Генеральному директору нелогично защищать конкурента, особенно когда этот конкурент внедряет функцию, аналогичную той, которую мы разработали много лет назад. Но, учитывая фиаско вокруг новой функции Ledger Recover, пришло время представить взвешенную точку зрения.
Компания подверглась критике за выпуск обновления прошивки своего кошелька, которое позволяет ей отправлять версию исходной фразы кошелька третьим лицам. Но возмущение кажется непропорциональным. Представление о том, что Ledger небрежно «отправляет начальные фразы на сервер», в корне неверно. Давайте внесем ясность: новая система предназначена только для подписки. Здесь нет принудительного участия или скрытого бэкдора. Семя локально разбивается на три зашифрованных фрагмента с использованием широко известного криптографического процесса Shamir Secret Sharing и отправляется в зашифрованном виде — практика, с которой отрасль знакома уже много лет.
Одна из корпораций, размещающих осколки, — EscrowTech, компания, которую мы привели в крипто-сектор четыре года назад. Я уверен, что Ledger, несмотря на наше соперничество, сможет успешно внедрить систему, которая соответствует его требованиям. В прошлом они демонстрировали приверженность и серьезность, и теперь нет причин ожидать иного.
WTF, это настоящий @Ledger? это нереально, я буквально заболеваю
Вы хоть представляете, сколько денег в безопасности ваших устройств???
Вы все это время лгали, говоря, что начальное число на устройстве все равно недоступно? pic.twitter.com/34txno7koR
— Clouted (@CloutedMind) 16 мая 2023 г.
Перед лицом отрицательной реакции важно помнить: если вам это не нравится, не используйте это. Период.
Мы всегда стремились обеспечить обновление таких систем, но для тех, кто предпочитает придерживаться начальных фраз, Ledger Recover, несомненно, является шагом вперед. Я отдаю должное Ledger там, где это необходимо: для того, чтобы по-настоящему принять миллиарды и перевести активы в нашу самостоятельную вселенную, Ledger Recover является потенциальным решением. Надежно зашифрованные секреты, хранящиеся в облаке, — это будущее, а не листы бумаги или стальные пластины, хранящиеся под вашим матрасом или, что еще хуже, в банковском хранилище (ирония…)!
Связанный: Элизабет Уоррен подталкивает Сенат к запрету вашего криптовалютного кошелька
При этом есть несколько вещей, в которых Леджер ошибся. Предлагаемое ими решение определяет фундаментальную проблему, которую нельзя решить с помощью Ledger Recover: начальные фразы. Я не люблю их и считаю устаревшими и непригодными для личной безопасности. Приблизительно 100 миллиардов долларов в биткойнах (BTC) (только) были потеряны или украдены за последнее десятилетие из-за неправильного использования начальных фраз. И ситуация не улучшается: каждый день на форумах, таких как Reddit и Twitter, появляются новые истории о неправильном размещении и потере ключей.
Сид-фразы представляют собой единую точку отказа, которая создает слишком большую нагрузку на пользователя и подвержена человеческим ошибкам, фишинговым атакам, захвату учетных записей и многим другим бедствиям. Кошельки с многосторонними вычислениями (MPC) и другие проверенные в бою криптографические методы предлагают гораздо более выгодные компромиссы, чем подходы, основанные на начальных значениях, кажутся архаичными в сегодняшнем быстро развивающемся цифровом ландшафте.
Нынешние пользователи Ledger, в основном заядлые криптоэнтузиасты, чувствуют себя преданными, но существующая начальная модель работает не для всех. Даже Ledger признал это на своем сайте.
Помимо игнорирования фундаментальной уязвимости исходной фразы, у самой Ledger Recover есть своя доля проблем: одностороннее обновление прошивки, сегментация с закрытым исходным кодом, гейтирование «Знай своего клиента» (KYC), схема оплаты за восстановление и, большинство из всех, «поверьте мне, это только согласие» без способов проверки исходного кода. Закрытый код, зависимость от внешних кастодианов и семидневное отключение в случае прекращения оплаты безусловно вызовут больше вопросов (и уже вызвали).
Внедрение Ledger Recover может также привести к появлению новых векторов атак на системы и за их пределами: от локального вредоносного ПО до государственного принуждения, социальной инженерии (уже широко развернутой в их последнем взломе электронной коммерции) и фальшивого восстановления KYC, которые необходимо решить. Наконец, сообщения и время Леджера можно было бы лучше сформулировать, и ему удалось бы избежать нынешнего шума.
Связанный: Майнеры криптовалют возглавляют следующий этап ИИ
Однако это не умаляет того факта, что они пытаются внедрять инновации и улучшать безопасность пользователей, хотя и не так, как мы.
Я предлагаю Ledger предоставить всеобъемлющее демо-видео от начала до конца, задокументированный технический документ с возможными сторонними аудиторскими отчетами и подробное объяснение того, как работает Ledger Recover. Часто задаваемые вопросы оставляют вопросы без ответа, а клиентам приходится гадать или неверно истолковывать услугу. Сообщество думало, что может слепо доверять вам, но вам нужно вернуть это после этого эпизода.
Это не однозначный случай правильного или неправильного. Леджер делает успехи в правильном направлении и добился выдающихся результатов в невероятно враждебной среде — мы знаем это из первых рук. Но им также есть куда учиться и совершенствоваться.
Навязывать новый путь безопасности, даже необязательный, — все равно, что просить поверить во вторую религию, которую вы не выбрали изначально. Конечно, это спорный вопрос, но для криптосообщества жизненно важно сосредоточиться на фактах, а не на интерпретациях. В конце концов, наши слова здесь (или в социальных сетях) не будут иметь значения, и люди будут голосовать своими долларами (я имею в виду свою криптовалюту). Как конкуренты, мы можем не соглашаться во всех деталях, но мы все можем согласиться с необходимостью инноваций, безопасности и прозрачности.
Уриэль Охайон — соучредитель и генеральный директор ZenGo, потребительского кошелька MPC, созданного в 2018 году. Он бывший руководитель ICQ/AOL; основатель TechCrunch France (продана AOL); и основатель rof Isai.fr, ведущего французского венчурного капитала. Он был генеральным менеджером интернет-лаборатории Gemini и Lightspeed Ventures.
Эта статья предназначена для общих информационных целей и не предназначена и не должна восприниматься как юридическая или инвестиционная консультация. Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору и не обязательно отражают или представляют взгляды и мнения .
Источник: Сointеlеgrаph
