Księga jest pod ostrzałem, ponieważ rzekomo ujawniła frazy nasion użytkownika
Dostawca portfela sprzętowego kryptograficznego Ledger zebrał gwałtowne reakcje z bazy użytkowników online po opublikowaniu kontrowersyjnej aktualizacji, wielu obawia się, że producent ma duże luki w zakresie bezpieczeństwa.
Ledger twierdził, że nowa funkcjonalność jest zarówno bezpieczna, jak i całkowicie opcjonalna, ale eksperci ds. Bezpieczeństwa i posiadacze kryptograficznych są już odległości od firmy.
Kontrowersyjna usługa odzyskiwania z Ledger
Obawy zaczęły trwać późny poniedziałek po użytkowniku Reddit Joe_smith _reddit opublikowanym Post Proszę o oficjalne „tak lub nie”, czy LEDGER ma drzwi do dostępu do prywatny Keys. Kluczem prywatnym jest tajny ciąg alfanumeryczny, który umożliwia użytkownikom dostęp do ich krypto w blockchain.
Pytanie Smiths odniesione do nowej Ledger „Ledger Recovery” Service-A abo Service przywracanie frazy jest jednym z prywatnych użytkowników kluczowych, wyrażonych w formie mnemonic.
Według Ledger, usługa aktywacji w aktualizacji oprogramowania układowego 2.2.1 polegająca na wydaniu wyrażenia przywracania urządzenia na urządzeniu, szyfrując kopię, fragmentację w trzech częściach i zabezpieczenie za pomocą Ledger, CO-Cover i trzeciego niepodejmowania usługodawcy. Aby móc uzyskać dostęp do usługi, użytkownicy muszą zweryfikować swoją tożsamość w oparciu o dokument identyfikacyjny i nagranie selfie.
Kolejne Twittera Ledger wyjaśnił, że usługa jest całkowicie „opcjonalna” i nie jest automatycznie aktywowana przez aktualizację oprogramowania. Nie mamy do tego dostępu ” - dodała firma.
Czy Ledger może „tworzyć” prywatne klucze użytkowników?
Pomimo zapewnień księgowych społeczność nadal rosła obaw o kluczowy pomysł: aktualizacja wykazała, że w przeciwieństwie do twierdzeń producenta, urządzenia Ledger nie chronią prywatnych kluczy użytkowników przed dostępem zewnętrznym.
„Zaufanie, że zastrzeżony bezpieczny element wkłada swój wkład, było jedynym wątkiem związanym z tą firmą, a teraz został odcięty”, napisał we wtorek użytkownik Reddit w odpowiedzi na Ledger. „Nie mogę już polecać Ledger, dla którego jego cyfrowa suwerenność jest ważna”.
Popularny programista kryptograficzny, autor i egzaminator „foobar” na Twitterze powtórzył tę reakcję i poprosił swoich obserwujących o odejście od portfeli księgi.
przestań za pomocą portfeli sprzętowych Ledger. Odejdź od nich natychmiast. Nie pokazali nic oprócz rażącej niekompetencji i całkowitego nieporozumienia własnych intencji. A teraz publicznie przyznałeś, że celowo dostarczyłeś własnego zastrzeżonego sprzętu z tylnymi drzwiami. Przestań używać Ledger pic.twitter.com/llffusow4y
-foobar (@0xfoobar) 16.
„Rażący problem z tą aktualizacją polega na tym, że klucz prywatny może zostać uszkodzony w dowolnym momencie przez złośliwą lub przypadkową aktualizację oprogramowania układowego”, powiedział Dodano .
inni użytkownicy To klasa mistrzowska, która może zniszczyć Twój podstawowy biznes z próbą „innowacyjnego”.
Poleciłem ci, nawet po tym, jak wysadziłem Twoich klientów, ale to ostatni kropla, która powoduje przepełnienie lufy.
✌️
-Chris Dunn (@chrisdunntv) 16.
Wielu w społeczności zaleca Ledger do wprowadzenia oddzielnego portfela, który oferuje usługi odzyskiwania nasion zamiast zapewniać ją jako aktualizację oprogramowania układowego dla istniejących klientów, którzy oczekują maksymalnego bezpieczeństwa z ich urządzeń.
Ledger ma narażone na szwank w przeszłości przez fakt, że w lipcu 2020 r. Dane osobiste zostały przypadkowo wydane z kampanii e-mail i e-maili SMS-Phishing. Ten wyciek nie miał wpływu na bezpieczeństwo prywatnego klucza użytkowników.
sprzedaż księgi style =" Font-Weight: 400 "> po upadku FTX w listopadzie, zwłaszcza jako inwestor, próbował bezpiecznie chronić własną kryptowalutę bez zaufania scentralizowanych pośredników.
.