Почему новая функция восстановления Ledger вызвала споры?
Ключевые моменты:
- С новым обновлением Ledger Recover аппаратный крипто-кошелек теперь предлагает услугу подписки, которая позволяет вам безопасно хранить исходную фразу восстановления.
- Тем не менее, новость подверглась резкой критике со стороны части сообщества Web3.
- Ledger Recover, по сути, шифрует исходную фразу пользователя и разбивает ее на три части, каждая из которых используется отдельным хранителем.
На этой неделе Ledger оказался в затруднительном положении после объявления о намерении запустить Ledger Recover, дополнительную платную услугу членства для пользователей кошелька Ledger Nano X, которая предлагает метод восстановления исходной фразы с привлечением сторонних хранителей. Новая функциональность, по словам компании, является прорывом, который позволит держателям криптовалюты и NFT вернуть свои средства в случае утери или забытия сид-фразы.
Тем не менее, эта новость была резко осуждена частью сообщества Web3, которые утверждают, что обновление прошивки, которое позволяет сервису существовать, нарушает давнюю политику Ledger, гарантирующую, что закрытый ключ пользователя никогда не покидает устройство. Такие проблемы ставят под сомнение предполагаемую приверженность кошелька конфиденциальности и безопасности, которую фирма отвергает.
2.2.1 мая Ledger запустила обновление прошивки холодного кошелька Nano X 16, которое включает ключевой инструмент восстановления мнемоник под названием «Ledger Recover» в качестве службы восстановления ключей на основе идентификатора.
Создает резервную копию закрытого ключа пользователя, чтобы восстановить исходную фразу, и для использования требуется членство (9.99 долларов в месяц). В настоящее время для подписки на услугу необходим паспорт / удостоверение личности ЕС, Великобритании, Канады или США, но в ближайшие месяцы будут поддерживаться дополнительные страны и документы.
Тем не менее, публикация этой возможности побудила многих пользователей Web3 задуматься о конфиденциальности и безопасности, особенно потому, что она влечет за собой хранение мнемонических фраз закрытого ключа и их сопоставление с паспортами или документами, удостоверяющими личность, что явно противоречит идеалам конфиденциальности сообщества шифровальщиков.
Спорная новая функция
Ledger — один из самых известных и популярных в мире производителей аппаратных кошельков, стоимость которого превышает 1 миллиард долларов, а годовой объем продаж оценивается более чем в 53 миллиона долларов. Аппаратные кошельки, часто называемые устройствами «холодного хранения», представляют собой устройства, похожие на USB-накопители, которые обеспечивают высокозащищенный метод хранения криптовалюты. Считается, что они предпочтительнее конкурентов с «горячим кошельком», таких как MetaMask и WalletConnect, которые проще в использовании, но имеют тот недостаток, что закрытые ключи хранятся в сети, что подвергает их значительно большей опасности.
Настройка кошелька Ledger влечет за собой создание уникальной исходной фразы, которая представляет собой набор случайно сгенерированных слов, которые служат закрытыми ключами для криптокошельков. Несмотря на безопасность, эта система имеет проблемы с удобством использования. Потеря сид-фразы означает потерю доступа к деньгам, что может привести к взлому кошелька, если они попадут в чужие руки.
Согласно сообщениям, в основе этой новой функции лежит фрагментация мнемонической фразы пользователя и разделение ее на три части перед шифрованием. В то же время потребители должны предлагать собственное удостоверение личности и запись селфи, а также доверять трем хранителям. Люди охраняют эту информацию для вас.
Однако у Леджера есть проблема.
Для начала, чтобы использовать этот метод «мнемонического восстановления», вы должны сопоставить свою идентификационную информацию с вашей учетной записью, что приведет к проблеме KYC, утечке данных, взлому, цензуре и слежке.
Во-вторых, вы должны доверять третьей стороне и предоставлять им свою идентификационную информацию, а также информацию о зашифрованных деньгах. В этом случае вполне возможны утечки или взломы данных; в конце концов, пользовательские данные чрезвычайно ценны (как сейчас, так и в будущем), и любое «утвержденное третье лицо» может решить использовать ваши данные в качестве источника денег в любой момент.
Более того, функция восстановления ставит под угрозу конфиденциальность пользователей. На данный момент большинство пользователей предпочитают использовать программный сервис Ledger Live, который будет использовать узел Ledger для синхронизации всех кошельков, которые содержат все детали операций с криптовалютой в кошельке, пользователи, использующие Ledger Live, подвергаются более высокому риску, чем пользователи, связывающие свой собственный идентификатор к учетной записи Leger.
Аналитик по безопасности, рекламирующий гаджет, в котором хранится полностью неприкасаемый и недвижимый закрытый ключ, а затем внезапно обнаруживший, что к ключу можно получить доступ и передать его другим сторонам, не понравился большей части сообщества Web3.
Особенно огорчительно было то, что пользователи должны были предъявить удостоверение личности государственного образца, чтобы участвовать в Recover.
Раскрытие информации об обновлении вызвало возмущение в криптомире, поскольку новые функции Ledger противоречили предыдущим заверениям о хранении закрытых ключей вне Интернета.
Другие, которые считают, что сомневающиеся преувеличивают, ссылаются на тот факт, что кошельки по своей сути могут быть обновлены, чтобы снять опасения по поводу их доступности и безопасности, а также в первую очередь внести ясность в основы функционирования кошельков. Аппаратные кошельки потеряли бы полезность, если бы их нельзя было обновлять, поскольку сами блокчейны со временем улучшаются, и любое устройство, взаимодействующее с блокчейном, должно иметь возможность должным образом адаптироваться.
Чем бы ни была услуга подписки, она демонстрирует трудности объяснения новых функций в среде быстрого реагирования Web3. Дебаты о восстановлении, как и многие другие до этого, выдвигают на первый план постоянную борьбу, с которой сталкиваются компании, ориентированные на блокчейн; достижение баланса между пользовательским опытом и уважением основных убеждений криптосообщества — сложная задача.
Отслеживает ли Ledger вашу сид-фразу?
Обновление до Ledger Recover требует шифрования и разделения исходной фразы на три части. После этого вы предоставите удостоверение личности и селфи-видео, а три отдельных хранителя будут защищать осколки для вас. Ledger, Coincover и третья компания будут выступать в качестве хранителей. В нем подчеркивается, что это дополнительная услуга, и клиенты могут продолжать использовать свои исходные фразы для восстановления, как и раньше. Это изменение вызвало возмущение в Твиттере нескольких активистов по защите конфиденциальности в Интернете.
Почему это опасно?
Согласно предоставленной информации, все данные KYC собираются компанией Onfido, которая будет заниматься такими вещами, как проверка информации KYC. Когда пользователи Ledger загружают/подтверждают свою личность, идентификаторы пользователей, селфи-видео, фото/видео/звук, а также общее изображение устройства пользователя и текущих действий сохраняются.
Это означает, что Onfido будет иметь полный доступ к вашему идентификатору и информации о том, что вы являетесь пользователем Ledger. Конечно, они в курсе, что у вас есть криптовалюта. Onfido также будет иметь полную информацию об используемых вами устройствах аутентификации, поэтому теперь вы не только доверяете Ledger и «утвержденным третьим сторонам» свои идентификационные данные, но также доверяете Onfido свои устройства и многое другое.
Все эти действия потенциально могут создать новые риски. Давайте теперь посмотрим на это с технической точки зрения.
Пользователи должны доверять Ledger на «100%» с технологической точки зрения, поскольку код всего процесса закрыт и не поддается проверке. Хотя соучредитель Ledger Николя Бакка заявил, что его команда намерена открыть свой код в будущем, чтобы клиенты могли увидеть, как служба восстановления кошелька надежно шифрует пользовательские данные и безопасно работает за кулисами, компания также делает свою службу восстановления общедоступной. доступный. Выбирайте и заранее сообщайте о соглашениях со сторонними хранителями, однако на момент написания этой статьи Ledger не открыл исходный код необходимого кода, а это означает, что никто, кроме Ledger, не может проверить, что происходит/безопасность.
Если все пойдет по плану, seed-фраза пользователя никогда не должна оставлять устройство незашифрованным. Тем не менее, у нас нет способа подтвердить это или гарантировать, что начальные фразы правильно заполнены или зашифрованы.
Но одно можно сказать наверняка: код теперь работает в вашем Ledger, и вы можете передавать свою мнемонику через USB/BT. С другой стороны, в этот момент ваш кошелек больше не будет «холодным кошельком», а будет «переходом от холодного к горячему». Не только это, но и возможность «горячего» вашего кошелька с помощью нескольких нажатий клавиш открывает множество новых маршрутов фишинговых и вредоносных атак, где хакеры могут случайно получить вашу сид-фразу.
Мы не можем установить, есть ли в Ledger встроенные меры безопасности, чтобы предотвратить передачу зашифрованной мнемоники осколка одному человеку, трем разным хранителям, или же мнемоника осколка может быть доставлена только пользователем. Пользователь сам расшифрует ее.
Другая проблема заключается в том, что вы не знаете, как функционируют мнемонические процессы восстановления или расшифровки. Пользователи должны зарегистрироваться в Ledger и подтвердить свою личность, но, поскольку дешифрование может быть выполнено только на их собственном устройстве, как новое устройство получает ключ дешифрования?
Обычно существует механизм авторизации нового устройства и отправки ему ключа дешифрования в ситуации сквозного шифрования (E2EE), однако в случае утери Ledger пользователь фактически не может этого сделать, поэтому кто-то другой должно быть устройство, на которое они были отправлены. Для восстановления мнемоники требуется копия вашего ключа дешифрования Ledger.
Кто владеет ключами дешифрования в этом случае? Это Леджер? Или он зашифрован и хранится в другом месте после восстановления Ledger и проверки личности? Если это так, как хранится, шифруется и аутентифицируется ключ дешифрования?
Более того, если кто-то обнаружит, что вы использовали Ledger Recover и получили свой идентификатор, он, вероятно, может забрать все ваши криптовалюты, даже если ваш Ledger в безопасности и находится где-то в ящике стола.
Стоит отметить, что CoinCover, хранитель Ledger Recover, и Onfido, указанные выше, базируются в Соединенном Королевстве. Другой хранитель не назван в исходном документе, однако, как сообщается, EscrowTech в Соединенных Штатах является одним из них. Если история верна, это означает, что вы будете подчиняться авторитету «Разума пяти глаз».
Заключение
Наиболее тревожным аспектом проблемы является очевидная потеря доверия между Ledger и ее пользователями, вызванная расхождениями в утверждениях фирмы.
Пользователи, выбравшие обновление Recover, с другой стороны, будут иметь свою личность, связанную со своими криптовалютными кошельками, что приблизит опыт к централизованному обмену с проверками «знай своего клиента» (KYC).
Onfido собирает всю информацию KYC. Когда вы загружаете/подтверждаете свою идентификацию, фирма также выполняет регистрацию KYC и отслеживает ваше устройство и текущее поведение. Вы не только доверяете Ledger и другим уполномоченным сторонам, но и доверяете Onfido свою конфиденциальную информацию. Это бедствие в процессе становления?
Дебют сервиса Recover от Ledger может быть не очень удачной идеей, поскольку он нарушает все концепции использования аппаратных кошельков (холодное хранение) и требует KYC. В то же время метод «неоткрытого исходного кода» заставляет многих пользователей Web3 скептически относиться к его утверждениям.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом веб-сайте предоставляется в качестве общего рыночного комментария и не является инвестиционным советом. Мы рекомендуем вам провести собственное исследование, прежде чем инвестировать.
Присоединяйтесь к нам, чтобы следить за новостями: https://linktr.ee/coincu
Гарольд
Коинку Новости
Автор
ЗНАНИЯ
Почему новая функция восстановления Ledger вызвала споры?
Ключевые моменты:
- С новым обновлением Ledger Recover аппаратный крипто-кошелек теперь предлагает услугу подписки, которая позволяет вам безопасно хранить исходную фразу восстановления.
- Тем не менее, новость подверглась резкой критике со стороны части сообщества Web3.
- Ledger Recover, по сути, шифрует исходную фразу пользователя и разбивает ее на три части, каждая из которых используется отдельным хранителем.
На этой неделе Ledger оказался в затруднительном положении после объявления о намерении запустить Ledger Recover, дополнительную платную услугу членства для пользователей кошелька Ledger Nano X, которая предлагает метод восстановления исходной фразы с привлечением сторонних хранителей. Новая функциональность, по словам компании, является прорывом, который позволит держателям криптовалюты и NFT вернуть свои средства в случае утери или забытия сид-фразы.
Тем не менее, эта новость была резко осуждена частью сообщества Web3, которые утверждают, что обновление прошивки, которое позволяет сервису существовать, нарушает давнюю политику Ledger, гарантирующую, что закрытый ключ пользователя никогда не покидает устройство. Такие проблемы ставят под сомнение предполагаемую приверженность кошелька конфиденциальности и безопасности, которую фирма отвергает.
2.2.1 мая Ledger запустила обновление прошивки холодного кошелька Nano X 16, которое включает ключевой инструмент восстановления мнемоник под названием «Ledger Recover» в качестве службы восстановления ключей на основе идентификатора.
Создает резервную копию закрытого ключа пользователя, чтобы восстановить исходную фразу, и для использования требуется членство (9.99 долларов в месяц). В настоящее время для подписки на услугу необходим паспорт / удостоверение личности ЕС, Великобритании, Канады или США, но в ближайшие месяцы будут поддерживаться дополнительные страны и документы.
Тем не менее, публикация этой возможности побудила многих пользователей Web3 задуматься о конфиденциальности и безопасности, особенно потому, что она влечет за собой хранение мнемонических фраз закрытого ключа и их сопоставление с паспортами или документами, удостоверяющими личность, что явно противоречит идеалам конфиденциальности сообщества шифровальщиков.
Спорная новая функция
Ledger — один из самых известных и популярных в мире производителей аппаратных кошельков, стоимость которого превышает 1 миллиард долларов, а годовой объем продаж оценивается более чем в 53 миллиона долларов. Аппаратные кошельки, часто называемые устройствами «холодного хранения», представляют собой устройства, похожие на USB-накопители, которые обеспечивают высокозащищенный метод хранения криптовалюты. Считается, что они предпочтительнее конкурентов с «горячим кошельком», таких как MetaMask и WalletConnect, которые проще в использовании, но имеют тот недостаток, что закрытые ключи хранятся в сети, что подвергает их значительно большей опасности.
Настройка кошелька Ledger влечет за собой создание уникальной исходной фразы, которая представляет собой набор случайно сгенерированных слов, которые служат закрытыми ключами для криптокошельков. Несмотря на безопасность, эта система имеет проблемы с удобством использования. Потеря сид-фразы означает потерю доступа к деньгам, что может привести к взлому кошелька, если они попадут в чужие руки.
Согласно сообщениям, в основе этой новой функции лежит фрагментация мнемонической фразы пользователя и разделение ее на три части перед шифрованием. В то же время потребители должны предлагать собственное удостоверение личности и запись селфи, а также доверять трем хранителям. Люди охраняют эту информацию для вас.
Однако у Леджера есть проблема.
Для начала, чтобы использовать этот метод «мнемонического восстановления», вы должны сопоставить свою идентификационную информацию с вашей учетной записью, что приведет к проблеме KYC, утечке данных, взлому, цензуре и слежке.
Во-вторых, вы должны доверять третьей стороне и предоставлять им свою идентификационную информацию, а также информацию о зашифрованных деньгах. В этом случае вполне возможны утечки или взломы данных; в конце концов, пользовательские данные чрезвычайно ценны (как сейчас, так и в будущем), и любое «утвержденное третье лицо» может решить использовать ваши данные в качестве источника денег в любой момент.
Более того, функция восстановления ставит под угрозу конфиденциальность пользователей. На данный момент большинство пользователей предпочитают использовать программный сервис Ledger Live, который будет использовать узел Ledger для синхронизации всех кошельков, которые содержат все детали операций с криптовалютой в кошельке, пользователи, использующие Ledger Live, подвергаются более высокому риску, чем пользователи, связывающие свой собственный идентификатор к учетной записи Leger.
