Virsgrāmata nonāk ugunī saistībā ar sēklu frāzes atkopšanas pakalpojuma fiasko

Ledžers ir izpelnījies asu kritiku no savas kopienas par tās jaunāko sēklu frāzes atjaunošanas ideju, un dalībnieki sociālajos medijos pauž savu noraidošo viedokli. 
Ledžers ir atteicies pret kritiku, norādot, ka ir vairākas neprecizitātes. 
 Ledger's New Seed Phrase Recovery Service 
Ledger jaunais sēklu frāzes atkopšanas pakalpojums tiek saukts par Ledger Recover, un tas piedāvā lietotājiem papildu drošības pasākumus, ja viņi nepareizi ievieto savu sākotnējo frāzi. Pakalpojums tika izlaists Ledger jaunākajā programmaparatūras makā, un tas ir abonēšanas pakalpojums, kas lietotājiem nodrošina papildu aizsardzības līmeni viņu privātajām atslēgām. Ledger Recover izmanto paņēmienu, kas sadala lietotāja sākuma frāzi trīs šifrētos fragmentos, kuriem uzticas trīs glabātāji, proti, Ledger, Coinover un trešā vienība. Ledger pārstāvis paskaidroja to pašu, norādot, 
“Puses katru fragmentu glabā aparatūras drošības moduļos (HSM), kas būtībā ir lieljaudas virsgrāmatas. To mēs izmantojam Ledger Enterprise. Katrs fragments pats par sevi ir bezjēdzīgs, un to var atšifrēt tikai virsgrāmatā. Viņi ir pilnīgi droši. ”
Kad atsevišķie fragmenti ir apvienoti un atšifrēti, lietotāji var rekonstruēt sākotnējo frāzi. Uzņēmums arī paziņoja, ka pakalpojums nav obligāts un ka Ledger lietotājiem pakalpojums nav jāizmanto, ja viņi to nevēlas. 
"Jums tas nav jāizmanto, un varat turpināt pārvaldīt savu atkopšanas frāzi, ja tāpēc iegādājāties virsgrāmatu."
 Tātad, kur ir problēma? 
Lai gan Ledžers šķiet sajūsmā par jauno atjauninājumu, kopienas reakcija ir bijusi gluži pretēja. Tas ir tāpēc, ka, lai izmantotu pakalpojumu, lietotājiem ir jāuzrāda valsts personas apliecība vai pase, lai izmantotu pakalpojumu, un lietotāja sākuma frāze būtu jāuztic "ārējiem turētājiem". Vairāki ievērojami kriptovalūtu kopienas dalībnieki un Ledger maku īpašnieki sociālajos medijos kritizēja Ledžeru par to, ko daži lietotāji sauca par "katastrofu, kas gaida, lai notiktu". Viens Reddit lietotājs paskaidroja, 
"Šī ir katastrofa, kas gaida savu notikumu. Es patiesībā nespēju noticēt tam, ko lasu; Tas šķiet pilnīgi traki, ja aparatūras maka nodrošinātājs mudina jūs tiešsaistē dublēt savu sākotnējo frāzi UN dot viņiem savu pasi/ID — jo īpaši tādu, kas iepriekš ir cietis no datu pārkāpuma!
Ledger 2020. gadā piedzīvoja nopietnu datu noplūdi, kas atklāja vairāk nekā 300 000 klientu tālruņu numurus un fiziskās adreses. Pārkāpums ietvēra arī vairāk nekā miljona lietotāju e-pasta adreses. Citi, piemēram, investors Kriss Danns un kriptovalūtu investors DCinvestor, arī atsaucās uz bēdīgi slaveno datu noplūdi, vienlaikus kritizējot Ledžera jauno sākuma frāzes atkopšanas pakalpojumu. Danns paziņoja, 
“Vispirms viņi atklāja savu klientu pasta adreses, tālruņu numurus un e-pasta adreses… Un tagad viņi ir ielikuši aizmugures durvis sākuma frāzēm. Ir pienācis laiks atvadīties no @Ledger.
Arī DCinvestor nenoturējās, norādot, 
“Atgādinājums, ka pirms vairākiem gadiem Ledžers datu pārkāpuma dēļ nopludināja visu savu klientu vārdus un mājas adreses. [Pēdējais, ko vēlaties viņu serveros, ir jūsu privātā atslēga.
Poligona galvenais informācijas drošības speciālists Mudits Gupta nosauca to par šausminošu ideju un mudināja Ledžeru atturēties no jaunās funkcijas iespējošana. Twitter pavedienā Gupta paskaidroja, ka šifrētās atslēgas tiks nosūtītas trim korporācijām, kas varētu rekonstruēt privātās atslēgas, izraisot lielas drošības problēmas. Binance izpilddirektors Changpeng Zhao atbildēja Gupta, piebilstot, 
"Tātad sēklas tagad var atstāt ierīci? Izklausās pēc cita virziena nekā “jūsu atslēgas nekad neatstāj ierīci”.
ImmuneFi tehniskais vadītājs Adrians Hetmans jauno funkciju nosauca par sliktu drošības stāju, norādot, 
“Savas sākotnējās frāzes atklāšana un pēc tam ļaut ikvienam, kam ir jūsu ID vai pase, atgūt piekļuvi bloķētajiem līdzekļiem, ir slikta drošības poza. ID zādzība ir izplatīta parādība, un tas pakļautu kriptovalūtu lietotājus jaunam uzbrukuma veidam.
 Ledžers atgrūžas pret kritiku 
Ledžers ir atgrūdis kritiku pret savu jauno pakalpojumu, norādot, ka kritikā, ar kuru tas saskārās, bija "daudz neprecizitātes" un ka nebija aizmugures durvju vai drošības ievainojamības. Atbildot uz Hetmanu, Ledžers norādīja, ka valdības ID ir tikai viena daļa no pilnīga procesa un nerada drošības risku. 
“Mums ir arī pilna dzīvīguma noteikšana, kur jūs izmantojat savu kameru, un tā sniedz nejaušas uzvednes, kuras nevar viltot vai iepriekš ierakstīt. To pārskata tehnoloģija un arī cilvēki, lai nodrošinātu atbilstību pirms atkopšanas procesa uzsākšanas. Tātad kāds, kurš nozags jūsu ID, nevarēs atgūt jūsu [Slepenās atkopšanas frāzes] SRP.
Ledžers jauno pakalpojumu nosauca par ļoti drošu pakalpojumu, ko tā Donjon komanda bija pārbaudījusi. Donjon komanda iepriekš bija atklājusi pārkāpumus vairākos makos, tostarp TrustWallet.
 “Ja vēlaties vairāk miera vai uzskatāt, ka atkopšanas frāžu pārvaldība ir šķērslis, tagad jums ir ļoti drošs pakalpojums, ko pārbaudījusi mūsu Donjon komanda, kas atklāja TrustWallet un daudzu citu maku, gan programmatūras, gan aparatūras, pārkāpumus.
Uzņēmums arī piebilda, ka jaunais pakalpojums nav obligāts un ka, ja lietotājs nevēlas to izmantot, viņš var izvēlēties to neiespējot. Tā piebilda, ka tiem, kas vēlas izmantot pakalpojumu, būs jāuzsāk apstiprināšanas process, kurā tiek izmantots viņu Ledger maka drošais displejs.
Atruna: šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.