freedmanclub.com
Последнее обновление аппаратного криптовалютного кошелька Ledger Nano X, вызвало резкую критику в сообществе. Новая функция Ledger Recover, вошедшая в обновление прошивки 2.2.1., раскрыла, что seed-фраза кошелька прописывается в чипах устройства и может быть восстановлена, а также может попасть в руки третьих лиц. По сути аппаратный кошелек Ledger открыто признал, что все эти годы вводил пользователей в заблуждение относительно надежности своих устройств и является скам разработкой.
В Ledger всегда утверждали, что приватный ключ хранится в отдельном чипе, который не имеет физически возможности поделиться этим ключом с внешним миром, включая прошивку. А на деле оказалось, что каким-то волшебным образом это возможно, и они попросту врали все эти годы.
Ledger заявляет, что функция Recover поможет усилить защиту кошелька
В компании указывают, что Ledger Recover как служба подписки, разрешает клиентам задействовать еще один уровень защиты своих закрытых ключей и делает кошелек еще более надежным.
Ledger Recover разбивает сид-фразу на 3 зашифрованные части, используя Shamir Secret Sharing. Фрагменты рассылают трем независимым компаниям. Объединение фрагментов и их расшифровка разрешаются после того, как пользователь подтвердит на устройстве Ledger свою личность. Эти компании не имеют доступа к исходной seed-фразе. Так, по крайней мере, утверждают в Ledger.
Новая услуга подписки доступна для устройств Ledger Nano X, а требование об удостоверении личности пока касается пользователей из:
- ЕС
- Англии
- Канады
- США.
Новая функция вызвала ожесточенную критику криптосообщества, которое признало, что Ledger — это ничто иное, как скам
В криптовалютном сообществе новую функцию встретили яростной критикой. Как сочли участники сообщества, новая функция предоставляет компании доступ к сид-фразам пользователей, подрывает смысл и предназначение аппаратного кошелька – сохранение seed-фразы при себе.
В частности, Биткоин-инвестор и предприниматель Алистер Милн считает, что конечно можно использовать новую услугу от Ledger и предоставить личные ключи, управляющие активами, а также копию удостоверения личности и другую личную информацию. Но в чем тогда смысл такого аппаратного кошелька?
А криптовалютный инвестор DCinvestor сослался на предыдущую утечку данных, указав, что несколько лет назад Ledger допустила утечку персональных данных пользователей. Где гарантии, что это не произойдет завтра?
С ним согласен и бизнесмен Крис Данн, указывая, что сначала компания допустила взлом почтовых адресов, номеров телефонов и адреса электронной почты своих клиентов, тоже ссылаясь на утечку данных Ledger, в 2020 году, а теперь якобы усиливает защиту.
В свою очередь Мудит Гупта, директор по информационной безопасности Polygon Labs, поделился своими размышлениями о новой функции. По его словам, это ужасная идея, и проблема в том, что части зашифрованных ключей отправляются трем корпорациям, и они могут делать с ними все, что угодно, если захотят, восстановят и получат доступ к кошельку без ведома клиента. Или они могут быть взломаны хакерами.
Функция подвергается критике еще и за требование прохождения процедуры регистрации (KYC). Регистрация требует от пользователей отправки фотографии удостоверения личности. Каким образом компания будет обеспечивать защиту личной информации клиентов, если ее уже неоднократно взламывали?
Репутация Ledger в плане хранения данных клиентов уже уничтожена
Ledger ранее сталкивалась с взломами. Напоминаем, что в декабре 2020 года, были похищены персональные данные 300 000 владельцев Ledger. В сети в открытом доступе оказались;
- имена,
- телефонные номера,
- адреса электронной почты,
- почтовые адреса.
Самое интересное, что взлом был осуществлен после еще одного, в июле 2020 года. Хакеры похитили 1 миллион электронных адресов пользователей.
Резюме: Ledger — скам
Новая функция Ledger Recover позволяет восстанавливать Seed-фразу с помощью третьих лиц. Фраза разделяется на 3 фрагмента и отправляется неизвестным сторонним людям/организациям в зашифрованном виде после одобрения пользователем. Затем ее можно восстановить, подтвердив свою личность через процедуру KYC с предоставлением паспортных данных.
В сообществе раскритиковали идею передачи данных третьим лицам и предостерегли от возможных махинаций с KYC для кражи активов.
«Первая реакция на обновление кошельков Ledger: Я просто могу оставить свои BTC на бирже, если не хочу владеть ими. Мне не нужен для этого Ledger» — говорится в одном из комментариев
Ledger своим обновлением попирает все принципы криптовалюты — неразглашение своей seed-фразы и соблюдение анонимности.
К сожалению, массовый потребитель этих кошельков вряд ли задумается о потенциальных рисках вышедшего обновления и продолжит ими пользоваться. Высока вероятность, что это приведет, в конечном итоге, к потере хранящихся на таком кошельке средств.
Заключение
Не храните свои криптоактивы на аппаратном кошельке Ledger! Не храните их ни на каком аппаратном кошельке — неизвестно какие сюрпризы скрывают другие разработчики. В случае необходимости создайте собственный криптовалютный кошелек холодного хранения с помощью USB-накопителя.
Помните: «кто владеет ключами (seed-фразой), тот владеет криптой»!
Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News