Nowa funkcja Ledger Recovery nie przypadła do gustu użytkownikom, a niektórzy twierdzą wręcz że jest ona całkowitym zaprzeczeniem idei posiadania portfela sprzętowego.
Ledger Recovery, funkcja odzyskiwania kluczy prywatnych, której uruchomienie ogłosił w tym tygodniu francuski producent portfeli sprzętowych, nie spotkała się z uznaniem ze strony użytkowników kryptowalutowych. „Przesyłanie seeda lub jego części, które mogą zrekonstruować seeda przez Internet, zasadniczo zmienia model zabezpieczeń oferowany przez portfel sprzętowy” – powiedział Pavol Rusnak, współzałożyciel firmy SatoshiLabs produkującej konkurencyjny portfel sprzętowy Trezor.
Już początkowe ogłoszenie Ledger spotkało się z zaniepokojeniem ze strony społeczności kryptowalutowej, ale prawdziwą burzę wywołały odpowiedzi na Twitterze jednego z członków supportu firmy.
„Technicznie rzecz biorąc, zawsze było możliwe napisanie oprogramowania układowego ułatwiającego wydobywanie kluczy. Zawsze ufałeś Ledgerowi, że nie wdroży takiego oprogramowania układowego, niezależnie od tego, czy o tym wiedziałeś, czy nie, odpowiedział pracownik Ledgera w środę w tweecie, który został już usunięty.
Po fali oburzenia, która rozlała się po opublikowaniu tweeta, w wątku szybko zostało dodane, że aby taka zmiana została dokonana, użytkownik portfela musi ją ręcznie zatwierdzić.
„Każda aktualizacja oprogramowania układowego wymaga zatwierdzenia urządzenia odblokowującego kod PIN, jest to ostatnia linia, która uniemożliwia nam wyodrębnienie kluczy, nawet gdybyśmy mieli twoje urządzenie”, można było przeczytać w innym usuniętym już tweecie.
Czy portfel sprzętowy jest bezpieczny?
Do tej pory uznawany za najbezpieczniejszy sposób przechowywania kryptowalut, portfel sprzętowy zaczyna być kwestionowany. Ledger strzelił sobie w stopę i po raz kolejny nadwyrężył swój publiczny wizerunek, choć nadal broni swojej funkcji Recovery, jako zabezpieczenia przed niezamierzoną utratą kluczy prywatnych.
Funkcja Ledger Recovery może być traktowana jako sposób na odzyskanie zagubionego seeda, podobnie jak odzyskiwanie hasła w banku, choć nieco bardziej złożone. Będzie ona wymagała weryfikacji i powiązania z dokumentem tożsamości lub z paszportem. Ponoć są zwolennicy takiego rozwiązania, choć większość stoi w opozycji, przypominając, że Ledger zarzekał się iż klucze prywatne nigdy nie opuszczają urządzenia. Aktualizacja zostanie wprowadzona w urządzeniach Ledger Nano X i będzie płatna na zasadzie subskrypcji dla użytkowników, którzy wyrażą na to chęć.
Wielu kryptowalutowych ekspertów zauważa, że wprowadzenie takiej aktualizacji może się wiązać z dalszymi konsekwencjami.
„Nie tylko mogą wystąpić wycieki lub włamania, sprzedaż danych o użytkownikach Ledger byłaby niezwykle cenna teraz i w przyszłości, a każda z„ upoważnionych stron trzecich ”może w dowolnym momencie zdecydować o wykorzystaniu twoich danych jako strumienia dochodów, ” – napisał użytkownik Seth For Privacy na Twitterze.
Eksperci zajmujący się bezpieczeństwem ds. blockchain martwią się także tym jak faktycznie będzie wyglądać aktualizacja Ledger w kodzie. „Jedną z moich obaw związanych z nową usługą Ledger Recovery jest to, że wydaje się, że sharding odbywa się za pośrednictwem tajnego udostępniania Shamira, ale robi to w zastrzeżony i być może naiwny sposób. Nie wiemy, ponieważ nie jest to open source” – napisał Christopher Allen na Twitterze.
Ledger wywołał burzę wśród kryptowalutowej społeczności i uświadomił użytkownikom, że nawet portfel sprzętowy jest obarczony ryzykiem, a jego bezpieczeństwo jest w dużej mierze uzależnione od uczciwości producenta. Zaufanie do firmy zostało mocno nadwyrężone przez propozycję oddania władzy nad kluczami prywatnymi stronom trzecim, które mogą się stać dodatkowym źródłem ryzyka, czy to w przypadku zhakowania, nieuczciwości lub żądań udostępnienia kluczy ze strony aparatu państwowego.
