Sổ cái bị cháy vì lỗi dịch vụ khôi phục cụm từ hạt giống

Ledger đã phải hứng chịu sự chỉ trích gay gắt từ cộng đồng về ý tưởng khôi phục cụm từ hạt giống mới nhất của mình, trong đó các thành viên đã lên mạng xã hội để bày tỏ sự phản đối của họ.
Ledger đã bác bỏ những lời chỉ trích, nói rằng có một số điểm không chính xác.
 Dịch vụ khôi phục cụm từ hạt giống mới của Ledger
Dịch vụ khôi phục cụm từ hạt giống mới của Ledger được gọi là Ledger Recover và cung cấp cho người dùng các biện pháp bảo vệ bổ sung trong trường hợp họ đặt sai cụm từ hạt giống của mình. Dịch vụ này được phát hành trên ví firmware mới nhất của Ledger và là dịch vụ đăng ký cung cấp cho người dùng một lớp bảo vệ bổ sung cho khóa riêng của họ. Ledger Recover sử dụng kỹ thuật chia cụm từ hạt giống của người dùng thành ba đoạn được mã hóa được ba người giám sát tin cậy, đó là Ledger, Coinover và thực thể thứ ba. Người phát ngôn của Ledger cũng giải thích điều tương tự, nêu rõ:
“Mỗi mảnh được các bên lưu trữ trên các mô-đun bảo mật phần cứng (HSM), về cơ bản là các Sổ cái siêu năng lực. Đó là những gì chúng tôi sử dụng cho Ledger Enterprise. Bản thân mỗi mảnh đều vô dụng và chỉ có thể được giải mã trên Sổ cái. Họ hoàn toàn an toàn.”
Người dùng có thể xây dựng lại cụm từ xem ban đầu sau khi các đoạn riêng biệt được kết hợp và giải mã. Công ty cũng tuyên bố rằng dịch vụ này là tùy chọn và người dùng Ledger không cần phải sử dụng dịch vụ nếu họ không muốn.
“Bạn không cần phải sử dụng nó và có thể tiếp tục tự mình quản lý cụm từ khôi phục của mình nếu đó là lý do bạn mua Sổ cái.”
 Vậy vấn đề nằm ở đâu?
Trong khi Ledger có vẻ hào hứng với bản cập nhật mới thì phản ứng của cộng đồng lại hoàn toàn ngược lại. Điều này là do để sử dụng dịch vụ, người dùng phải cung cấp chứng minh nhân dân hoặc hộ chiếu để sử dụng dịch vụ và cụm từ gốc của người dùng sẽ phải được “người giám sát bên ngoài” tin cậy. Một số thành viên cộng đồng tiền điện tử nổi tiếng và chủ sở hữu ví Ledger đã lên mạng xã hội để chỉ trích Ledger về điều mà một số người dùng gọi là “thảm họa đang chờ xảy ra”. Một người dùng Reddit giải thích,
“Đây là một thảm họa đang chực chờ xảy ra. Tôi thực sự không thể tin vào những gì mình đang đọc; điều này có vẻ hoàn toàn điên rồ khi một nhà cung cấp ví phần cứng khuyến khích bạn sao lưu cụm từ gốc trực tuyến VÀ cung cấp cho họ Hộ chiếu/ID của bạn—đặc biệt là hộ chiếu trước đây đã bị vi phạm dữ liệu!”
Ledger bị rò rỉ dữ liệu nghiêm trọng vào năm 2020, làm lộ số điện thoại và địa chỉ thực của hơn 300.000 khách hàng. Vi phạm cũng bao gồm địa chỉ email của hơn một triệu người dùng. Những người khác, chẳng hạn như nhà đầu tư Chris Dunn và nhà đầu tư tiền điện tử DCinvestor cũng đề cập đến vụ rò rỉ dữ liệu khét tiếng trong khi chỉ trích Dịch vụ khôi phục cụm từ hạt giống mới của Ledger. Dunn đã tuyên bố,
“Đầu tiên, họ tiết lộ địa chỉ gửi thư, số điện thoại và địa chỉ email của khách hàng… Và giờ họ đã đặt một cửa sau vào các cụm từ hạt giống. Đã đến lúc nói lời tạm biệt với @Ledger.”
