В Интернете продолжаются дискуссии вокруг нового обновления прошивки для аппаратного криптокошелька Ledger, которое, по мнению экспертов, может подвергнуть риску личные ключи пользователей.
В среду компания Ledger опубликовала сообщение в Twitter, в котором попыталась развеять опасения по поводу безопасности активов пользователей, но опубликовала самопротиворечивый и путаный твит, который еще больше разжег пламя споров.
Тревожный твит Леджера
В удаленном твите компания Ledger подтвердила критику, прозвучавшую в среду и раскрывающую неприятную реальность использования их продукта: производитель технически может выпустить прошивку, которая извлекает закрытые ключи пользователей из их кошельков.
"Вы всегда доверяли Ledger, что она не будет устанавливать такие микропрограммы, независимо от того, знали вы об этом или нет", - написала компания.
Это противоречит заявлению из основного аккаунта компании в ноябре прошлого года, в котором Ledger утверждала, что приватные ключи пользователей не могут быть извлечены из чипа защищенного элемента кошелька через обновление прошивки.
В то время Ledger и другие производители кошельков регистрировали рекордные продажи после краха FTX, так как криптоинвесторы стремились обеспечить безопасность самостоятельного хранения своих криптоактивов.
В четверг компания Ledger заявила, что решила удалить свой твит, опубликованный в среду, из-за его "запутанной формулировки". Однако технический директор Ledger Шарль Гиллемет опубликовал сообщение, в котором объяснил, что у кошельков в целом "много способов" реализовать бэкдор, и что при покупке любого стороннего кошелька требуется определенный уровень доверия.
22/
Если вы хотите быть полностью лишенным доверия, вам придется изучать электронику, чтобы создать свой компьютер, изучать ASM, чтобы создать свой компилятор, затем создать стек кошельков, свой собственный узел и синхронизатор, вам придется изучать криптографию, чтобы создать свой собственный стек подписей.- Charles Guillemet (@P3b7_) 18 мая 2023 г.
"Открытый исходный код на самом деле не решает эту проблему", - добавил он. "Невозможно иметь гарантии, что сама электроника не подделана, или что прошивка, которая работает внутри кошелька, является той, которую вы проверяли".
Восстановление бухгалтерской книги
Критика в адрес Ledger разбухла в среду после того, как компания объявила о новой услуге аппаратного кошелька "Ledger Recover". С разрешения пользователя сервис разбивает приватные ключи кошелька на три осколка, шифрует их и хранит у трех отдельных централизованных провайдеров, одним из которых является Ledger.
Услуга подписки требует от пользователей предоставления личной идентифицирующей информации перед ее использованием. Взамен пользователи получают способ восстановления своих закрытых ключей в случае утери как аппаратного устройства, так и бумажной резервной копии.
Криптосообщество осудило эту услугу и связанное с ней обновление прошивки за добавление пути кода, который может передавать закрытые ключи третьим лицам. Многие эксперты, включая разработчика и аудитора "foobar", рекомендовали последователям прекратить использование устройств компании.
ИсточникЕсли у вас есть бухгалтерская книга, ваши ключи не скомпрометированы (пока). Но если вы обновите прошивку до последней версии, в нее будет вставлен путь кода, который может передать ваш закрытый ключ третьим лицам. Учитывая, что в прошлом компания ledger выставляла своих клиентов на всеобщее обозрение, маловероятно, что они будут хранить эту информацию в безопасности.
- foobar (@0xfoobar) 16 мая 2023 г.