Dziś (tj. 16.05.2023) Ledger, jeden z wiodących producentów sprzętowych portfeli kryptowalutowych („cold wallet”) służących jako dodatkowe zabezpieczenie dla naszych kryptowalut wprowadził kontrowersyjną aktualizację o numerze wersji 2.2.1. Nowe oprogramowanie „umożliwi” użytkownikom udostępnienie „fragmentów” swojego hasła złożonego z fraz seed partnerom firmy Ledger, którzy całkowicie altruistycznie i bez jakichkolwiek zastrzeżeń co do bezpieczeństwa i prywatności przechowają nasze hasła, pozwalając je odzyskać w razie gdybyśmy ich zapomnieli. W internecie rozpętała się burza.
Ledger chce wykuć Pierścień Władzy, ale użyje go do zbożnych celów
Nowa aktualizacja na pierwszy rzut oka brzmi niewinnie: uruchamiana jest nowa usługa Ledger Recover, która pozwoli użytkownikowi na dodatkową szansę w przypadku utraty hasła złożonego z fraz seed. Po prostu musi wyrazić zgodę („opt-in”) na nową funkcjonalność i firma przyjdzie mu z pomocą w momencie największej potrzeby. Wystarczy tylko identyfikacja (jak dowód osobisty / paszport). Sceptycy zastanowią się jednak, w jaki sposób dzieje się magia, czyli jak to wygląda „od kuchni”.
Otóż okazuje się, że producent portfeli sprzętowych wyśle swoich partnerom biznesowym fragmenty naszego hasła podzielonego na trzy części, które w razie sytuacji alarmowej zostanie złożone do kupy. Nagle okazuje się, że wcześniejsze zapewnienia Ledgera o tym, że jesteśmy jedyną osobą która pilnuje naszych kryptowalut okazują się fałszywe.
Jeden pierścień by wszystkimi rządzić, jeden by wszystkie odnaleźć
Mudit Gupta, dyrektor ds. bezpieczeństwa danych w Polygon Labs, porównał sytuację do przemysłu telefonów komórkowych, gdzie utraty „bezpiecznych” danych mają miejsce regularnie. „Identity theft”, czyli łamanie zabezpieczeń polegających na weryfikacji tożsamości, to powszechność, a fakt że Ledger wpadł na taki pomysł bardzo źle o nim świadczy.
CEO Binance, Changpeng Zhao, także skomentował ruch producenta portfeli, kwestionując wcześniejsze zapewnienia Ledgera.
Zobacz też: Co można zrobić w 15 sekund? Wygrać mecz w piłkę ręczną i stworzyć zupełnie nowe kryptowaluty
„A więc seedy mogą opuścić urządzenie? Brzmi zupełnie inaczej niż dotychczasowe „Twoje klucze nigdy nie opuszczają urządzenia” – stwierdził.
Inni postanowili poszukać wyjaśnień „u źródła” i postanowili zapytać firmy w serwisie Reddicie wprost: czy portfele Ledger umożliwiając taką funkcję posiadają wbudowany „backdoor”, czyli sekretne „tylne wejście” o którym użytkownicy nie mają pojęcia? Czy posiadała go wcześniej?
Współzałożyciel Ledgera o pseudonimie na Reddicie btchip odpisał po prostu:
„Po aktywowaniu tej funkcji urządzenie zabezpiecza hasło przez wysłanie go do trzech firm. Oczywiście można zamiast tego zabezpieczyć hasło własnoręcznie”.
Czy taka odpowiedź Was satysfakcjonuje? Mnie nie.
Zobacz też: Auć! Według CEO Ripple (XRP) wydało już 200 milionów dolarów na spór sądowy z SEC
Producent miał wcześniej problemy z bezpieczeństwem
Cała sytuacja wybrzmiewa tym gorzej, że Ledger miał już wcześniej problemy z przechowywaniem w bezpieczny sposób danych swoich użytkowników. W 2020 r. miał miejsce duży wyciek informacji osobistych, takich jak imiona, nazwiska i adresy. I choć producent twierdzi, że luka została załatana niezwłocznie, to niesmak w ustach u wielu ludzi pozostał. Teraz producent postanowił de facto strzelić sobie w stopę.
Znany w branży inwestor o pseudonimie DCInvestor, skomentował: „ostatnią rzeczą jaką chcesz dać tym ludziom to swój klucz prywatny (do portfela – przyp. red.)”.
Co sądzicie o fukcjonalności Ledger Recovery i o samej firmie?
Może Cię zainteresować: