Ledger odpowiada na obawy klientów dotyczące bezpieczeństwa portfela, ale usuwa mylące” tweety

Ledger odpowiada na obawy klientów dotyczące bezpieczeństwa portfela, ale usuwa mylące” tweety

Dyskusje w Internecie nadal toczą się wokół nowej aktualizacji oprogramowania sprzętowego Ledgera dla portfela sprzętowego kryptowalut, która zdaniem ekspertów może narazić klucze prywatne użytkowników na ryzyko.

Ledger zamieścił w środę wątek na Twitterze, próbując rozwiać obawy dotyczące bezpieczeństwa aktywów użytkowników, ale opublikował sprzeczny i mylący tweet, który jeszcze bardziej podsycił kontrowersje.

Niepokojący tweet Ledgera

W usuniętym już tweecie Ledger Support potwierdził środową krytykę i ujawnił problematyczną rzeczywistość związaną z używaniem swojego produktu: producent mógłby technicznie udostępnić oprogramowanie sprzętowe, które wyodrębnia klucze prywatne użytkowników z ich portfeli.

„Bez względu na to, czy wiedziałeś, czy nie, zawsze ufałeś Ledgerowi, że nie dostarczy takiego oprogramowania” – napisała firma.

Usunięty tweet Ledgera. 17.05.23

Jest to sprzeczne z twierdzeniami spółki Konto głównew listopadzie ubiegłego roku, w którym Ledger stwierdził, że kluczy prywatnych użytkownika nie można wyodrębnić z chipa Secure Element portfela poprzez aktualizację oprogramowania sprzętowego.

W tym czasie Ledger i inni twórcy portfeli odnotowali rekordową sprzedaż po upadku FTX, ponieważ inwestorzy kryptowalut szukali bezpieczeństwa w postaci samodzielnej opieki i przechowywania w chłodni swoich aktywów kryptograficznych.

W czwartek Ledger zwanyże zdecydował się usunąć jego środowy tweet ze względu na „mylące sformułowania”. Jednakże dyrektor techniczny Ledger, Charles Guillemet, zamieścił kolejny wątek wyjaśniający, że portfele ogólnie mają „wiele sposobów” na wdrożenie backdoora i że przy każdym zakupie portfela strony trzeciej wymagany jest pewien poziom zaufania.

22/
Jeśli chcesz być całkowicie godny zaufania, musisz nauczyć się elektroniki, aby zbudować swój komputer, nauczyć się ASM, aby zbudować kompilator, a następnie zbudować stos portfela, własny węzeł i synchronizator, musisz nauczyć się kryptografii, aby zbudować własny stos podpisów.

— Charles Guillemet (@P3b7_) 18 maja 2023 r

„Open source tak naprawdę nie rozwiązuje tego problemu” – dodał. „Nie ma gwarancji, że sama elektronika nie zawiera backdoora ani że oprogramowanie sprzętowe działające w portfelu jest tym, które przetestowałeś”.

Odzyskiwanie księgi

Krytyka wobec Ledgera wzrosła w środę po tym, jak firma ogłosiła nową usługę portfela sprzętowego „Ledger Recover”. Za zgodą użytkownika usługa dzieli klucze prywatne portfela na trzy części, szyfruje je i przechowuje u trzech oddzielnych dostawców centralnych – z których jednym jest Ledger.

Usługa subskrypcji wymaga od użytkowników podania danych osobowych przed skorzystaniem z niej. W zamian użytkownicy mają możliwość odzyskania swoich kluczy prywatnych w przypadku utraty zarówno urządzenia sprzętowego, jak i papierowej kopii zapasowej fraz początkowych.

Społeczność kryptograficzna skrytykowała usługę i związaną z nią aktualizację oprogramowania sprzętowego, ponieważ dodała ścieżkę kodu, która może wysyłać klucze prywatne stronom trzecim. Wielu ekspertów, w tym programiści i recenzenci „foobar”, zalecało obserwującym zaprzestanie korzystania z urządzeń firmy.

Jeśli masz księgę, Twoje klucze nie są (jeszcze) zagrożone. Jednak po aktualizacji do najnowszego oprogramowania sprzętowego utknie ono na ścieżce kodu, która może wysłać Twój klucz prywatny osobom trzecim. Biorąc pod uwagę, że Ledger w przeszłości torturował swoich klientów, jest mało prawdopodobne, że będą oni chronić te informacje

— foobar (@0xfoobar) 16 maja 2023 r

.