- Хотя Ledger Recover является совершенно необязательным, компания отметила, что у тех, кто согласится, ключевые фразы будут храниться у трех разных сторон на криптографически защищенных аппаратных модулях безопасности.
- Сообщество было возмущено обновлением, поскольку в прошлом Ledger был скомпрометирован, что приводило к фишинговым атакам на пользователей.
Сайт аппаратного кошелька Ledger находится под пристальным вниманием после включения обновления программного обеспечения, которое может привести к утечке важных данных безопасности. В последнем обновлении прошивки, получившем название версии 2.2.1, компания из Парижа объявила о новой функции под названием Ledger Recover, якобы помогающей пользователям создавать резервные копии своих секретных фраз у третьей стороны с помощью системы идентификации.
Доступное на нескольких рынках — включая европейский, Канаду, США и Великобританию — обновление программного обеспечения было названо спорным, поскольку ранее компания Ledger рекламировала свои услуги как платформу для закрытых ключей без совместного использования.
В результате большинство пользователей кошелька Ledger были возмущены обновлением прошивки, которое может привести к потерям в миллиарды долларов. Аппаратный кошелек Ledger в прошлом уже подвергался взлому, в результате которого были раскрыты важные данные клиентов. Нарушение данных Ledger привело к фишинговой атаке на пострадавших пользователей.
С последним обновлением, которое называется необязательным, большинство пользователей Ledger скептически относятся к хранению большого количества цифровых активов, опасаясь атак «черного хода». Более того, это лишь вопрос времени, когда сторонние компании, занимающиеся восстановлением фраз, будут скомпрометированы, что приведет к потерям в миллиарды долларов.
Один из пользователей Twitter @oklahodl1 поделился видеозаписью, на которой видно, как Ledger Nano X уничтожается после анонса обновления прошивки. Несколько подобных видео появилось на различных платформах социальных сетей, поскольку пользователи Ledger призывают других отказаться от аппаратного кошелька.
Check out my new #ledger Nano X tutorial! pic.twitter.com/bxSN4tqtXP
— OKLAHODL (@oklahodl1) May 16, 2023
Оправдания Ledger
После огромного шума, поднятого криптосообществом, компания Ledger выступила в защиту обновления прошивки, заявив, что оно является необязательным. По словам технического директора Ledger Чарльза Гильмета, компания по-прежнему сосредоточена на самоохране и никогда не будет иметь или создавать бэкдор в кошельки пользователей.
Ledger Recover — это опциональная подписка для пользователей, которые хотят иметь резервную копию своей секретной фразы восстановления. Вам не обязательно пользоваться ею, и вы можете продолжать управлять своей фразой восстановления самостоятельно, если именно для этого вы купили Ledger,
Кроме того, Гиллемет отметил, что обмен секретными ключевыми фразами пользователей происходит по защищенному каналу между тремя различными компаниями. Примечательно, что зашифрованные фрагменты хранятся тремя разными сторонами на криптографически защищенных аппаратных модулях безопасности.
If you choose to subscribe, Ledger Recover encrypts a version of your private key and splits it into three fragments (using Shamir Secret Sharing) — all of this happens on the Secure Element chip, so your Secret Recovery Phrase is not at risk.
— Ledger (@Ledger) May 16, 2023
Компания разделила ключевые фразы на три разных третьих стороны, чтобы усилить самосохранение. Кроме того, отдельные зашифрованные фрагменты совершенно бесполезны, поскольку они не могут получить доступ к кошельку без верификации пользователя. «Когда вы захотите восстановить свои ключи, 2 из этих третьих сторон отправят свои фрагменты обратно на ваше устройство Ledger (а не нам как организации), которое сможет восстановить вашу секретную фразу восстановления», — говорится в сообщении Ledger.