امتیاز کلیدی:

  • با ارتقای جدید Ledger Recover، کیف پول رمزنگاری سخت‌افزاری اکنون یک سرویس اشتراک ارائه می‌دهد که به شما امکان می‌دهد به طور ایمن عبارت seed بازیابی خود را ذخیره کنید.
  • با این وجود، این خبر به شدت توسط بخشی از جامعه Web3 مورد حمله قرار گرفته است.
  • Ledger Recover اساسا عبارت اولیه کاربر را رمزگذاری می‌کند و آن را به سه قسمت تقسیم می‌کند که هر کدام با یک متولی جداگانه به اشتراک گذاشته می‌شود.
لجر این هفته پس از اعلام قصد راه‌اندازی Ledger Recover، یک سرویس عضویت اختیاری و پولی برای کاربران کیف پول Ledger Nano X که یک روش بازیابی عبارت اولیه را که شامل متولیان شخص ثالث است، ارائه می‌کند، در آب داغ بود. به گفته این شرکت، عملکرد جدید پیشرفتی است که دارندگان ارزهای دیجیتال و NFT را قادر می‌سازد تا وجوه خود را در صورت گم شدن یا فراموش شدن عبارت اولیه بازیابی کنند.
چرا عملکرد جدید بازیابی لجر باعث بحث و جدل شد؟

با این وجود، این خبر به شدت توسط بخشی از جامعه Web3 محکوم شده است، که ادعا می‌کنند ارتقای سیستم عاملی که به سرویس اجازه می‌دهد تا موجود باشد، خط‌مشی طولانی‌مدت لجر برای اطمینان از اینکه کلید خصوصی کاربر هرگز دستگاه را ترک نمی‌کند، نقض می‌کند. چنین مسائلی در مورد تعهد ادعایی کیف پول به حریم خصوصی و امنیت تردید ایجاد کرده است که شرکت آن را رد می کند.

Ledger ارتقاء سفت‌افزار 2.2.1 کیف پول سرد Nano X را در 16 می راه‌اندازی کرد که شامل یک ابزار بازیابی حافظه کلیدی به نام “Ledger Recover” به عنوان یک سرویس بازیابی کلید مبتنی بر شناسه است.

برای بازیابی عبارت seed از کلید خصوصی کاربر نسخه پشتیبان تهیه می کند و برای استفاده به عضویت (9.99 دلار در ماه) نیاز دارد. در حال حاضر، برای عضویت در این سرویس، یک سند پاسپورت/شناسنامه اتحادیه اروپا، بریتانیا، کانادا یا ایالات متحده لازم است، اما در ماه‌های آینده از کشورها و اسناد بیشتری پشتیبانی می‌شود.

با این وجود، انتشار این قابلیت باعث شده است که بسیاری از کاربران Web3 نگران حفظ حریم خصوصی و امنیت باشند، به ویژه از آنجایی که مستلزم ذخیره عبارات یادداشتی کلید خصوصی و مرتبط کردن آنها با گذرنامه یا اسناد شناسایی است که به وضوح با ایده‌آل‌های حریم خصوصی جامعه رمزگذاری در تضاد است.

ویژگی جدید بحث برانگیز

Ledger یکی از معروف ترین و محبوب ترین تولیدکنندگان کیف پول های سخت افزاری در جهان است که ارزش آن بیش از یک میلیارد دلار است و فروش سالانه آن بیش از 53 میلیون دلار تخمین زده می شود. کیف پول‌های سخت‌افزاری که اغلب به عنوان دستگاه‌های «ذخیره‌ی سرد» شناخته می‌شوند، تجهیزاتی شبیه درایو انگشت شست USB هستند که روشی بسیار ایمن برای ذخیره ارزهای دیجیتال ارائه می‌کنند. به نظر می رسد که آنها به رقبای “کیف پول داغ” مانند MetaMask و WalletConnect ترجیح داده می شوند، که استفاده از آنها ساده تر است، اما مضرات آن ها نگه داشتن کلیدهای خصوصی آنلاین است و آنها را در معرض خطر بیشتری قرار می دهد.

راه‌اندازی کیف پول لجر مستلزم تولید یک عبارت اولیه منحصربه‌فرد است، که مجموعه‌ای از کلمات تولید شده به‌طور تصادفی است که به‌عنوان کلید خصوصی برای کیف پول‌های رمزنگاری عمل می‌کند. اگرچه این سیستم ایمن است، اما مشکلات قابلیت استفاده دارد. از دست دادن عبارت seed به معنای از دست دادن دسترسی به پول است که اگر به دست افراد اشتباهی برسد ممکن است منجر به سرقت کیف پول شود.

بر اساس گزارش ها، اساس این عملکرد جدید، قطعه قطعه کردن عبارت یادگاری کاربر و تقسیم آن به سه قسمت قبل از رمزگذاری آن است. در عین حال، مصرف کنندگان باید شناسه و سابقه سلفی خود را ارائه دهند و همچنین به سه متولی اعتماد کنند. انسان ها از این اطلاعات برای شما محافظت می کنند.

با این حال، یک مشکل با لجر در انجام این کار وجود دارد.

برای شروع، به منظور استفاده از این روش “بازیابی یادگاری”، باید اطلاعات شناسایی شناسه خود را با حساب خود مرتبط کنید، که منجر به یک نقطه درد KYC، نشت داده، هک، سانسور و نظارت می شود.

دوم، شما باید به شخص ثالث اعتماد کنید و اطلاعات شناسایی خود و همچنین دانش در مورد پول نقد رمزگذاری شده را در اختیار آنها قرار دهید. نقض یا هک داده ها در این شرایط کاملاً ممکن است. پس از همه، داده های کاربر بسیار ارزشمند هستند (هم اکنون و هم در آینده)، و هر “شخص ثالث تایید شده” ممکن است تصمیم بگیرد که از داده های شما به عنوان منبع پول در هر لحظه استفاده کند.

علاوه بر این، عملکرد Recover حریم خصوصی کاربر را به خطر می اندازد. در حال حاضر، اکثر کاربران استفاده از سرویس نرم‌افزار Ledger Live را انتخاب می‌کنند، که از گره Ledger برای همگام‌سازی تمام کیف‌پول‌ها استفاده می‌کند، که حاوی تمام جزئیات فعالیت‌های ارز دیجیتال در کیف پول است، کاربرانی که از Ledger Live استفاده می‌کنند در معرض خطر بالاتری نسبت به اتصال کاربران هستند. شناسه خود را به حساب Leger.

یک تحلیلگر امنیتی که ابزاری را تبلیغ می‌کند که یک کلید خصوصی کاملاً غیرقابل لمس و غیرقابل حرکت را ذخیره می‌کند و سپس به طور ناگهانی فاش می‌کند که ممکن است به کلید دسترسی پیدا کرده و با طرف‌های دیگر به اشتراک گذاشته شود، برای اکثر جامعه Web3 خوشایند نبود.

این تصور که کاربران برای شرکت در Recover ملزم به ارائه یک شناسه دولتی هستند، بسیار ناراحت کننده بود.

افشای این ارتقاء باعث خشم در دنیای رمزنگاری شد، با اتهاماتی مبنی بر اینکه عملکرد جدید لجر با تضمین های قبلی در مورد دور نگه داشتن کلیدهای خصوصی از اینترنت در تضاد است.

دیگرانی که احساس می‌کنند شک دارند اغراق می‌کنند، به این واقعیت اشاره کرده‌اند که کیف پول‌ها ذاتاً قابل ارتقا هستند تا نگرانی‌ها در مورد دسترسی و امنیت آن‌ها کاهش یابد، و همچنین برای ارائه شفافیت در مورد اصول اساسی نحوه عملکرد کیف‌ها در وهله اول. کیف پول‌های سخت‌افزاری اگر نتوانند به‌روزرسانی شوند، کاربرد خود را از دست می‌دهند، زیرا خود زنجیره‌های بلوکی در طول زمان بهبود می‌یابند و هر دستگاهی که با بلاک چین تعامل دارد باید بتواند به درستی سازگار شود.