Аналитик по безопасности, рекламирующий гаджет, в котором хранится полностью неприкасаемый и недвижимый закрытый ключ, а затем внезапно обнаруживший, что к ключу можно получить доступ и передать его другим сторонам, не понравился большей части сообщества Web3.
Особенно огорчительно было то, что пользователи должны были предъявить удостоверение личности государственного образца, чтобы участвовать в Recover.
Раскрытие информации об обновлении вызвало возмущение в криптомире, поскольку новые функции Ledger противоречили предыдущим заверениям о хранении закрытых ключей вне Интернета.
Другие, которые считают, что сомневающиеся преувеличивают, ссылаются на тот факт, что кошельки по своей сути могут быть обновлены, чтобы снять опасения по поводу их доступности и безопасности, а также в первую очередь внести ясность в основы функционирования кошельков. Аппаратные кошельки потеряли бы полезность, если бы их нельзя было обновлять, поскольку сами блокчейны со временем улучшаются, и любое устройство, взаимодействующее с блокчейном, должно иметь возможность должным образом адаптироваться.
Чем бы ни была услуга подписки, она демонстрирует трудности объяснения новых функций в среде быстрого реагирования Web3. Дебаты о восстановлении, как и многие другие до этого, выдвигают на первый план постоянную борьбу, с которой сталкиваются компании, ориентированные на блокчейн; достижение баланса между пользовательским опытом и уважением основных убеждений криптосообщества — сложная задача.
Отслеживает ли Ledger вашу сид-фразу?
Обновление до Ledger Recover требует шифрования и разделения исходной фразы на три части. После этого вы предоставите удостоверение личности и селфи-видео, а три отдельных хранителя будут защищать осколки для вас. Ledger, Coincover и третья компания будут выступать в качестве хранителей. В нем подчеркивается, что это дополнительная услуга, и клиенты могут продолжать использовать свои исходные фразы для восстановления, как и раньше. Это изменение вызвало возмущение в Твиттере нескольких активистов по защите конфиденциальности в Интернете.
Почему это опасно?
Согласно предоставленной информации, все данные KYC собираются компанией Onfido, которая будет заниматься такими вещами, как проверка информации KYC. Когда пользователи Ledger загружают/подтверждают свою личность, идентификаторы пользователей, селфи-видео, фото/видео/звук, а также общее изображение устройства пользователя и текущих действий сохраняются.
Это означает, что Onfido будет иметь полный доступ к вашему идентификатору и информации о том, что вы являетесь пользователем Ledger. Конечно, они в курсе, что у вас есть криптовалюта. Onfido также будет иметь полную информацию об используемых вами устройствах аутентификации, поэтому теперь вы не только доверяете Ledger и «утвержденным третьим сторонам» свои идентификационные данные, но также доверяете Onfido свои устройства и многое другое.
Все эти действия потенциально могут создать новые риски. Давайте теперь посмотрим на это с технической точки зрения.
Пользователи должны доверять Ledger на «100%» с технологической точки зрения, поскольку код всего процесса закрыт и не поддается проверке. Хотя соучредитель Ledger Николя Бакка заявил, что его команда намерена открыть свой код в будущем, чтобы клиенты могли увидеть, как служба восстановления кошелька надежно шифрует пользовательские данные и безопасно работает за кулисами, компания также делает свою службу восстановления общедоступной. доступный. Выбирайте и заранее сообщайте о соглашениях со сторонними хранителями, однако на момент написания этой статьи Ledger не открыл исходный код необходимого кода, а это означает, что никто, кроме Ledger, не может проверить, что происходит/безопасность.
Если все пойдет по плану, seed-фраза пользователя никогда не должна оставлять устройство незашифрованным. Тем не менее, у нас нет способа подтвердить это или гарантировать, что начальные фразы правильно заполнены или зашифрованы.
Но одно можно сказать наверняка: код теперь работает в вашем Ledger, и вы можете передавать свою мнемонику через USB/BT. С другой стороны, в этот момент ваш кошелек больше не будет «холодным кошельком», а будет «переходом от холодного к горячему». Не только это, но и возможность «горячего» вашего кошелька с помощью нескольких нажатий клавиш открывает множество новых маршрутов фишинговых и вредоносных атак, где хакеры могут случайно получить вашу сид-фразу.
