Эксперты усомнились в безопасности новой функции восстановления закрытых ключей от Ledger
Обновление позволяет восстановить доступ к кошельку в случае утраты пароля, но предполагает отправку его частей третьим сторонам
19.05.2023 - 16:30
1600
7 мин
1
Что произошло? Производитель аппаратных криптокошельков Ledger выпустил обновление, которое предоставляет пользователям возможность восстановить свои приватные ключи. В компании ожидали, что новая функция поможет привлечь клиентов, однако ее запуск вызвал критику в криптосообществе. Так, соучредитель компании SatoshiLabs Павол Руснак заявил, что если производитель будет раскрывать seed-фразы клиентов, это в корне изменит модель угроз безопасности таких устройств.
Что известно о функции? Обновление, доступное для моделей Nano X, позволяет воспользоваться услугой Ledger Recover и поделиться частями зашифрованной seed-фразы с тремя доверенными сторонами: Ledger, Coincover и EscrowTech. Они будут хранить резервные копии пользователей за ежемесячную плату.
Seed фраза — современный стандарт безопасности криптокошельков
Храни сид фразу как зеницу ока — такое напутствие можно дать каждому, кто начинает свой путь в криптовалютах.
Опасения криптосообщества. По словам разработчика и исследователя Лоуренса Дэя, суть проблемы в том, что у Ledger закрытый исходный код, поэтому никто не может проверить, что на самом деле делает обновление. Эксперт по безопасности блокчейна Кристофер Аллен поделился аналогичными соображениями в Twitter.
Для Дэя наиболее тревожным в ситуации является очевидное нарушение доверия между Ledger и клиентами, вызванное противоречиями в заявлениях компании. Его беспокоит нарушение соглашения о том, что seed-фразы никогда не покинут чип защищенного элемента, хотя это всегда было возможно сделать через прошивку.
Руководитель отдела контента производителя аппаратных кошельков Foundation, известный под ником Seth For Privacy, пишет, что предлагаемая Ledger настройка означает целый набор проблем для пользователей, включая «утечки данных, взломы, а также государственную цензуру или слежку».
По его словам, «продажа данных о пользователях Ledger будет чрезвычайно ценной сейчас и в будущем, и любая из уполномоченных третьих сторон может в любой момент решить использовать данные клиентов в качестве источника дохода». Он добавил, что если в будущем хакеры взломают Onfido или Tessi — провайдеров идентификации клиентов Ledger — они могут получить список пользователей, которые, скорее всего, владеют большим количеством криптовалют, а также множество их личных данных.
Ledger уже подвергалась взлому в прошлом: в июле 2020 года у нее была похищена информация о 272 000 пользователей, за чем последовала серия фишинговых атак.
По словам Дэя, правоохранительные органы также могут использовать эту систему для получения доступа к криптовалютам пользователей Ledger. По его словам, три организации, которые будут хранить фрагменты seed-фраз, известны, поэтому они могут получить запрос от федералов. Так, по его мнению, можно утверждать, что, включив функцию Recover, пользователи превращает свой кошелек в горячий. (Горячие кошельки подключены к Интернету, холодные — нет).
Что говорят в Ledger? По словам представителей компании, это обновление пользователям восстановить доступ к своим криптовалютам, если они забудут или потеряют свои seed-фразы. Воспользовавшись Ledger Recover, они смогут обратиться за помощью к компании, подтвердить свою личность и восстановить приватный ключ.
По словам руководителя отдела коммуникаций Ledger Филиппа Костигана, новая функция не означает, что само устройство обменивается данными с хранителями через Интернет, поскольку сами кошельки «не имеют WiFi или любой другой возможности подключения к Интернету».
Чтобы передать зашифрованные части seed-фразы, пользователям необходимо подключить свой кошелек к телефону с приложением Ledger через Bluetooth, пояснил Костиган. Тот же механизм используется для одобрения транзакций, когда владельцы Ledger хотят потратить криптовалюты из своих устройств.
По словам Костигана, сначала пользователи подтверждают свою личность с помощью Onfido и Tessi через мобильное приложение Ledger. «Ledger, Coincover и EscrowTech не проверяют и не хранят удостоверения личности людей», — подчеркнул он.
После этого устройство получает запрос на создание резервной копии. Копия шифруется, делится на фрагменты с помощью техники Shamir's Secret Sharing и передается в Ledger, Coincover и EscrowTech, пояснил Костиган. Каждый кастодиан получает на хранение один фрагмент, который сам по себе бесполезен.
Когда пользователю потребуется восстановление, любые два из трех хранителей «отправят фрагменты seed-фразы обратно на устройство для восстановления закрытого ключа».
Ранее обновление также вызвало активные споры на платформе Reddit, некоторые участники обсуждения заявили, что намерены отказаться от продуктов Ledger.
Полезный материал?
Рынки
Из-за дефицита предложения курс актива на премаркете поднимался выше $1000
16 дек. 2024 г.
Происшествия
Сообщения о взломе биржи с призывами выводить активы начали распространяться 13 декабря
13 дек. 2024 г.
Крипторегулирование
Изменения не затронут стейблкоины от эмитента Circle
12 дек. 2024 г.
Крипторегулирование
Платформа запустится после выполнения предварительных условий местного валютного управления
9 дек. 2024 г.
Рынки
Показатель в 1,1 млрд долларов был достигнут после коррекции биткоина
6 дек. 2024 г.
Крипторегулирование
К началу января все открытые позиции и займы местных пользователей будут закрыты и погашены в автоматическом режиме
5 дек. 2024 г.