На Ledger обрушился шквал критики из-за новой спорной функции резервного копирования seed-фразы в облако
Ledger, разработчик и производитель одних из самых популярных аппаратаных (холодных) кошельков для хранения криптовалют угодила в скандал. Криптовалютное сообщество обрушилось волной критики на французскую компанию из-за новой фукнции Ledger Recover, которая позволяет сохранять в облачном хранилище seed-фразу, секретную последовательность слов, с помощью которой можно получить доступ к криптовалютному кошельку.
«Отличные новости: компания Ledger выпустила новый продукт, Ledger Recover, запуск которого произойдёт уже совсем скоро».
Для безопасности, такую фразу не рекомендуется вообще хранить на каких-либо цифровых устройствах – желательно записать её на классическом «оффлайн» носителе, бумаге или любом другом удобном материале, и хранить в надёжном месте.
«Значит, теперь seed-фраза может покинуть устройство? Звучит, как что-то совсем противоположное "ваши ключи никогда не покидают устройство"», — прокомментировал новость Чанпэн Чжао, основатель и генеральный директор крупнейшей криптовалютной биржи Binance.
В ответ на критику компания попыталась оправдаться, заявив, что Ledger Recover – это опциональная, а не обязательная услуга по подписке, которая позволяет пользователям использовать дополнительный уровень защиты для своих секретных ключей.
В заявлении, опубликованном в Твиттере, также объясняется, что в её основе используется метод, при котором seed-фраза пользователя делится на три зашифрованных фрагмента, каждый из которых отправляется на хранения различным третьим сторонам. После объединения и расшифровки этих фрагментов они могут быть использованы для восстановления исходной секретной фразы.
«По отдельности эти зашифрованные фрагменты совершенно бесполезны. Когда вы захотите восстановить свои ключи, 2 из этих третьих сторон отправят свои фрагменты обратно на ваше устройство Ledger (а не нам как организации), что сможет помочь вам восстановить вашу Секретную фразу восстановления», — заявила компания.
Несмотря на это, нововведение всё равно вызвало обоснованное беспокойство у пользователей, так как функция восстановления пароля из облака означает то, что пароль будет храниться на сервере компании.
«Вопрос: Если мы решим воспользоваться услугой, то что-то должно взаимодействовать с нашими закрытыми ключами, чтобы создать резервную копию того же самого очевидно. Это означает, что существует способ взаимодействия с закрытыми ключами. Именно это всех и беспокоит, а не то, что услуга является необязательной или нет», — заметил пользователь Твиттера под ником SIUUUU.
«Проблема здесь не в том, чтобы разделить ключ на 3 части. Это на самом деле хорошо! Я лично тоже могу делать это, а могу и не делать. Проблема в том, что зашифрованные части ключей отправляются в 3 разные корпорации, а уже они могут восстановить ваши ключи», — обратил внимание на проблему Мудит Гупта, главный специалист по информационной безопасности в Polygon Labs.
Такое решение противоречит первоначальному преимуществу аппаратных кошельков, которые позиционируются как изолированное надёжное хранилище, перед программными аналогами. А во-вторых, подмоченная репутация Ledger в плане хранения данных пользователей просто не даёт достаточно оснований пользователям полностью довериться тому, что их секретные фразы не утекут в сеть.
Так, в декабре 2020 года были украдены личные данные (имена, физические адреса, адреса электронной почты и номера телефонов) 270 000 владельцев Ledger, и это произошло после другого взлома системы безопасности в июле 2020 года. Тогда хакер бесплатно слил информацию на одном из форумов. Генеральный директор компании, Паскаль Готье, заявил, что компания «глубоко сожалеет о сложившейся ситуации». Он также попытался успокоить пользователей, подчеркнув, что взлом никак не затронул данные, хранящиеся на аппаратных кошельках Ledger.
«Сначала утекли почтовые адреса, номера телефонов и адреса электронной почты своих клиентов... А теперь они сделал бэкдор к seed-фразам. Пришло время попрощаться с Ledger», — заявил криптовалютный инвестор и ведущий подкаста Крис Данн.
«Напоминаю, что несколько лет назад в результате утечки данных были раскрыты имена и домашние адреса всех клиентов компания Ledger. Последнее, что нужно хранить на их серверах – это ваш приватный ключ», — вторит другой криптовалютный инвестор DCinvestor.
Более того, ещё большей критике подверглось то, что для того, что воспользоваться новой функции пользователь должен будет пройти KYC-регистрацию, которая требует отправки компании фотографии удостоверения личности, что абсолютно противоположно ценностям конфиденциальности и анонимности, которым придерживается большая часть криптовалютного сообщества.
«Кроме того, они используют проверку личности для подтверждения вашего запроса на восстановление ключей. Кража личности относительно проста в осуществлении и очень распространена. Это совсем не безопасный метод», — добавляет Мудит Гупта.
В настоящее время услуга подписки доступна только для устройств Ledger Nano X, а требование удостоверения личности относится к пользователям из ЕС, Великобритании, Канады и США.
«Конечно, вы *могли бы* воспользоваться новой услугой Ledger Recover и передать им ваши закрытые ключи, контролирующие ваши активы, а также копию вашего ID и другую личную информацию... но зачем тогда вообще заводить аппаратный кошелек?», — справедливо заметил ещё один независимый инвестор Алистер Милн.
Источники: Cointelegraph, BeInCrypto.
Читайте также:
- Почему все, кто верит в биткоин, должны знать про мультиподпись
- Обзор лучших Bitcoin Lightning кошельков для регионов с медленным интернетом
- Злоумышленники смогли украсть $30 000 в BTC c аппаратного кошелька, хранившегося в сейфе
- Этот небольшой портативный Bitcoin Lightning банкомат обменивает мелочь на биткоины
Начать торговать и присоединиться к криптовалютному сообществу можно здесь.
Можете также почитать наши статьи на других площадках: