يستجيب ليدجر لمخاوف العملاء بشأن أمان المحفظة ولكنه يحذف التغريدات المربكة.

يستجيب ليدجر لمخاوف العملاء بشأن أمان المحفظة ولكنه يحذف التغريدات المربكة.

لا تزال المناقشات عبر الإنترنت تدور حول تحديث البرنامج الثابت الجديد لشركة Ledger لمحفظة أجهزة التشفير الخاصة بها، والذي يقول الخبراء إنه قد يعرض المفاتيح الخاصة للمستخدمين للخطر.

نشر ليدجر موضوعًا على تويتر يوم الأربعاء يحاول فيه معالجة المخاوف بشأن أمان أصول المستخدمين، لكنه نشر تغريدة متناقضة ومربكة أدت إلى زيادة الجدل.

تغريدة ليدجر المثيرة للقلق

وفي تغريدة محذوفة الآن، اعترفت شركة Ledger Support بانتقادات يوم الأربعاء وكشفت عن حقيقة إشكالية حول استخدام منتجها: يمكن للشركة المصنعة من الناحية الفنية إصدار البرامج الثابتة التي تستخرج المفاتيح الخاصة للمستخدمين من محافظهم.

وكتبت الشركة: "سواء كنت تعلم ذلك أم لا، فقد كنت تثق دائمًا في ليدجر بعدم توفير مثل هذه البرامج الثابتة".

تغريدة ليدجر المحذوفة. 17/05/23

وهذا يتناقض مع ادعاء الشركة الحساب الرئيسيفي نوفمبر الماضي، ادعى ليدجر أنه لا يمكن استخراج المفاتيح الخاصة للمستخدم من شريحة Secure Element الخاصة بالمحفظة من خلال تحديث البرنامج الثابت.

في ذلك الوقت، شهد ليدجر وغيره من صانعي المحافظ مبيعات قياسية بعد انهيار FTX حيث سعى مستثمرو العملات المشفرة إلى الأمان من خلال الحراسة الذاتية والتخزين البارد لأصولهم المشفرة.

يوم الخميس، ليدجر مُسَمًّىأنها قررت حذف تغريدته يوم الأربعاء بسبب “صياغتها المربكة”. ومع ذلك، نشر Ledger CTO Charles Guillemet موضوع متابعة يوضح أن المحافظ بشكل عام لديها "عدة طرق" لتنفيذ باب خلفي وأن مستوى معين من الثقة مطلوب عند أي عملية شراء لمحفظة من طرف ثالث.

22/
إذا كنت تريد أن تكون جديرًا بالثقة تمامًا، فأنت بحاجة إلى تعلم الإلكترونيات لبناء جهاز الكمبيوتر الخاص بك، وتعلم ASM لبناء برنامج التحويل البرمجي الخاص بك، ثم إنشاء حزمة المحفظة، والعقدة الخاصة بك والمزامن، وتحتاج إلى تعلم التشفير لبناء حزمة التوقيع الخاصة بك.

– تشارلز جيليميت (@P3b7_) 18 مايو 2023

وأضاف: "المصدر المفتوح لا يحل هذه المشكلة حقًا". "ليس هناك ما يضمن أن الأجهزة الإلكترونية نفسها ليست ذات أبواب خلفية أو أن البرامج الثابتة التي تعمل في المحفظة هي التي قمت باختبارها."

استرداد دفتر الأستاذ

تزايدت الانتقادات الموجهة إلى ليدجر يوم الأربعاء بعد أن أعلنت الشركة عن خدمة محافظ الأجهزة الجديدة الخاصة بها، "Ledger Recover". وبإذن المستخدم، تقوم الخدمة بتقسيم المفاتيح الخاصة للمحفظة إلى ثلاثة أجزاء، وتشفيرها وتخزينها في ثلاثة موفري مركزيين منفصلين - أحدهم هو Ledger.

تتطلب خدمة الاشتراك من المستخدمين تقديم معلومات التعريف الشخصية قبل الاستخدام. في المقابل، يتم منح المستخدمين الفرصة لاستعادة مفاتيحهم الخاصة في حالة فقدان كل من أجهزتهم والنسخة الاحتياطية من ورق العبارة الأساسي.

انتقد مجتمع العملات المشفرة الخدمة وتحديث البرامج الثابتة المرتبطة بها لأنها أضافت مسارًا برمجيًا يمكنه إرسال مفاتيح خاصة إلى أطراف ثالثة. وأوصى العديد من الخبراء، ومن بينهم مطورو ومراجعو “foobar”، المتابعين بالتوقف عن استخدام أجهزة الشركة.

إذا كان لديك دفتر حسابات، فإن مفاتيحك ليست في خطر (حتى الآن). ومع ذلك، عند التحديث إلى أحدث البرامج الثابتة، فإنه يعلق في مسار التعليمات البرمجية الذي يمكنه إرسال مفتاحك الخاص إلى أطراف ثالثة. وبالنظر إلى أن ليدجر لديه تاريخ في تعذيب عملائه، فمن غير المرجح أن يحافظوا على أمان هذه المعلومات

- فوبار (@0xfoobar) 16 مايو 2023

.