Мы не можем установить, есть ли в Ledger встроенные меры безопасности, чтобы предотвратить передачу зашифрованной мнемоники осколка одному человеку, трем разным хранителям, или же мнемоника осколка может быть доставлена только пользователем. Пользователь сам расшифрует ее.
Другая проблема заключается в том, что вы не знаете, как функционируют мнемонические процессы восстановления или расшифровки. Пользователи должны зарегистрироваться в Ledger и подтвердить свою личность, но, поскольку дешифрование может быть выполнено только на их собственном устройстве, как новое устройство получает ключ дешифрования?
Обычно существует механизм авторизации нового устройства и отправки ему ключа дешифрования в ситуации сквозного шифрования (E2EE), однако в случае утери Ledger пользователь фактически не может этого сделать, поэтому кто-то другой должно быть устройство, на которое они были отправлены. Для восстановления мнемоники требуется копия вашего ключа дешифрования Ledger.
Кто владеет ключами дешифрования в этом случае? Это Леджер? Или он зашифрован и хранится в другом месте после восстановления Ledger и проверки личности? Если это так, как хранится, шифруется и аутентифицируется ключ дешифрования?
Более того, если кто-то обнаружит, что вы использовали Ledger Recover и получили свой идентификатор, он, вероятно, может забрать все ваши криптовалюты, даже если ваш Ledger в безопасности и находится где-то в ящике стола.
Стоит отметить, что CoinCover, хранитель Ledger Recover, и Onfido, указанные выше, базируются в Соединенном Королевстве. Другой хранитель не назван в исходном документе, однако, как сообщается, EscrowTech в Соединенных Штатах является одним из них. Если история верна, это означает, что вы будете подчиняться авторитету «Разума пяти глаз».
Заключение
Наиболее тревожным аспектом проблемы является очевидная потеря доверия между Ledger и ее пользователями, вызванная расхождениями в утверждениях фирмы.
Пользователи, выбравшие обновление Recover, с другой стороны, будут иметь свою личность, связанную со своими криптовалютными кошельками, что приблизит опыт к централизованному обмену с проверками «знай своего клиента» (KYC).
Onfido собирает всю информацию KYC. Когда вы загружаете/подтверждаете свою идентификацию, фирма также выполняет регистрацию KYC и отслеживает ваше устройство и текущее поведение. Вы не только доверяете Ledger и другим уполномоченным сторонам, но и доверяете Onfido свою конфиденциальную информацию. Это бедствие в процессе становления?
Дебют сервиса Recover от Ledger может быть не очень удачной идеей, поскольку он нарушает все концепции использования аппаратных кошельков (холодное хранение) и требует KYC. В то же время метод «неоткрытого исходного кода» заставляет многих пользователей Web3 скептически относиться к его утверждениям.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом веб-сайте предоставляется в качестве общего рыночного комментария и не является инвестиционным советом. Мы рекомендуем вам провести собственное исследование, прежде чем инвестировать.
Присоединяйтесь к нам, чтобы следить за новостями: https://linktr.ee/coincu
Гарольд
Коинку Новости
Другие сообщения
Похожие сообщения
Новости
FSOCIETY угрожает массовой утечкой данных Bitfinex: 400,000 XNUMX пользователей в опасности
Новости
Фермеров LayerZero Sybil Airdrop теперь резко блокируют за мошенничество
Новости
Облака разочарования: запуск Friend Tech v2, несмотря на новые интересные функции
Новости
Приток биткойн-ETF показывает положительные признаки: 378 мая 3 миллионов долларов
Новости
Инвестиции Pantera Capital в TON направлены на расширение возможностей P2P-платежей
Новости
Роджер Вер арестован в Испании по обвинению в налоговом мошенничестве на 48 миллионов долларов
Новости
Ошибка адреса привела к потере WBTC в размере 68 миллионов долларов, жертва стала жертвой фишинга
ЗНАНИЯ
Прогнозы по выборам в США: последствия и важность нового президента США
Новости
