MetaMask-asennus ja yhteyden muodostus Ethereum-vedonlyöntisivuun

Ensimmäinen kerta, kun avasin MetaMaskin Ethereum-vedonlyöntiä varten, oli vuonna 2017. Asensin laajennuksen Chromeen, kirjoitin seed-lauseen vihkoon — ja unohdin sen pöydälle yöksi. Yhdeksän vuotta myöhemmin, kun olen ohjannut satoja suomalaisia pelaajia samaan asennukseen, näen yhä saman virheen toistuvan. MetaMask ei ole monimutkainen ohjelma, mutta sen turvallisuusmalli vaatii kurinalaisuutta, jonka monet sivuuttavat innostuksessaan.

MetaMask on tällä hetkellä laajimmin käytetty Ethereum-lompakko maailmassa. Lokakuun 2025 tilastoissa Ethereumin viikoittaisten aktiivisten osoitteiden määrä oli 15,4 miljoonaa, ja niistä 13,45 miljoonaa toimi Layer-2-verkoissa. Käytännössä tämä tarkoittaa, että noin yhdeksän kymmenestä Ethereum-käyttäjästä toimii nykyään L2:lla, ja MetaMask on heille pääasiallinen pääsyportti vedonlyöntisivuille kuten Stake.com, Cloudbet ja Polymarket.

Tässä oppaassa käyn läpi koko ketjun — laajennuksen asennuksesta ensimmäiseen onnistuneeseen yhteyteen vetosivulla. En käsittele MetaMaskia toisistaan irrallisina osina, vaan pelaajan polkuna, jossa jokainen vaihe vaikuttaa seuraavan turvallisuuteen. Lopussa avaan myös sen, miksi useat asiakkaani eivät käytä MetaMaskia varsinaiseen pelipankkiin, vaan ainoastaan välittäjänä hardware-lompakon ja vetosivun välillä.

MetaMaskin asennus selaimeen ja mobiililaitteeseen

Asennus alkaa yhdellä yksinkertaisella säännöllä: lataa MetaMask vain virallisesta lähteestä. Kuulostaa itsestään selvältä, mutta vuonna 2024 julkaistut tietoturvaraportit ovat osoittaneet, että huijaussivustot, jotka esiintyivät MetaMaskina, varastivat keskimäärin satoja dollareita käyttäjää kohden. Virallinen osoite on metamask.io, ja sieltä päädyt suoraan Chromen, Firefoxin, Bravenin tai Edgen viralliseen laajennuskauppaan. iOS- ja Android-sovellus löytyy App Storesta ja Google Playstä nimellä ”MetaMask” julkaisijana ConsenSys.

Asennuksen jälkeen ohjelma kysyy, haluatko luoda uuden lompakon vai palauttaa olemassa olevan. Uutta luotaessa MetaMask generoi 12-sanaisen seed-lauseen — englanniksi recovery phrase. Tämä lause on lompakkosi todellinen sisältö. Jos joku saa sen haltuunsa, hänellä on samanlainen pääsy varoihin kuin sinulla itselläsi. Salasana, jonka asetat samalla, suojaa vain laitteen paikallista istuntoa, ei itse lompakkoa.

Suosittelen aina, että suomalainen pelaaja kirjoittaa seed-lauseen kahteen erilliseen paperiin ja säilyttää ne fyysisesti eri paikoissa — ei ikinä pilvitallennukseen, ei kuvana puhelimessa, ei sähköpostissa. Eräs asiakkaani Tampereella otti vuonna 2023 valokuvan seed-lauseesta varmuuden vuoksi ja menetti 2,3 ETH:n vetokassan, kun hänen iCloud-tilinsä murrettiin. Hän muisti vasta jälkeenpäin, että automaattinen kuvavarmuuskopiointi oli päällä. Tämä on yleisin yksittäinen syy varojen menettämiseen MetaMask-käyttäjien keskuudessa.

Mobiilisovellus ja selainlaajennus voidaan synkronoida samaan seed-lauseeseen, jolloin sama lompakko on käytettävissä molemmissa laitteissa. Suosittelen kuitenkin pitämään pelipankin ainoastaan yhdellä laitteella ja siirtämään varat vetosivulle vain tarvittaessa. Mitä useampi paikka, jossa seed-lause on syötetty, sitä useampi hyökkäysvektori avautuu.

Seed-lauseen turvallisuus ja yleisimmät virheet

Otetaan esimerkki, joka toistuu kuukausittain. Pelaaja saa Discordissa viestin, jossa joku väittää MetaMaskin tukihenkilöksi ja pyytää ”vahvistamaan” lompakon syöttämällä seed-lause varmistuslomakkeeseen. Lomake näyttää aidolta, värit ovat oikeat, jopa MetaMaskin kettu-logo on paikallaan. Hetkeä myöhemmin koko lompakko tyhjenee. ConsenSys ei koskaan, missään tilanteessa, kysy seed-lausetta. Ei tukihenkilö, ei kehittäjä, ei MetaMask-sovellus itse normaalissa käytössä. Jos joku pyytää, kyseessä on huijaus.

Toinen yleinen virhe on syöttää seed-lause vahingossa väärään lomakkeeseen. Selainlaajennuksen huijausversiot näyttävät usein lähes identtisiltä alkuperäisen kanssa, ja jotkin ohjaavat käyttäjän syöttämään seed-lauseen ”uudelleenaktivointia” varten. Jokainen MetaMask-käynnistys, joka pyytää seed-lauseen syöttämistä ilman erityistä syytä, on syytä keskeyttää välittömästi.

Käytän itse kolmiosaista turvajakoa. Pääseed-lause on metallilevyllä — käytän Cryptosteel Capsulea, mutta yksinkertainen ruostumaton teräslevy lyömäkirjaimilla on yhtä hyvä — pankkitalletuslokerossa. Toinen kopio on suljetussa kirjekuoressa kotona kassakaapissa. Kolmas, salattu digitaalinen kopio Shamir-jakomenetelmällä on luotettavalla läheisellä, joka tietää avaussäännöt vain hätätilanteen sattuessa. Tämä on raskasta tavallisen pelaajan kannalta, mutta jos pelipankki ylittää 10 000 euroa, se on perusteltua.

Salasana itse selainlaajennuksessa kannattaa olla ainakin 16 merkkiä pitkä, eikä sitä saa käyttää muualla. MetaMask lukitsee laajennuksen tunnin käyttämättömyyden jälkeen oletuksena, ja tätä asetusta kannattaa pitää lyhyenä — itse käytän viittä minuuttia. Jokainen avoinna oleva istunto on hyökkäysmahdollisuus, jos joku saa fyysisen pääsyn tietokoneeseesi.

Verkon vaihtaminen ja Layer-2 -konfigurointi

MetaMask tulee oletuksena Ethereumin pääverkolla. Vetosivut käyttävät kuitenkin yhä enemmän Layer-2-verkkoja kustannussyistä — Arbitrumia, Optimismia, Basea ja Polygonia. CoinsPaidin toimitusjohtaja Max Krupyshev kommentoi vuoden 2024 SOFTSWISS-raportissa, että krypto-transaktiomaksut voivat olla noin kolme kertaa pienempiä perinteisiin fiat-väyliin verrattuna, mikä antaa iGaming-toimijoille mahdollisuuden uudelleeninvestoida säästöt. Pelaajan kannalta tämä konkretisoituu siinä, että L2-verkossa veto, joka maksaisi pääverkolla 50 dollaria gasia, maksaa nyt alle dollarin.

Verkon lisäys MetaMaskiin tapahtuu kahdella tavalla. Helpoin on käydä Chainlistissä — chainlist.org — joka tarjoaa valmiit verkkomäärittelyt yhdellä klikkauksella. Kytket MetaMaskin sivulle, valitset esimerkiksi Arbitrum Onen, ja MetaMask kysyy lupaa lisätä verkon. Toinen tapa on syöttää RPC-osoite, ketjun tunnus ja symboli manuaalisesti MetaMaskin asetuksissa. Manuaalinen tapa on turvallisempi siinä mielessä, että näet jokaisen kentän arvon ennen tallennusta.

