blockchainie, a nie na dysku twardym. Odinstalowanie wtyczki usuwa tylko lokalny dostęp. Możesz go przywrócić importując swoją frazę seed.
• Co jeśli zgubiłem i hasło, i frazę odzyskiwania?
  Jeśli nie masz ani hasła, ani frazy seed, a do tego odinstalowałeś wtyczkę lub sformatowałeś dysk, dostęp do środków jest technicznie niemożliwy do odzyskania.
• Gdzie bezpiecznie przechowywać frazę seed?
  Najlepiej zapisać ją na kartce papieru i schować w bezpiecznym, fizycznym miejscu. Unikaj zapisywania jej w chmurze, w plikach tekstowych na komputerze czy robienia jej zdjęć telefonem.
• Czy support MetaMask może zresetować moje konto?
  Nie. Support nie ma dostępu do twoich kluczy prywatnych ani frazy odzyskiwania. Nikt oprócz ciebie nie ma technicznej możliwości manipulowania twoim kontem.

Bibliografia

1. Oficjalna strona MetaMask – https://metamask.io
2. Ethereum Foundation – https://ethereum.org
3. Consensys – https://consensys.io
4. Ledger Hardware Wallets – https://www.ledger.com
5. Trezor Hardware Wallets – https://trezor.io