Ledger подвергся критике из-за фиаско службы восстановления исходных фраз

0

Содержание

Ledger подвергся резкой критике со стороны своего сообщества из-за своей последней идеи восстановления исходной фразы, а участники обратились в социальные сети, чтобы выразить свое неодобрение.

Ledger опроверг критику, заявив, что существует несколько неточностей.

Новая служба восстановления исходной фразы Ledger

Новая служба восстановления исходной фразы Ledger называется Ledger Recover и предлагает пользователям дополнительные меры безопасности на случай, если они потеряют свою исходную фразу. Услуга была выпущена в последней версии прошивки кошелька Ledger и представляет собой услугу по подписке, которая дает пользователям дополнительный уровень защиты их личных ключей. Ledger Recover использует метод, который делит исходную фразу пользователя на три зашифрованных фрагмента, которым доверяют три хранителя, а именно Ledger, Coinover и третья организация. Представитель Ledger подробно остановился на этом, заявив:

«Каждый фрагмент хранится сторонами в аппаратных модулях безопасности (HSM), которые по сути представляют собой сверхмощные реестры. Это то, что мы используем для Ledger Enterprise. Каждый фрагмент сам по себе бесполезен и может быть расшифрован только в Ledger. Они полностью безопасны».

Пользователи могут восстановить исходную фразу See после объединения и расшифровки отдельных фрагментов. Компания также заявила, что эта услуга является необязательной и что пользователям Ledger не обязательно использовать ее, если они этого не хотят.

«Вам не обязательно использовать его, и вы можете продолжать управлять фразой восстановления самостоятельно, если вы именно поэтому купили Ledger».< /эм>

Так в чем же проблема?

Хотя Ledger, кажется, воодушевлен новым обновлением, реакция сообщества была совершенно противоположной. Это связано с тем, что для использования услуги пользователи должны предоставить национальное удостоверение личности или паспорт для использования услуги, а исходную фразу пользователей необходимо будет доверить «внешним хранителям». Несколько видных членов криптосообщества и владельцев кошельков Ledger обратились в социальные сети, чтобы раскритиковать Ledger за то, что некоторые пользователи назвали «катастрофой, ожидающей своего часа». Один пользователь Reddit объяснил:

“Это катастрофа, которая ждет своего часа. Я не могу поверить в то, что читаю; это кажется абсолютно безумием со стороны поставщика аппаратного кошелька, призывающего вас создать резервную копию своей исходной фразы в Интернете И предоставить им свой паспорт/удостоверение личности, особенно тот, который ранее подвергался утечке данных!»

В 2020 году в Ledger произошла серьезная утечка данных, в результате которой были раскрыты номера телефонов и физические адреса более 300 000 клиентов. Взлом также затронул адреса электронной почты более миллиона пользователей. Другие, такие как инвестор Крис Данн и криптоинвестор DCinvestor, также упомянули печально известную утечку данных, критикуя новую службу восстановления исходных фраз Ledger. Данн заявил:

«Сначала они раскрыли почтовые адреса, номера телефонов и адреса электронной почты своих клиентов… А теперь они открыли черный ход в исходных фразах. Пришло время попрощаться с @Ledger».

DCinvestor также не стал сдерживаться, заявив,

“Напоминаем, что несколько лет назад Ledger утекла имена и домашние адреса всех своих клиентов из-за утечки данных. [Т] последнее, что вам нужно на их серверах, — это ваш закрытый ключ».

Директор по информационной безопасности Polygon Мудит Гупта назвал это ужасной идеей и призвал Ledger воздержаться от включения новой функции. В теме в Твиттере Гупта объяснил, что зашифрованные ключи будут отправлены трем корпорациям, которые смогут восстановить закрытые ключи, что приведет к серьезным проблемам с безопасностью. Генеральный директор Binance Чанпэн Чжао ответил Гупте, добавив:

“Значит, семя теперь может покинуть устройство? Звучит иначе, чем «ваши ключи никогда не покидают устройство».

Ведущий технический специалист ImmuneFi Адриан Хетман назвал новую функцию плохой мерой безопасности, заявив:

«Раскрытие вашей исходной фразы, а затем предоставление любому лицу с вашим удостоверением личности или паспортом возможности восстановить доступ к заблокированным средствам — это плохая мера безопасности. Кража личных данных является обычным явлением, и это может подвергнуть пользователей криптовалюты новой форме атаки».

Ledger сопротивляется критике

Ledger отступил от заградительного огня критики в адрес своего нового сервиса, заявив, что в критике, с которой он столкнулся, было «множество неточностей» и что не было бэкдора или уязвимости безопасности. В ответ Гетману Леджер заявил, что правительственный идентификатор является лишь частью полного процесса и не представляет угрозы безопасности.

“У нас также есть функция полного обнаружения активности, когда вы используете камеру, и она выдает случайные подсказки, которые невозможно подделать или предварительно записать. Это проверяется технологиями, а также людьми, чтобы убедиться в совпадении перед началом процесса восстановления. Таким образом, кто-то, кто украдет ваше удостоверение личности, не сможет восстановить вашу SRP [Секретную фразу восстановления]».

Ledger назвал новый сервис высокозащищенным сервисом, который протестировала его команда Donjon. Команда Donjon ранее обнаружила нарушения в ряде кошельков, включая TrustWallet.

“Если вам нужно больше спокойствия или вы считаете, что управление фразами восстановления барьер, теперь у вас есть высокозащищенный сервис, протестированный нашей командой Donjon, который выявил нарушения в TrustWallet и многих других кошельках, как программных, так и аппаратных».

Компания также добавила, что новая услуга является необязательной и что если пользователь не желает ее использовать, он может не включать ее. Он добавил, что желающим воспользоваться этой услугой придется инициировать процесс утверждения, в котором используется безопасное отображение их кошелька Ledger.

Отказ от ответственности: данная статья предназначена только для информационных целей. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или других рекомендаций.

Отказ от ответственности

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *