キーポイント:
- 新しい Ledger Recover アップグレードにより、ハードウェア暗号ウォレットは、リカバリ シード フレーズを安全に保存できるサブスクリプション サービスを提供するようになりました。
- それにもかかわらず、このニュースは Web3 コミュニティの一部から激しく攻撃されています。
- Ledger Recover は基本的にユーザーのシード フレーズを暗号化し、それを XNUMX つの部分に分割し、それぞれを別の管理者と共有します。
Ledgerは今週、Ledger Recoverを開始する意向を発表した後、混乱に陥った。Ledger Recoverは、Ledger Nano Xウォレットユーザー向けのオプションの有料会員サービスであり、サードパーティの保管者が関与するシードフレーズ回復方法を提供する。 同社によれば、この新機能は、暗号通貨とNFTの保有者がシードフレーズを紛失したり忘れてしまった場合に資金を取り戻すことができる画期的なものだという。
それにもかかわらず、このニュースは Web3 コミュニティの一部によって強く非難されており、サービスを既存のものにできるようにするファームウェアのアップグレードは、ユーザーの秘密キーがデバイスから決して流出しないようにするという Ledger の長年のポリシーに違反していると主張しています。 このような問題は、ウォレットがプライバシーとセキュリティに専念していると称していることに疑問を投げかけているが、同社はこれを拒否している。
Ledger は、2.2.1 月 16 日に Nano X コールド ウォレット XNUMX ファームウェア アップグレードを開始しました。これには、ID ベースのキー回復サービスとして「Ledger Recover」という名前のキー ニーモニック回復ツールが含まれています。
シード フレーズを復元するためにユーザーの秘密キーをバックアップします。利用するにはメンバーシップ (月額 9.99 ドル) が必要です。 現在、このサービスに加入するには EU、英国、カナダ、または米国のパスポート/身分証明書が必要ですが、今後数か月以内に追加の国と書類がサポートされる予定です。
それにもかかわらず、この機能の公開により、多くの Web3 ユーザーがプライバシーとセキュリティについて懸念するようになりました。特に、秘密キーのニーモニック フレーズを保存し、それらをパスポートや身分証明書と関連付けることが必要であり、暗号化コミュニティのプライバシーの理想に明らかに矛盾しているためです。
物議を醸す新機能
Ledger は世界で最も有名で人気のあるハードウェア ウォレットのメーカーの 1 つで、その価値は 53 億ドル以上、推定年間売上高は XNUMX 万ドル以上です。 「コールド ストレージ」デバイスとしてよく知られるハードウェア ウォレットは、暗号通貨を保存するための非常に安全な方法を提供する USB サムドライブのような装置です。 これらは、MetaMask や WalletConnect などの「ホット ウォレット」の競合他社よりも優れていると考えられています。これらの競合他社は、使い方は簡単ですが、秘密鍵をオンラインに保持し、より大きな危険にさらすという欠点があります。
Ledger ウォレットの設定には、暗号ウォレットの秘密鍵として機能するランダムに生成された単語のセットである一意のシード フレーズの作成が必要です。 このシステムは安全ですが、使いやすさに問題があります。 シードフレーズを失うことは、お金へのアクセスを失うことを意味し、それが悪者の手に渡った場合、ウォレット侵害につながる可能性があります。
報告書によると、この新機能の基礎は、ユーザーのニーモニックフレーズを断片化し、暗号化する前に XNUMX つの部分に分割することです。 同時に、消費者は自分の ID と自撮り記録を提示し、XNUMX 人の管理者を信頼する必要があります。 人間がこの情報を保護します。
ただし、Ledger がこれを行うには問題があります。
まず、この「ニーモニック回復」方法を利用するには、ID を識別する情報をアカウントと関連付ける必要があり、その結果、KYC の問題点、データ漏洩、ハッキング、検閲、監視が発生します。
次に、第三者を信頼し、ID 情報と暗号化された現金に関する知識を提供する必要があります。 この状況では、データ侵害やハッキングが発生する可能性が十分にあります。 結局のところ、ユーザーデータは(現在も将来も)非常に価値があり、「承認された第三者」がいつでもあなたのデータを資金源として利用することを決定する可能性があります。
さらに、回復機能はユーザーのプライバシーを危険にさらします。 現時点では、ほとんどのユーザーが Ledger Live ソフトウェア サービスの使用を選択しています。このサービスは、Ledger ノードを使用してすべてのウォレットを同期します。これには、ウォレット内の暗号通貨アクティビティのすべての詳細が含まれています。Ledger Live を使用するユーザーは、ユーザー バインディングよりも高いリスクにさらされています。自分のIDをLegerアカウントに登録します。
あるセキュリティ アナリストが、完全にアンタッチャブルで移動不可能な秘密鍵を保存するガジェットを宣伝し、その鍵がアクセスされて他の当事者と共有される可能性があることを突然明らかにしたことは、ほとんどの Web3 コミュニティに受け入れられませんでした。
特に憂慮すべきは、ユーザーが Recover に参加するには政府発行の ID を提示する必要があるという考えでした。
このアップグレードの公開は暗号通貨業界で激怒を引き起こし、レジャーの新機能は秘密鍵をインターネット上に公開しないというこれまでの保証に矛盾するとして非難された。
懐疑論者は誇張していると感じる人もいますが、ウォレットは本質的にアップグレード可能であるという事実に言及して、ウォレットのアクセシビリティとセキュリティに関する懸念を軽減し、そもそもウォレットがどのように機能するかの基本を明確にしています。 ブロックチェーン自体は時間の経過とともに改善され、ブロックチェーンと対話するデバイスは適切に適応できなければならないため、ハードウェアウォレットは更新できなければ有用性を失います。
サブスクリプション サービスが何であれ、そうでないものであれ、Web3 の高速応答環境における新機能を説明することの難しさを示しています。 Recoverの議論は、これまでの他の多くの議論と同様に、ブロックチェーン中心のビジネスが直面する絶え間ない戦いを浮き彫りにしています。 ユーザーエクスペリエンスと暗号通貨コミュニティの基本的な信念の尊重の間のバランスを達成することは困難な作業です。
Ledger はシード フレーズを追跡していますか?
Ledger Recover へのアップグレードは、シード フレーズを暗号化して XNUMX つの部分に分割すると主張しています。 その後、身分証明書と自撮りビデオを提出すると、XNUMX 人の別々の管理者が破片を保護します。 Ledger、Coincover、および第三の会社が保管者として機能します。 これは補助サービスであり、顧客は以前と同様にリカバリ シード フレーズを引き続き使用できることを強調しました。 この変更は、ツイッター上で複数のインターネットプライバシー活動家からの怒りを引き起こした。
なぜ危険なのですか?
提供された情報によると、すべてのKYCデータは「Onfido」という名前の会社によって収集され、KYC情報の検証などを処理します。 Ledger ユーザーが自分の身元をアップロード/検証すると、ユーザー ID、自撮りビデオ、写真/ビデオ/音声、ユーザーのデバイスの全体像と現在のアクティビティが保持されます。
これは、Onfido があなたの ID とあなたが Ledger ユーザーであるという情報に完全にアクセスできることを意味します。 もちろん、彼らはあなたが暗号通貨を持っていることを知っています。 Onfido は、使用する認証デバイスについても完全に把握しているため、ID データに関して Ledger と「承認された第三者」を信頼するだけでなく、デバイスなどについても Onfido を信頼することができます。
これらの行動はすべて、新たなリスクを生み出す可能性があります。 次に、技術的な観点から見てみましょう。
プロセス全体のコードは閉じられており検証できないため、ユーザーは技術的な観点から Ledger を「100%」信頼する必要があります。 Ledgerの共同創設者であるNicolas Bacca氏は、彼のチームは将来コードを公開して、ウォレットの回復サービスがどのようにユーザーデータを安全に暗号化し、舞台裏で安全に機能するかを顧客が確認できるようにするつもりであると述べたが、同社は回復サービスも公開している。利用可能。 サードパーティの管理者との契約については、選択して率直にしてください。ただし、この記事の執筆時点では、Ledger は必要なコードをオープンソース化していません。つまり、Ledger 以外の誰も、何が起こっているのか、セキュリティを確認できないことになります。
すべてが計画どおりに進んだ場合、ユーザーのシード フレーズが暗号化されずにデバイスから離れることはありません。 それにもかかわらず、これを確認したり、シード フレーズが正しく完成または暗号化されていることを保証したりする方法はありません。
しかし、XNUMX つ確かなことは、コードがレジャー上で実行されており、USB/BT 経由でニーモニックを送信できるということです。 別の角度から見ると、この時点であなたのウォレットはもはや「コールドウォレット」ではなく、むしろ「コールドウォレットからホットウォレットへの移行」となります。 それだけでなく、数回のキーストロークでウォレットを「ホット」できることで、ハッカーが誤ってシード フレーズを入手する可能性のある、新たなフィッシングおよびマルウェア攻撃ルートが多数開かれます。
Ledger に、誰かが暗号化されたシャード ニーモニックを XNUMX 人、XNUMX 人の異なる管理者に送信することを防ぐためのセキュリティ保護機能が組み込まれているかどうか、またはシャード ニーモニックをユーザーが自分でデコードすることによってのみ配信できるかどうかを確認することはできません。
もう XNUMX つの問題は、ニーモニックの回復または復号化プロセスがどのように機能するかがわからないことです。 ユーザーは Ledger にチェックインして身元を確認する必要がありますが、復号化は自分のデバイスでのみ実行できるため、新しいデバイスはどのようにして復号化キーを取得するのでしょうか?
通常、エンドツーエンド暗号化 (E2EE) 状況で新しいデバイスを認証し、復号キーを送信するメカニズムがありますが、台帳を紛失した場合、ユーザーは実際にはそれを行うことができないため、他の誰かがそれを行うことができません。送信先のデバイスが必要です。 ニーモニックの回復には、Ledger 復号化キーのコピーが必要です。
この場合、誰が復号キーを保持しているのでしょうか? これは元帳ですか? それとも、Ledger Recover と ID 検証後に暗号化されて別の場所に保存されますか? この場合、復号化キーはどのように保持、暗号化、認証されるのでしょうか?
さらに、あなたが Ledger Recover を使用して ID を取得したことが誰かに発見された場合、たとえあなたの Ledger が引き出しのどこかに安全に保管されていたとしても、すべての暗号通貨が盗まれる可能性があります。
上記のLedger Recoverの管理者であるCoinCoverとOnfidoはどちらも英国に拠点を置いていることに注目する価値があります。 元の文書には別の管理者の名前は記載されていませんが、米国の EscrowTech がその管理者の一人であると報告されています。 この話が正しければ、あなたが「ファイブ・アイズ・インテリジェンス」の権威に服従することを意味します。
まとめ
この問題の最も憂慮すべき側面は、レジャー社の主張の食い違いによって引き起こされた、レジャー社とそのユーザーとの間の信頼の明らかな喪失である。
一方、Recover アップグレードを選択したユーザーは、自分の ID を暗号通貨ウォレットに接続することになり、顧客確認 (KYC) チェックを備えた集中型取引所のエクスペリエンスに近づきます。
Onfido はすべての KYC 情報を収集します。 身分証明書をアップロード/確認すると、同社は KYC オンボーディングも実行し、デバイスと現在の行動を追跡します。 あなたは、Ledger およびその他の権限のある団体を信頼するだけでなく、機密情報に関して Onfido も信頼します。 災難が起きつつあるのだろうか?
LedgerによるRecoverサービスのデビューは、ハードウェアウォレット(コールドストレージ)利用の概念すべてに違反しており、KYCを伴うため、賢明なアイデアではないかもしれません。 同時に、この「非オープンソース」方式は、多くの Web3 ユーザーにその主張に懐疑的な印象を与えます。
免責事項: このウェブサイトの情報は一般的な市場解説として提供されており、投資アドバイスを構成するものではありません。 投資する前に、ご自身で調査を行うことをお勧めします。
ニュースを追跡するために私たちに参加してください: https://linktr.ee/coincu
ハロルド
コインク ニュース
著者
知識
Ledger の新しい回復機能が論争を引き起こしたのはなぜですか?
キーポイント:
- 新しい Ledger Recover アップグレードにより、ハードウェア暗号ウォレットは、リカバリ シード フレーズを安全に保存できるサブスクリプション サービスを提供するようになりました。
- それにもかかわらず、このニュースは Web3 コミュニティの一部から激しく攻撃されています。
- Ledger Recover は基本的にユーザーのシード フレーズを暗号化し、それを XNUMX つの部分に分割し、それぞれを別の管理者と共有します。
Ledgerは今週、Ledger Recoverを開始する意向を発表した後、混乱に陥った。Ledger Recoverは、Ledger Nano Xウォレットユーザー向けのオプションの有料会員サービスであり、サードパーティの保管者が関与するシードフレーズ回復方法を提供する。 同社によれば、この新機能は、暗号通貨とNFTの保有者がシードフレーズを紛失したり忘れてしまった場合に資金を取り戻すことができる画期的なものだという。
それにもかかわらず、このニュースは Web3 コミュニティの一部によって強く非難されており、サービスを既存のものにできるようにするファームウェアのアップグレードは、ユーザーの秘密キーがデバイスから決して流出しないようにするという Ledger の長年のポリシーに違反していると主張しています。 このような問題は、ウォレットがプライバシーとセキュリティに専念していると称していることに疑問を投げかけているが、同社はこれを拒否している。
Ledger は、2.2.1 月 16 日に Nano X コールド ウォレット XNUMX ファームウェア アップグレードを開始しました。これには、ID ベースのキー回復サービスとして「Ledger Recover」という名前のキー ニーモニック回復ツールが含まれています。
シード フレーズを復元するためにユーザーの秘密キーをバックアップします。利用するにはメンバーシップ (月額 9.99 ドル) が必要です。 現在、このサービスに加入するには EU、英国、カナダ、または米国のパスポート/身分証明書が必要ですが、今後数か月以内に追加の国と書類がサポートされる予定です。
それにもかかわらず、この機能の公開により、多くの Web3 ユーザーがプライバシーとセキュリティについて懸念するようになりました。特に、秘密キーのニーモニック フレーズを保存し、それらをパスポートや身分証明書と関連付けることが必要であり、暗号化コミュニティのプライバシーの理想に明らかに矛盾しているためです。
物議を醸す新機能
Ledger は世界で最も有名で人気のあるハードウェア ウォレットのメーカーの 1 つで、その価値は 53 億ドル以上、推定年間売上高は XNUMX 万ドル以上です。 「コールド ストレージ」デバイスとしてよく知られるハードウェア ウォレットは、暗号通貨を保存するための非常に安全な方法を提供する USB サムドライブのような装置です。 これらは、MetaMask や WalletConnect などの「ホット ウォレット」の競合他社よりも優れていると考えられています。これらの競合他社は、使い方は簡単ですが、秘密鍵をオンラインに保持し、より大きな危険にさらすという欠点があります。
Ledger ウォレットの設定には、暗号ウォレットの秘密鍵として機能するランダムに生成された単語のセットである一意のシード フレーズの作成が必要です。 このシステムは安全ですが、使いやすさに問題があります。 シードフレーズを失うことは、お金へのアクセスを失うことを意味し、それが悪者の手に渡った場合、ウォレット侵害につながる可能性があります。
報告書によると、この新機能の基礎は、ユーザーのニーモニックフレーズを断片化し、暗号化する前に XNUMX つの部分に分割することです。 同時に、消費者は自分の ID と自撮り記録を提示し、XNUMX 人の管理者を信頼する必要があります。 人間がこの情報を保護します。
ただし、Ledger がこれを行うには問題があります。
まず、この「ニーモニック回復」方法を利用するには、ID を識別する情報をアカウントと関連付ける必要があり、その結果、KYC の問題点、データ漏洩、ハッキング、検閲、監視が発生します。
次に、第三者を信頼し、ID 情報と暗号化された現金に関する知識を提供する必要があります。 この状況では、データ侵害やハッキングが発生する可能性が十分にあります。 結局のところ、ユーザーデータは(現在も将来も)非常に価値があり、「承認された第三者」がいつでもあなたのデータを資金源として利用することを決定する可能性があります。
さらに、回復機能はユーザーのプライバシーを危険にさらします。 現時点では、ほとんどのユーザーが Ledger Live ソフトウェア サービスの使用を選択しています。このサービスは、Ledger ノードを使用してすべてのウォレットを同期します。これには、ウォレット内の暗号通貨アクティビティのすべての詳細が含まれています。Ledger Live を使用するユーザーは、ユーザー バインディングよりも高いリスクにさらされています。自分のIDをLegerアカウントに登録します。
あるセキュリティ アナリストが、完全にアンタッチャブルで移動不可能な秘密鍵を保存するガジェットを宣伝し、その鍵がアクセスされて他の当事者と共有される可能性があることを突然明らかにしたことは、ほとんどの Web3 コミュニティに受け入れられませんでした。
特に憂慮すべきは、ユーザーが Recover に参加するには政府発行の ID を提示する必要があるという考えでした。
このアップグレードの公開は暗号通貨業界で激怒を引き起こし、レジャーの新機能は秘密鍵をインターネット上に公開しないというこれまでの保証に矛盾するとして非難された。
懐疑論者は誇張していると感じる人もいますが、ウォレットは本質的にアップグレード可能であるという事実に言及して、ウォレットのアクセシビリティとセキュリティに関する懸念を軽減し、そもそもウォレットがどのように機能するかの基本を明確にしています。 ブロックチェーン自体は時間の経過とともに改善され、ブロックチェーンと対話するデバイスは適切に適応できなければならないため、ハードウェアウォレットは更新できなければ有用性を失います。
サブスクリプション サービスが何であれ、そうでないものであれ、Web3 の高速応答環境における新機能を説明することの難しさを示しています。 Recoverの議論は、これまでの他の多くの議論と同様に、ブロックチェーン中心のビジネスが直面する絶え間ない戦いを浮き彫りにしています。 ユーザーエクスペリエンスと暗号通貨コミュニティの基本的な信念の尊重の間のバランスを達成することは困難な作業です。
Ledger はシード フレーズを追跡していますか?
Ledger Recover へのアップグレードは、シード フレーズを暗号化して XNUMX つの部分に分割すると主張しています。 その後、身分証明書と自撮りビデオを提出すると、XNUMX 人の別々の管理者が破片を保護します。 Ledger、Coincover、および第三の会社が保管者として機能します。 これは補助サービスであり、顧客は以前と同様にリカバリ シード フレーズを引き続き使用できることを強調しました。 この変更は、ツイッター上で複数のインターネットプライバシー活動家からの怒りを引き起こした。
なぜ危険なのですか?
提供された情報によると、すべてのKYCデータは「Onfido」という名前の会社によって収集され、KYC情報の検証などを処理します。 Ledger ユーザーが自分の身元をアップロード/検証すると、ユーザー ID、自撮りビデオ、写真/ビデオ/音声、ユーザーのデバイスの全体像と現在のアクティビティが保持されます。
これは、Onfido があなたの ID とあなたが Ledger ユーザーであるという情報に完全にアクセスできることを意味します。 もちろん、彼らはあなたが暗号通貨を持っていることを知っています。 Onfido は、使用する認証デバイスについても完全に把握しているため、ID データに関して Ledger と「承認された第三者」を信頼するだけでなく、デバイスなどについても Onfido を信頼することができます。
これらの行動はすべて、新たなリスクを生み出す可能性があります。 次に、技術的な観点から見てみましょう。
プロセス全体のコードは閉じられており検証できないため、ユーザーは技術的な観点から Ledger を「100%」信頼する必要があります。 Ledgerの共同創設者であるNicolas Bacca氏は、彼のチームは将来コードを公開して、ウォレットの回復サービスがどのようにユーザーデータを安全に暗号化し、舞台裏で安全に機能するかを顧客が確認できるようにするつもりであると述べたが、同社は回復サービスも公開している。利用可能。 サードパーティの管理者との契約については、選択して率直にしてください。ただし、この記事の執筆時点では、Ledger は必要なコードをオープンソース化していません。つまり、Ledger 以外の誰も、何が起こっているのか、セキュリティを確認できないことになります。
すべてが計画どおりに進んだ場合、ユーザーのシード フレーズが暗号化されずにデバイスから離れることはありません。 それにもかかわらず、これを確認したり、シード フレーズが正しく完成または暗号化されていることを保証したりする方法はありません。
しかし、XNUMX つ確かなことは、コードがレジャー上で実行されており、USB/BT 経由でニーモニックを送信できるということです。 別の角度から見ると、この時点であなたのウォレットはもはや「コールドウォレット」ではなく、むしろ「コールドウォレットからホットウォレットへの移行」となります。 それだけでなく、数回のキーストロークでウォレットを「ホット」できることで、ハッカーが誤ってシード フレーズを入手する可能性のある、新たなフィッシングおよびマルウェア攻撃ルートが多数開かれます。
Ledger に、誰かが暗号化されたシャード ニーモニックを XNUMX 人、XNUMX 人の異なる管理者に送信することを防ぐためのセキュリティ保護機能が組み込まれているかどうか、またはシャード ニーモニックをユーザーが自分でデコードすることによってのみ配信できるかどうかを確認することはできません。
もう XNUMX つの問題は、ニーモニックの回復または復号化プロセスがどのように機能するかがわからないことです。 ユーザーは Ledger にチェックインして身元を確認する必要がありますが、復号化は自分のデバイスでのみ実行できるため、新しいデバイスはどのようにして復号化キーを取得するのでしょうか?
通常、エンドツーエンド暗号化 (E2EE) 状況で新しいデバイスを認証し、復号キーを送信するメカニズムがありますが、台帳を紛失した場合、ユーザーは実際にはそれを行うことができないため、他の誰かがそれを行うことができません。送信先のデバイスが必要です。 ニーモニックの回復には、Ledger 復号化キーのコピーが必要です。
この場合、誰が復号キーを保持しているのでしょうか? これは元帳ですか? それとも、Ledger Recover と ID 検証後に暗号化されて別の場所に保存されますか? この場合、復号化キーはどのように保持、暗号化、認証されるのでしょうか?
さらに、あなたが Ledger Recover を使用して ID を取得したことが誰かに発見された場合、たとえあなたの Ledger が引き出しのどこかに安全に保管されていたとしても、すべての暗号通貨が盗まれる可能性があります。
上記のLedger Recoverの管理者であるCoinCoverとOnfidoはどちらも英国に拠点を置いていることに注目する価値があります。 元の文書には別の管理者の名前は記載されていませんが、米国の EscrowTech がその管理者の一人であると報告されています。 この話が正しければ、あなたが「ファイブ・アイズ・インテリジェンス」の権威に服従することを意味します。
まとめ
この問題の最も憂慮すべき側面は、レジャー社の主張の食い違いによって引き起こされた、レジャー社とそのユーザーとの間の信頼の明らかな喪失である。
一方、Recover アップグレードを選択したユーザーは、自分の ID を暗号通貨ウォレットに接続することになり、顧客確認 (KYC) チェックを備えた集中型取引所のエクスペリエンスに近づきます。
Onfido はすべての KYC 情報を収集します。 身分証明書をアップロード/確認すると、同社は KYC オンボーディングも実行し、デバイスと現在の行動を追跡します。 あなたは、Ledger およびその他の権限のある団体を信頼するだけでなく、機密情報に関して Onfido も信頼します。 災難が起きつつあるのだろうか?
LedgerによるRecoverサービスのデビューは、ハードウェアウォレット(コールドストレージ)利用の概念すべてに違反しており、KYCを伴うため、賢明なアイデアではないかもしれません。 同時に、この「非オープンソース」方式は、多くの Web3 ユーザーにその主張に懐疑的な印象を与えます。
免責事項: このウェブサイトの情報は一般的な市場解説として提供されており、投資アドバイスを構成するものではありません。 投資する前に、ご自身で調査を行うことをお勧めします。
ニュースを追跡するために私たちに参加してください: https://linktr.ee/coincu
ハロルド
コインク ニュース
その他の投稿
関連記事
