#cryptonews #crypto2023 #dyor #BTC #security
Ledger, wiodący dostawca portfeli sprzętowych do kryptowalut, wywołał burzę kontrowersji w społeczności kryptowalut dzięki swojej najnowszej usłudze Ledger Recover. Funkcja oparta na identyfikacji użytkownika (ID) ma na celu umożliwienie odzyskania kluczy dostępu do portfeli kryptowalut. Oświadczenie spotkało się jednak z ostrą krytyką i obawami dotyczącymi bezpieczeństwa.
Nowo wprowadzone narzędzie Ledger Recover ma na celu zapewnienie rozwiązania kopii zapasowej w przypadku utraconej frazy początkowej lub frazy odzyskiwania, która jest tajnym kluczem składającym się z 12 do 24 słów używanym do uzyskania dostępu do portfela kryptowalut i odzyskania powiązanych środków w razie potrzeby .
Nowa usługa Ledger dzieli frazę odzyskiwania na trzy fragmenty i wysyła je do zaufanych stron trzecich. Jak podaje The Block, po połączeniu i odszyfrowaniu informacje te można wykorzystać do zrekonstruowania oryginalnej frazy.
Jednak propozycja wywołała gorącą debatę wśród użytkowników i ekspertów ds. bezpieczeństwa, głównie ze względu na wymagania związane z zasadą „Know Your Customer” (KYC). Aby skorzystać z usługi odzyskiwania, użytkownicy muszą przedstawić paszport lub krajowy dokument tożsamości w celu potwierdzenia swojej tożsamości. Wielu entuzjastów kryptowalut ceni swoją prywatność i uważa, że żądanie identyfikatora jest sprzeczne ze zdecentralizowanymi zasadami walut cyfrowych.
„To okropny pomysł, NIE włączaj tej funkcji” – radził na Twitterze Mudit Gupta, dyrektor ds. bezpieczeństwa w Polygon Labs. To zdanie zostało powtórzone przez znanego inwestora kryptograficznego znanego jako „DC Investor”, który stwierdził: „Nie polecałbym nikomu aktualizacji takiego oprogramowania”.
Gupta bronił koncepcji fragmentacji frazy zalążkowej, uznając ją za krok pozytywny. Zaznaczył jednak, że zaszyfrowane klucze wysyłane są do „3 korporacji”, które potencjalnie mogłyby mieć możliwość zrekonstruowania frazy.
Funkcja Ledger Recover jest zawarta w najnowszej wersji oprogramowania sprzętowego 2.2.1 dla portfeli sprzętowych Ledger Nano X. Obecnie wymóg rejestracji tożsamości dotyczy użytkowników z Unii Europejskiej, Wielkiej Brytanii, Kanady i Stanów Zjednoczonych, przy czym firma planuje w przyszłości dodać obsługę dokumentów wydawanych przez inne rządy.
Według Wired usługa będzie kosztować 9,99 dolarów miesięcznie i będzie opierać się na trzech depozytariuszach: Ledger, Coincover i EscrowTech.
„To katastrofa, która może się wydarzyć” – skomentował użytkownik Reddita. „Naprawdę nie mogę uwierzyć w to, co czytam. To szaleństwo, że dostawca portfela sprzętowego zachęca Cię do utworzenia kopii zapasowej początkowej frazy online ORAZ [RÓWNIEŻ] przekazania mu paszportu/dowodu osobistego”.
Pomimo tego, że współzałożyciel i wiceprezes Innovation Lab w Ledger, Nicolas Bacca, odpowiedział na obawy użytkowników na Reddicie, wiele osób ponownie wyraziło swoje obawy dotyczące praktyk bezpieczeństwa i potencjału złośliwych aktorów do wykorzystania funkcjonalności i uzyskania dostępu do kluczy, co skutkuje kryptowalutą kradzież.
Adrian Hetman, kierownik technologii na platformie ImmuneFi do nagradzania błędów Web3, podkreślił ryzyko związane z tym narzędziem, stwierdzając, że zapewnia ono złośliwemu aktorowi mającemu dostęp do paszportu lub dokumentu tożsamości użytkownika możliwość przejęcia kontroli nad jego funduszami. „Kradzież tożsamości jest powszechna, a to naraża użytkowników kryptowalut na nową formę ataku” – powiedział Hetman Decrypt.
Pomimo wielokrotnej krytyki Ledger bronił swojej nowej funkcji odzyskiwania. W e-mailu wysłanym do The Block rzecznik Ledger wyjaśnił, że proces odszyfrowania trzech fragmentów może nastąpić wyłącznie na urządzeniu Ledger, po zweryfikowaniu przez użytkownika swojej tożsamości. Rzecznik podkreślił, że zainteresowane firmy nie mają w żaden sposób dostępu do frazy początkowej i jest to usługa płatna.
Trzy firmy zabezpieczające fragmenty „nigdy nie mają dostępu do Twojej frazy początkowej, nie jest ona przechowywana „w chmurze”, a kopie zapasowe są szyfrowane, fragmentowane i odszyfrowywane wyłącznie bezpośrednio w Twojej księdze, jeśli ją subskrybujesz. Zatem, jeśli jesteś Księgą rachunkową użytkownik, który chce korzystać z księgi głównej tak jak dotychczas, nadal możesz to zrobić bez obaw. Nic się dla Ciebie nie zmieni.
Ledger to jeden z największych dostawców portfeli sprzętowych dla inwestorów kryptowalutowych. Firma spotykała się już wcześniej z krytyką, zwłaszcza po naruszeniu danych w 2020 r., w wyniku którego ujawniono numery telefonów, adresy fizyczne prawie 300 000 klientów i ponad 1 milion adresów e-mail.
