Ledger под огнем за якобы раскрытие семенных фраз пользователей

Поставщик криптовалютных аппаратных кошельков Ledger получает серьезные отклики от своих онлайн-пользователей после выпуска спорного обновления, которое, как многие опасаются, раскрывает серьезные недостатки в системе безопасности производителя.

Ledger утверждает, что новая функциональность безопасна и совершенно необязательна, но эксперты по безопасности и держатели криптовалют уже дистанцируются от компании.

Спорная услуга по восстановлению Леджера

Обеспокоенность начала нарастать в понедельник, после того как пользователь Reddit Joe_Smith _Reddit опубликовал сообщение с просьбой дать официальный ответ "да или нет" на вопрос, есть ли в Ledger встроенный бэкдор для доступа к приватным ключам пользователей. Закрытый ключ - это секретная буквенно-цифровая строка, которая позволяет пользователям получить доступ к своим криптовалютам на блокчейне.

Вопрос Смита касался новой услуги Ledger "Ledger Recover" - подписки для владельцев устройств Nano X, которая позволяет восстановить криптовалюту, даже если они потеряли и устройство кошелька, и фразу восстановления. Фраза восстановления - это закрытый ключ пользователя, выраженный в мнемонической форме.

Согласно Ledger, сервис, включенный в обновлении прошивки 2.2.1, работает путем дублирования фразы восстановления устройства на устройстве, шифрования копии, фрагментации ее на три части и защиты с помощью Ledger, Coincover и третьего неназванного поставщика. Чтобы получить доступ к услуге, пользователи должны подтвердить свою личность с помощью документа, удостоверяющего личность, и записи selfie.

В последующем сообщении в Twitter во вторник Леджер уточнил, что эта услуга является полностью "необязательной" и не включается автоматически при обновлении прошивки. "Ваша секретная фраза восстановления безопасно генерируется на вашем устройстве. У нас нет к ней доступа", - добавили в компании.

Может ли Ledger "коверкать" личные ключи пользователей?

Несмотря на заверения Ledgers, обеспокоенность сообщества продолжала нарастать вокруг одной ключевой идеи: обновление доказало, что устройства Ledger, несмотря на заявления производителя, не защищают закрытые ключи пользователей от любого внешнего доступа.

"Доверие к проприетарному защищенному элементу было единственной нитью, которая удерживала эту компанию вместе, а теперь она разорвана", - написал пользователь Reddit StPinkie в ответ Ledger во вторник. "Я больше не могу рекомендовать Ledger никому, кому не наплевать на свой цифровой суверенитет".

Популярный крипторазработчик, писатель и аудитор "foobar" в Twitter поддержал эту реакцию, призвав последователей немедленно отказаться от кошельков Ledger.

Перестаньте использовать аппаратные кошельки Ledger. Немедленно переходите от них. Они не показали ничего, кроме грубой некомпетентности и дикого непонимания своего собственного предназначения. А теперь они публично признались в намеренном использовании своего собственного аппаратного обеспечения. Прекратите использовать Ledger pic.twitter.com/LLFFUsOW4y

- foobar (@0xfoobar) 16 мая 2023 г.

"Главная проблема этого обновления заключается в том, что оно раскрывает ваш закрытый ключ, который может быть в любой момент подделан с помощью вредоносного или ошибочного обновления прошивки", - добавил он.

Другие пользователи отметили противоречие между утверждениями компании Ledger на своем сайте о том, что ключи пользователей "никогда не покидают устройство", и услугой Ledger Recover, которая "распределяет" закрытые ключи пользователей трем различным провайдерам в виде осколков, по словам генерального директора Паскаля Готье.

Это мастер-класс по тому, как убить свой основной бизнес, пытаясь внедрить "инновации".

Я продолжал рекомендовать вас, ребята, даже после домогательств к вашим клиентам, но это стало последней каплей.

✌️

- Крис Данн (@ChrisDunnTV) 16 мая 2023 г.

Многие члены сообщества рекомендовали компании Ledger запустить отдельный кошелек, предлагающий услугу восстановления семян, а не распространять ее в виде обновления прошивки для существующих клиентов, которые ожидают максимальной безопасности от своих устройств.

В прошлом компания Ledger уже нарушала безопасность пользователей: в июле 2020 года произошла случайная утечка личной информации о более чем 270 000 клиентов, которые впоследствии стали жертвами фишинговых кампаний по электронной почте и SMS. Эта утечка не повлияла на безопасность личных ключей пользователей.

Продажи Ledger резко возросли после краха FTX в ноябре, именно потому, что инвесторы стремились надежно защитить свои собственные криптовалюты, не доверяя централизованным посредникам.