سرویس اشتراک هرچه باشد یا نباشد، مشکلات توضیح ویژگی های جدید در محیط واکنش سریع Web3 را نشان می دهد. بحث Recover، مانند بسیاری از موارد دیگر قبل از آن، نبرد مداومی را که مشاغل با محوریت بلاک چین با آن روبرو هستند را برجسته می کند. دستیابی به تعادل بین تجربه کاربر و احترام به باورهای اساسی جامعه رمزنگاری کاری دشوار است.

چرا عملکرد جدید بازیابی لجر باعث بحث و جدل شد؟

آیا لجر عبارت اصلی شما را پیگیری می کند؟

ارتقاء به Ledger Recover ادعا می کند که عبارت seed شما را رمزگذاری کرده و به سه قسمت تقسیم می کند. پس از آن، شما مدارک شناسایی و یک فیلم سلفی ارائه می دهید و سه نگهبان جداگانه از خرده ها برای شما محافظت می کنند. Ledger، Coincover، و یک شرکت سوم به عنوان نگهبان خدمت خواهند کرد. تاکید کرد که این یک سرویس تکمیلی است و مشتریان ممکن است به استفاده از عبارات بذر بازیابی خود مانند گذشته ادامه دهند. این تغییر خشم بسیاری از فعالان حریم خصوصی اینترنتی را در توییتر برانگیخت.

چرا خطرناک است؟

با توجه به اطلاعات ارائه شده، تمام داده‌های KYC توسط شرکتی به نام «Onfido» جمع‌آوری می‌شود که کارهایی مانند تأیید اطلاعات KYC را انجام می‌دهد. هنگامی که کاربران لجر هویت خود را آپلود/تأیید می کنند، شناسه های کاربری، ویدیوهای سلفی، عکس/فیلم/صدا و تصویر کلی از دستگاه کاربر و فعالیت های فعلی حفظ می شود.

این بدان معناست که Onfido به شناسه شما و اطلاعاتی که شما کاربر لجر هستید دسترسی کامل خواهد داشت. البته آنها می دانند که شما ارز دیجیتال دارید. Onfido همچنین اطلاعات کاملی از دستگاه‌های احراز هویتی که استفاده می‌کنید خواهد داشت، بنابراین شما اکنون نه تنها به لجر و «اشخاص ثالث تأیید شده» در مورد داده‌های هویت خود اعتماد دارید، بلکه به Onfido در مورد دستگاه‌های خود و موارد دیگر نیز اعتماد دارید.

همه این اقدامات پتانسیل ایجاد خطرات جدید را دارند. اکنون از نقطه نظر فنی به آن نگاه می کنیم.

کاربران باید از نقطه نظر فناوری به لجر “100%” اعتماد کنند زیرا کد کل فرآیند بسته و غیرقابل تأیید است. اگرچه نیکلاس باکا، یکی از بنیانگذاران لجر، گفت که تیم او قصد دارد در آینده کد خود را باز کند تا مشتریان بتوانند ببینند چگونه سرویس بازیابی کیف پول به طور ایمن داده های کاربر را رمزگذاری می کند و در پشت صحنه عملکرد ایمن دارد، این شرکت همچنین خدمات بازیابی خود را به صورت عمومی ارائه می کند. در دسترس. توافقات با متولیان شخص ثالث را انتخاب کنید و پیشاپیش باشید، با این حال، از زمان نوشتن این مقاله، لجر کد مورد نیاز را منبع باز نکرده است، به این معنی که هیچ کس به جز لجر نمی تواند اتفاقات/امنیت را تأیید کند.