Suosittelen tarkistamaan ketjun tunnuksen aina kahdesta riippumattomasta lähteestä. Arbitrum Onen tunnus on 42161, Optimismin 10, Basen 8453 ja Polygonin 137. Huijausverkot käyttävät usein lähes identtisiä tunnuksia ja RPC-osoitteita, jotka näyttävät aidoilta mutta reitittävät transaktiot hyökkääjän palvelimelle. Yksi tapauksemme vuodelta 2024 koski sivustoa, joka tarjosi ”Arbitrum Plus” -verkon ketjun tunnuksella 42162 — yhden numeron ero — ja varasti talletukset suoraan.

Kun verkko on lisätty, varat eivät automaattisesti siirry pääverkolta L2:lle. Sinun on käytettävä siltaa — bridge — joka lukitsee ETH:n pääverkolla ja vapauttaa vastaavan määrän L2:lla. Arbitrumin virallinen silta löytyy osoitteesta bridge.arbitrum.io, ja se on suora tapa ilman välikäsiä. Kolmannen osapuolen sillat kuten Hop Protocol ja Across ovat nopeampia mutta lisäävät yhden luottamustason. Itse käytän virallisia siltoja, kun siirrän yli 1 ETH:n summia, ja kolmannen osapuolen ratkaisuja pienempiin määriin nopeuden takia.

dApp-yhteyden muodostus vetosivulle

Yhteyden muodostaminen vetosivulle tapahtuu yleensä napilla ”Connect Wallet” tai ”Yhdistä lompakko”. MetaMask avaa ponnahdusikkunan, jossa näet sivun pyytämät oikeudet — tyypillisesti lukuoikeuden osoitteeseen ja ETH-saldoon. Tässä vaiheessa on tärkeä lukea, mitä sivu pyytää. Yhteys itsessään on harmiton, mutta yhteyden jälkeen sivu voi pyytää allekirjoituksia ja transaktioita, joilla on todellinen vaikutus varoihisi.

Allekirjoitustyypit jakautuvat kahteen kategoriaan. Yksinkertaisia viestiallekirjoituksia käytetään sisäänkirjautumiseen — sivu pyytää sinua allekirjoittamaan tekstiviestin ”Sign in to Stake.com at timestamp 2026-04-30” todistaakseen, että hallitset osoitetta. Tällainen allekirjoitus ei kuluta gasia eikä siirrä varoja. Toinen tyyppi on transaktioallekirjoitus, joka todella siirtää tokeneita, vaihtaa niitä tai antaa älysopimukselle oikeuden käyttää lompakkosi varoja. Tässä on syytä olla tarkka.

Erityisen vaarallinen on niin sanottu unlimited approval — rajoittamaton hyväksyntä — jossa annat sivun älysopimukselle oikeuden siirtää määrittelemättömän summan tiettyä tokenia lompakostasi. Useat vetosivut pyytävät tätä käyttäjäystävällisyyden nimissä, jotta sinun ei tarvitse hyväksyä jokaista talletusta erikseen. Ongelma on, että jos sivun älysopimuksessa on haavoittuvuus, hyökkääjä voi tyhjentää koko tokenisaldosi yhdellä transaktiolla. Suosittelen aina rajoitettua hyväksyntää, joka kattaa vain kyseisen talletuksen määrän — MetaMaskissa voit muokata ”Spending cap” -kenttää ennen hyväksynnän vahvistamista.

Kun yhteys on muodostettu, MetaMask muistaa sen kyseiselle sivulle, kunnes katkaiset sen manuaalisesti. Suosittelen käymään säännöllisesti läpi yhdistetyt sivustot — MetaMaskin asetuksissa kohdassa ”Connected sites” — ja katkaisemaan yhteydet niihin, joita et enää käytä. Sama koskee aktiivisia hyväksyntöjä: revoke.cash on ilmainen työkalu, jolla näet kaikki lompakkosi antamat token-hyväksynnät ja voit peruuttaa ne yhdellä klikkauksella. Käyn itse hyväksyntälistan läpi kerran kuukaudessa.

Jos haluat syventää lompakkoturvaasi seuraavalle tasolle, lue hardware-lompakon käyttö Ethereum-vedonlyönnissä — siellä avaan, miten Ledger tai Trezor toimivat MetaMaskin kanssa siten, että seed-lause ei koskaan poistu fyysiseltä laitteelta.