Самостоятельное хранение важно в криптовалюте, а безопасность необходима для самообслуживания. Ledger, известный производитель аппаратных кошельков, построил свою репутацию на безопасном хранении закрытых ключей пользователей. Аппаратные кошельки создают безопасную автономную среду для хранения ключей и использования ключей для выполнения транзакций.
Закрытые ключи пользователя генерируются и хранятся внутри устройства и должны никогда не покидать его. Это «холодное хранилище» обеспечивает непревзойденный уровень безопасности по сравнению с «горячими кошельками» или онлайн-кошельками. Проблема в том, что многие люди теряют свои ключи.
На этой неделе Ledger выпустила продукт для резервного копирования исходных фраз под названием Ledger Recover. Если вы предоставите компании свой идентификатор и личную информацию, вы можете заплатить за услугу, которая берет вашу исходную фразу на вашем устройстве, шифрует ее в три «осколка», а затем передает их различным хранителям.
Внедрение третьей стороны по своей сути централизует контроль, создавая единую точку отказа, которая может быть использована хакерами или стать объектом действий регулирующих органов.
Связанный: Выбросьте своих скучающих обезьян в мусорное ведро
Я не жалею усилий Ledger по развитию бизнеса, чтобы охватить пользователей, не принадлежащих к OG и не являющихся сторонниками шифропанка. Миллионы нормальных людей, таких как наши скептически настроенные родственники бэби-бумеров, когда-либо будут подключены к криптовалюте только с помощью такого подхода к хранительскому резервному копированию. Его ошибка, возможно, заключалась в попытке использовать один и тот же продукт, чтобы обратиться как к криптовалютным OG с самостоятельным хранением, так и к более широким нормам будущих клиентов.
Развертывание Ledger своего продукта для резервного копирования вызвало бурную реакцию среди клиентов. Многие были удивлены, узнав, что у Ledger всегда была возможность прикоснуться к вашему секретному ключу с помощью обновлений оборудования. Многие из нас считают наши аппаратные устройства неприкосновенными. Я явно недостаточно осведомлен об этом устройстве, которому я доверяю для защиты своих криптоактивов.
Вчера я взбесился, узнав, что @Ledger может выдать ваш закрытый ключ с обновлением прошивки.
И все же я заметил, что самые умные люди не сходят с ума. Я что-то пропустил?
Я провел вечер, занимаясь самообразованием, и теперь я в лагере «nvm, все в порядке».
— Хасиб >|< (@hosseeb) 17 мая 2023 г.
Хасиб Куреши вмешался, что, хотя он тоже сначала отреагировал негативно, он понял, что это всегда было правдой в отношении Леджера. Мы всегда верили, что он не будет вставлять вредоносное ПО в свои обновления прошивки, чтобы украсть наши исходные фразы. Он не ошибается, но я бы не сказал, что это утешительная мысль.
В конце концов, на вашем аппаратном устройстве не может произойти ничего плохого, если вы не подпишете транзакцию. Вы сохраняете власть. Не знаю, как вы, но я не кодер — я не могу отличить вредоносное обновление от легитимного, так что и в этом я доверяю Леджеру. И у меня точно нет возможности не одобрить последнее обновление прошивки, включающее возможность восстановления Ledger, поскольку Ledger предупреждает, что отказ от обновления прошивки представляет угрозу безопасности.
Однако они делают дерьмовую работу по обеспечению доверия к программному стеку. Лучший дизайн будет включать в себя такие функции, как прозрачность сертификата или прозрачность ключа, поэтому вам не придется надеяться, что они не пришлют вам необъяснимую прошивку с ошибками.
— Эндрю Миллер (@socrates1024) 17 мая 2023 г.
Я доверяю Ledger — это отличная компания. Это был стержень в технологическом стеке для самостоятельного хранения криптовалюты, по крайней мере, в моем собственном пути к криптовалюте.
Но цель инструмента самообслуживания криптовалюты должна состоять в том, чтобы свести к минимуму требования к доверию. И это можно было бы улучшить в Ledger за счет открытия большего количества своего программного и аппаратного обеспечения. Главного технического директора Ledger спросили об этом в подкасте Bankless от 17 мая, и он ответил, что Ledger подписал соглашения о неразглашении, которые не позволяют ему делать это, и утверждал, что люди в любом случае вряд ли будут проводить краудсорсинговые аудиты безопасности.
Готов поспорить, что эту задачу возьмут на себя исследователи безопасности, такие как Эндрю Миллер, обнаруживший уязвимости в секретной сети.
1/ Леджер «Восстановить», поток
Прошлой ночью Ledger случайно слил некоторую информацию о своей новой подписке на сервис восстановления, а сегодня они раскрыли подробности.
Давайте рассмотрим предложенное ими «решение» по хранению криптовалюты и насколько оно опасно. pic.twitter.com/8GnCKv7hTH
— Сет за конфиденциальность (@sethforprivacy) 16 мая 2023 г.
В то время как сообщения Ledger о развертывании были катастрофическими, его кризисные сообщения были поучительными. Я, конечно, понял, что недостаточно понимаю, как работают аппаратные кошельки. Но «Извините, мы не можем открыть исходный код из-за NDA» — это недостаточный ответ тем членам сообщества, которые обеспокоены тем, что Ledger Recover может быть использован злоумышленником, чтобы обмануть пользователей с помощью поддельного обновления и украсть их исходную фразу. .
Ledger также может дать мне возможность продолжать обновлять прошивку без добавления кода восстановления Ledger на мое устройство. Но в отсутствие открытого исходного кода его прошивки, он мало что даст, так как у нас не будет возможности проверить его утверждения.
Это могло бы стать победой в брендинге, если бы Ledger развернулся, чтобы развернуть фирменное измерение «шифропанка» к своему аппаратному и программному обеспечению, которое удовлетворит криптосообщество OG, так что они могут захотеть выбрать его, и позволит существующим владельцам оборудования выбрать его для их ранее приобретенное оборудование, чтобы новые обновления были одобрены и одобрены шифропанком, как можно более открытым исходным кодом, с краудсорсинговыми проверками безопасности — весь пакет. Все было бы прощено.
На данный момент, похоже, Леджер не планирует этого делать. Таким образом, можно использовать аппаратные кошельки с открытым исходным кодом, но они не обладают широкой функциональной совместимостью Ledger с новыми блокчейнами. Или вы можете создать свой собственный или просто использовать новый обновленный аппаратный кошелек Gameboy с открытым исходным кодом.
На данный момент и для многих монет самым безопасным вариантом, вероятно, будет доверять Ledger, оставаясь при этом открытым для конкурирующих разработчиков аппаратных кошельков с открытым исходным кодом.
Дж. У. Веррет — адъюнкт-профессор юридического факультета Антонина Скалии Университета Джорджа Мейсона. Он практикующий бухгалтер-криминалист, а также практикует право ценных бумаг в Lawrence Law LLC. Он является членом Консультативного совета Совета по стандартам финансовой отчетности и бывшим членом Консультативного комитета инвесторов SEC. Он также возглавляет Crypto Freedom Lab, аналитический центр, борющийся за изменение политики, чтобы сохранить свободу и конфиденциальность для разработчиков и пользователей криптовалют.
Эта статья предназначена для общих информационных целей и не предназначена и не должна восприниматься как юридическая или инвестиционная консультация. Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору и не обязательно отражают или представляют взгляды и мнения .
Источник: Сointеlеgrаph
