A Ledger válaszol az ügyfelek pénztárca biztonságával kapcsolatos félelmeire, de törli a zavaró” tweeteket

A Ledger válaszol az ügyfelek pénztárca biztonságával kapcsolatos félelmeire, de törli a zavaró” tweeteket

Az online viták továbbra is a Ledger kripto hardvertárcájának új firmware-frissítése körül forognak, amely szakértők szerint veszélybe sodorhatja a felhasználók privát kulcsait.

Ledger egy Twitter-szálat tett közzé szerdán, hogy megpróbálja eloszlatni a felhasználók eszközeinek biztonságával kapcsolatos aggályokat, de egy ellentmondásos és zavaró tweetet tett közzé, amely tovább szította a vitát.

Ledger aggasztó tweetje

Egy most törölt tweetben a Ledger Support elismerte a szerdai kritikát, és feltárt egy problémás valóságot terméke használatával kapcsolatban: a gyártó technikailag kiadhatja a firmware-t, amely kiveszi a felhasználók privát kulcsait a pénztárcából.

„Akár tudta, akár nem, mindig bízott a Ledgerben, hogy nem biztosít ilyen firmware-t” – írta a cég.

Ledger törölt tweetje. 05/17/23

Ez ellentmond a cég állításának Fő számlatavaly novemberben, amelyben Ledger azt állította, hogy a felhasználói privát kulcsokat nem lehet kinyerni a pénztárca Secure Element chipjéből firmware-frissítéssel.

Abban az időben a Ledger és más pénztárcagyártók rekordeladásokat tapasztaltak az FTX összeomlása után, miközben a kriptobefektetők kriptoeszközeik saját őrzésének és hideg tárolásának biztonságát keresték.

Csütörtökön, Ledger hívotthogy úgy döntött, hogy törli szerdai tweetjét annak „zavaros megfogalmazása” miatt. Charles Guillemet, a Ledger műszaki igazgatója azonban közzétett egy nyomon követési szálat, amelyben elmagyarázza, hogy a pénztárcák általában „sokféle módon” valósíthatnak meg egy hátsó ajtót, és hogy bizonyos szintű bizalomra van szükség minden harmadik féltől származó pénztárcavásárláshoz.

22/
Ha teljesen megbízható akar lenni, meg kell tanulnia az elektronikát a számítógép felépítéséhez, meg kell tanulnia az ASM-et a fordítóprogram elkészítéséhez, majd pénztárcavermet, saját csomópontot és szinkronizálót kell készítenie, meg kell tanulnia kriptográfiát a saját aláírási verem létrehozásához.

– Charles Guillemet (@P3b7_) 2023. május 18

"A nyílt forráskód nem igazán oldja meg ezt a problémát" - tette hozzá. "Nincs garancia arra, hogy maga az elektronika nincs hátsó ajtóval, vagy hogy a pénztárcában futó firmware az, amelyet Ön tesztelt."

Főkönyvi helyreállítás

A Ledgerrel kapcsolatos kritika szerdán megnövekedett, miután a vállalat bejelentette új hardveres pénztárca szolgáltatását, a „Ledger Recover”-t. Felhasználói engedéllyel a szolgáltatás a pénztárca privát kulcsait három darabra osztja, titkosítja és három külön központi szolgáltatónál tárolja – ezek közül az egyik a Ledger.

Az előfizetéses szolgáltatás használat előtt megköveteli a felhasználóktól, hogy személyes azonosító adatokat adjanak meg. Cserébe a felhasználók lehetőséget kapnak arra, hogy visszaszerezzék privát kulcsaikat, ha elveszítenék a hardvereszközüket és az alapfrekvencia-papír biztonsági másolatukat is.

A titkosítási közösség kritizálta a szolgáltatást és a hozzá tartozó firmware-frissítést, mert olyan kódútvonalat adott hozzá, amely privát kulcsokat küldhet harmadik feleknek. Sok szakértő, köztük a fejlesztők és a "foobar" véleményezők, azt javasolta a követőknek, hogy hagyják abba a cég eszközeinek használatát.

Ha van főkönyve, akkor a kulcsai (még) nincsenek veszélyben. Amikor azonban frissít a legújabb firmware-re, az elakad egy kódútvonalon, amely elküldheti a privát kulcsot harmadik feleknek. Tekintettel arra, hogy a Ledger már megkínozta saját ügyfeleit, nem valószínű, hogy ezeket az információkat biztonságban tartják

— foobar (@0xfoobar) 2023. május 16

.