Ledger znalazł się pod ostrzałem w związku z fiaskiem usługi odzyskiwania fraz nasion

Ledger spotkał się z ostrą krytyką ze strony społeczności w związku z najnowszym pomysłem na odzyskanie fraz początkowych, a członkowie wyrażają swoją dezaprobatę w mediach społecznościowych.
Ledger odepchnął tę krytykę, stwierdzając, że istnieje kilka nieścisłości.
 Nowa usługa odzyskiwania fraz początkowych Ledger
Nowa usługa odzyskiwania fraz początkowych Ledger nazywa się Ledger Recover i oferuje użytkownikom dodatkowe zabezpieczenia w przypadku zgubienia frazy początkowej. Usługa została udostępniona w najnowszym portfelu oprogramowania Ledger i jest usługą subskrypcyjną, która zapewnia użytkownikom dodatkową warstwę ochrony ich kluczy prywatnych. Ledger Recover wykorzystuje technikę, która dzieli frazę początkową użytkownika na trzy zaszyfrowane fragmenty, którym ufają trzej opiekunowie, a mianowicie Ledger, Coinover i trzeci podmiot. Rzecznik Ledger rozwinął tę kwestię, stwierdzając:
„Każdy fragment jest przechowywany przez strony w sprzętowych modułach bezpieczeństwa (HSM), które w zasadzie są księgami o dużej mocy. Tego właśnie używamy w Ledger Enterprise. Każdy fragment jest sam w sobie bezużyteczny i można go odszyfrować jedynie w księdze. Są całkowicie bezpieczne.”
Użytkownicy mogą zrekonstruować oryginalną frazę po połączeniu i odszyfrowaniu oddzielnych fragmentów. Firma stwierdziła również, że usługa jest opcjonalna i że użytkownicy Ledger nie muszą z niej korzystać, jeśli nie chcą.
„Nie musisz z niego korzystać i możesz samodzielnie zarządzać frazą odzyskiwania, jeśli właśnie dlatego kupiłeś księgę rachunkową”.
 Gdzie więc leży problem?
Choć Ledger wydaje się podekscytowany nową aktualizacją, reakcja społeczności była zupełnie odwrotna. Dzieje się tak dlatego, że aby móc skorzystać z usługi, użytkownicy muszą przedstawić dowód osobisty lub paszport, a fraza zalążkowa użytkownika musiałaby zostać powierzona „zewnętrznym opiekunom”. Kilku prominentnych członków społeczności kryptowalut i właścicieli portfeli Ledger zaczęło krytykować Ledgera w mediach społecznościowych za to, co niektórzy użytkownicy nazywają „katastrofą, która czeka, aby się wydarzyć”. Jeden z użytkowników Reddita wyjaśnił:
„To katastrofa, która tylko czeka, aby się wydarzyć. Nie mogę uwierzyć w to, co czytam; wydaje się to całkowicie szalone ze strony dostawcy portfela sprzętowego, aby zachęcać Cię do utworzenia kopii zapasowej frazy początkowej online ORAZ przekazania mu paszportu/dowodu tożsamości – zwłaszcza takiego, którego dane wcześniej doświadczyły naruszenia bezpieczeństwa!”
W 2020 r. Ledger doświadczył poważnego wycieku danych, w wyniku którego ujawniono numery telefonów i adresy fizyczne ponad 300 000 klientów. Naruszenie objęło także adresy e-mail ponad miliona użytkowników. Inni, jak inwestor Chris Dunn i inwestor kryptowalutowy DCinvestor, również odnieśli się do niesławnego wycieku danych, krytykując nową usługę odzyskiwania fraz Seed firmy Ledger. Dunn stwierdził,
„Najpierw ujawnili adresy pocztowe, numery telefonów i adresy e-mail swoich klientów… A teraz włożyli tylne drzwi do fraz początkowych. Czas pożegnać się z @Ledger.”
DCinvestor również nie powstrzymywał się, stwierdzając,
„Przypominamy, że kilka lat temu Ledger ujawnił nazwiska i adresy domowe wszystkich swoich klientów w wyniku naruszenia bezpieczeństwa danych. [T] ostatnią rzeczą, którą chcesz na ich serwerach, jest Twój klucz prywatny.”
Dyrektor ds. bezpieczeństwa informacji w firmie Polygon, Mudit Gupta, nazwał to okropnym pomysłem i nalegał, aby Ledger powstrzymał się od włączania nowej funkcji. W wątku na Twitterze Gupta wyjaśnił, że zaszyfrowane klucze zostaną wysłane do trzech korporacji, które mogłyby zrekonstruować klucze prywatne, co doprowadziłoby do poważnych problemów związanych z bezpieczeństwem. Dyrektor generalny Binance, Changpeng Zhao, odpowiedział Gupcie, dodając:
„Więc ziarno może teraz opuścić urządzenie? Brzmi to inaczej niż „Twoje klucze nigdy nie opuszczają urządzenia”.
Adrian Hetman, główny specjalista ds. triagera technicznego w ImmuneFi, nazwał nową funkcję złym stanem bezpieczeństwa i stwierdził:
„Ujawnianie frazy początkowej, a następnie umożliwienie każdemu, kto posiada Twój dowód tożsamości lub paszport, odzyskania dostępu do zablokowanych środków, jest złym podejściem do kwestii bezpieczeństwa. Kradzież tożsamości jest powszechna, co naraża użytkowników kryptowalut na nową formę ataku.
 Ledger odpiera krytykę
Ledger odeprzeł falę krytyki pod adresem swojej nowej usługi, stwierdzając, że w krytyce, z którą się spotkał, było „wiele nieścisłości” oraz że nie było żadnych backdoorów ani luk w zabezpieczeniach. W odpowiedzi Hetmanowi Ledger stwierdził, że dowód tożsamości rządowej stanowi jedynie część całego procesu i nie stwarza zagrożenia dla bezpieczeństwa.
„Mamy również pełną funkcję wykrywania aktywności podczas korzystania z aparatu, która wyświetla losowe podpowiedzi, których nie można sfałszować ani wcześniej nagrać. Jest to sprawdzane przez technologię, a także przez ludzi, aby zapewnić zgodność przed rozpoczęciem procesu odzyskiwania. Zatem ktoś kradnący Twój identyfikator nie będzie w stanie odzyskać Twojego [Tajnego wyrażenia odzyskiwania] SRP.”
Ledger nazwał nową usługę wysoce bezpieczną usługą, którą przetestował zespół Donjon. Zespół Donjon wykrył wcześniej naruszenia w wielu portfelach, w tym w TrustWallet.
„Jeśli chcesz mieć większy spokój ducha lub uważasz, że zarządzanie frazami odzyskiwania stanowi barierę, masz teraz bardzo bezpieczną usługę, przetestowaną przez nasz zespół Donjon, który ujawnił naruszenia w TrustWallet i wielu innych portfelach, zarówno programowych, jak i sprzętowych”.
Firma dodała także, że nowa usługa jest opcjonalna i jeśli użytkownik nie chce z niej korzystać, może z niej nie korzystać. Dodał, że osoby chcące skorzystać z usługi będą musiały rozpocząć proces zatwierdzania, który wykorzystuje bezpieczne wyświetlanie ich portfela Ledger.
Zastrzeżenie: ten artykuł ma wyłącznie charakter informacyjny. Nie jest oferowana ani przeznaczona do stosowania jako porada prawna, podatkowa, inwestycyjna, finansowa lub inna.