Обновление холодного кошелька позволяет отправлять зашифрованные части сид-фразы пользователя третьим лицам.
Да, звучит дико. Многие криптаны обратились в своих социальных сетях к юзерам Леджера и самой компании, чтобы выразить свою обеспокоенность по поводу последствий введения этой функции для безопасности.
Некоторые криптоинвесторы с недовольством отреагировали в социальных сетях после того, как компания Ledger представила инструмент восстановления для своих аппаратных криптокошельков, предназначенный для создания резервной копии в случае потери начальной фразы.
Функция, которую назвали Ledger Recover, позволяет пользователям, оформившим подписку, использовать ее в качестве резервной копии своих закрытых ключей.
Сервис разделяет начальную фразу пользователя на три зашифрованных части и отправляет их сторонним компаниям. Если эти части объединить и расшифровать, то ты сможешь восстановить свою сид-фразу.
Если проще, то твоя сид-фраза будет разбита на осколки (от англ. shards). Они могут быть по-отдельности переданы третьим лицам. А в случае утраты твоей сид-фразы ты сможешь ее восстановить. Но надо будет также быть верифицированным.
"Это ужасная идея, НЕ включайте эту функцию", - написал в Twitter главный специалист по информационной безопасности Polygon Labs Мудит Гупта.
"Проблема здесь не в том, чтобы разделить ключ на 3 части. Это на самом деле хорошо! Я лично тоже могу делать это, а могу и не делать :) Проблема здесь в том, что зашифрованные части [ключа] отправляются в 3 корпорации, и они могут восстановить ваши ключи".
Другие высокопоставленные члены криптовалютного твиттера также не остались в стороне:
"WTF, ребята, что вы делаете? Все идет в неправильном направлении", – высказал свое мнение криптоинвестор, известный как DC Investor, своим 229 000 подписчикам в Twitter. "Я бы не рекомендовал никому переходить на такую прошивку".
На Reddit владельцы Ledger потребовали прояснить, как происходит этот процесс и отправляется ли информация непосредственно из кошелька или пользователям придется вводить свою начальную фразу в устройство извне.
Николас Бакка, соучредитель и вице-президент инновационной лаборатории Ledger, ответил юзерам Reddit:
"Устройство отправляет зашифрованные осколки вашей сид-фразы в различные компании, если вы решите воспользоваться сервисом. Конечно, вы все еще можете сделать резервную копию самостоятельно".
"Это не меняет принципов безопасности по отношению к обновлению прошивки", - добавил он.
Однако сообщение Бакки не развеяло все опасения. Несколько участников Redditors ответили, что сам факт присутствия такой функции уже катастрофа.
"Это так, потому что теперь в прошивке есть функция обмена начальной фразой с компьютером, так что это просто вопрос времени, когда кто-то воспользуется этим", - сказал один из пользователей Redditor, известный как Veloder.
Наш коллега из 1inch, Антон Буков, отметил комментарии соучредителя Ledger и аналогичным образом заявил, что обновление нарушает основную предпосылку безопасности аппаратного кошелька, которая заключается в том, что нет возможности раскрыть начальную фразу.
В электронном ответе The Block компания Ledger заявила, что расшифровка трех шардов может произойти только на устройстве Ledger, после того как пользователь подтвердит свою личность.
"Эти компании никогда не имеют доступа к вашей начальной фразе, она не хранится "в облаке", а резервные копии шифруются, фрагментируются и расшифровываются только непосредственно на вашем Ledger, если вы подписались - так что если вы пользователь Ledger, который хочет использовать свой Ledger так же, как и раньше, вы можете делать это без опасений. Для вас ничего не изменится".
Услуга Ledger Recovery будет стоить 9,99 долларов в месяц, сообщает Wired, и будет полагаться на трех хранителей: Ledger, Coincover и EscrowTech. Первоначально услуга будет доступна в США, Великобритании, Европейском Союзе и Канаде, а затем будет распространена на другие страны.
Мы не призываем как-либо отказываться, бойкотировать данное решение, но в любом случае безопасности для холодного кошелька, данное нововведение явно не прибавило.