DCinvestor cũng không nhịn được nói:
“Xin nhắc lại rằng vài năm trước, Ledger đã rò rỉ tên và địa chỉ nhà của tất cả khách hàng của họ do vi phạm dữ liệu. [T]anh ấy điều cuối cùng bạn muốn trên máy chủ của họ là khóa riêng của bạn.”
Giám đốc an ninh thông tin của Polygon, Mudit Gupta gọi đây là một ý tưởng khủng khiếp và kêu gọi Ledger hạn chế kích hoạt tính năng mới. Trong một chủ đề trên Twitter, Gupta giải thích rằng các khóa được mã hóa sẽ được gửi đến ba tập đoàn có thể tái tạo lại các khóa riêng tư, dẫn đến các vấn đề bảo mật lớn. Giám đốc điều hành Binance Changpeng Zhao đã trả lời Gupta và nói thêm:
“Vậy bây giờ hạt giống có thể rời khỏi thiết bị chưa? Nghe có vẻ như một hướng khác với “chìa khóa của bạn không bao giờ rời khỏi thiết bị”.
Trưởng nhóm công nghệ tại ImmuneFi, Adrian Hetman, gọi tính năng mới này là một tình trạng bảo mật tồi, đồng thời nêu rõ:
“Việc tiết lộ cụm từ hạt giống của bạn và sau đó cho phép bất kỳ ai có ID hoặc Hộ chiếu của bạn lấy lại quyền truy cập vào số tiền bị khóa là một hành vi bảo mật tồi. Hành vi trộm cắp ID là phổ biến và điều đó sẽ khiến người dùng tiền điện tử gặp phải một hình thức tấn công mới.”
 Sổ cái đẩy lùi sự chỉ trích
Ledger đã phản bác lại hàng loạt lời chỉ trích chống lại dịch vụ mới của mình, nói rằng có “rất nhiều điểm không chính xác” trong những lời chỉ trích mà nó phải đối mặt và không có lỗ hổng bảo mật hoặc cửa sau. Trả lời Hetman, Ledger tuyên bố rằng ID chính phủ chỉ là một phần của quy trình hoàn chỉnh và không gây ra rủi ro bảo mật.
“Chúng tôi cũng có tính năng phát hiện sự sống đầy đủ khi bạn sử dụng máy ảnh của mình và nó cung cấp cho bạn các lời nhắc ngẫu nhiên không thể giả mạo hoặc ghi trước. Điều này được công nghệ và con người xem xét để đảm bảo sự trùng khớp trước khi quá trình khôi phục được bắt đầu. Vì vậy, ai đó đánh cắp ID của bạn sẽ không thể khôi phục SRP [Cụm từ khôi phục bí mật] của bạn.”
Ledger gọi dịch vụ mới là dịch vụ có độ bảo mật cao mà nhóm Donjon của họ đã thử nghiệm. Nhóm Donjon trước đây đã phát hiện các vi phạm ở một số ví, bao gồm cả TrustWallet.
“Nếu bạn muốn yên tâm hơn hoặc thấy việc quản lý cụm từ khôi phục là một rào cản thì giờ đây bạn đã có một dịch vụ có độ bảo mật cao, được nhóm Donjon của chúng tôi kiểm tra, dịch vụ này đã phát hiện ra các vi phạm trong TrustWallet và nhiều ví khác, cả phần mềm và phần cứng.”
Công ty cũng nói thêm rằng dịch vụ mới là tùy chọn và nếu người dùng không muốn sử dụng dịch vụ này, họ có thể chọn không kích hoạt dịch vụ này. Họ nói thêm rằng những người muốn sử dụng dịch vụ này sẽ phải bắt đầu quy trình phê duyệt sử dụng màn hình an toàn của ví Ledger của họ.
Tuyên bố miễn trừ trách nhiệm: Bài viết này được cung cấp chỉ nhằm mục đích cung cấp thông tin. Nó không được cung cấp hoặc nhằm mục đích sử dụng làm tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.