اگر همه چیز طبق برنامه پیش برود، عبارت اولیه کاربر هرگز نباید دستگاه را بدون رمزگذاری رها کند. با این وجود، ما هیچ روشی برای تأیید این موضوع یا تضمین درستی تکمیل یا رمزگذاری عبارات اولیه نداریم.

اما یک چیز مسلم است: کد اکنون در Ledger شما اجرا می شود و شما ممکن است یادداشت خود را از طریق USB/BT منتقل کنید. از زاویه ای دیگر، کیف پول شما در این مرحله دیگر یک “کیف پول سرد” نخواهد بود، بلکه “انتقال از سرد به گرم” خواهد بود. نه تنها این، بلکه توانایی «گرم کردن» کیف پول خود با چند ضربه کلید، تعداد زیادی از مسیرهای حمله فیشینگ و بدافزار جدید را باز می کند که در آن هکرها ممکن است به طور تصادفی عبارت اولیه شما را دریافت کنند.

ما نمی‌توانیم تعیین کنیم که آیا لجر دارای پادمان‌های امنیتی داخلی برای جلوگیری از انتقال یادداشت خرده‌ای رمزگذاری‌شده به یک نفر است یا خیر، یا اینکه یادداشت خرده تنها می‌تواند توسط کاربر تحویل داده شود، خودش آن را رمزگشایی می‌کند.

مسئله دیگر این است که شما مطمئن نیستید که فرآیندهای بازیابی حافظه یا رمزگشایی چگونه کار می کنند. کاربران باید به Ledger مراجعه کرده و هویت خود را تأیید کنند، اما از آنجایی که رمزگشایی فقط در دستگاه خودشان قابل انجام است، دستگاه جدید چگونه کلید رمزگشایی را دریافت می‌کند؟

چرا عملکرد جدید بازیابی لجر باعث بحث و جدل شد؟

معمولاً مکانیزمی برای مجوز دادن به یک دستگاه جدید و ارسال کلید رمزگشایی برای آن در یک موقعیت رمزگذاری سرتاسر (E2EE) وجود دارد، اما در مثال یک دفتر کل گمشده، کاربر واقعاً نمی‌تواند این کار را انجام دهد، بنابراین شخص دیگری باید دستگاهی را که به آن فرستاده اند داشته باشند. بازیابی Mnemonic به یک کپی از کلید رمزگشایی Ledger نیاز دارد.

چه کسی کلیدهای رمزگشایی را در این مورد نگه می دارد؟ آیا این دفتر کل است؟ یا اینکه بعد از Ledger Recover و تایید ID در جای دیگری رمزگذاری شده و ذخیره می شود؟ اگر اینطور است، کلید رمزگشایی چگونه نگهداری، رمزگذاری و احراز هویت می شود؟

علاوه بر این، اگر کسی متوجه شود که شما از Ledger Recover استفاده کرده‌اید و شناسه خود را به دست آورده‌اید، ممکن است تمام رمزارزهای شما را بگیرد، حتی اگر Ledger شما امن و در یک کشو قرار داشته باشد.

شایان ذکر است که CoinCover، متولی Ledger Recover، و Onfido، هر دو در بالا ذکر شد، در بریتانیا مستقر هستند. یکی دیگر از متولیان در سند اصلی ذکر نشده است، با این حال، EscrowTech در ایالات متحده یکی از آنها گزارش شده است. اگر داستان دقیق باشد، به این معنی است که شما تابع “هوش پنج چشم” خواهید بود.

نتیجه

نگران‌کننده‌ترین جنبه مشکل، از دست دادن آشکار اعتماد بین لجر و کاربران آن است که به دلیل اختلاف در اظهارات شرکت ایجاد شده است.

از سوی دیگر، کاربرانی که ارتقای Recover را انتخاب می‌کنند، هویت خود را به کیف پول ارزهای دیجیتال خود متصل می‌کنند و تجربه را به یک صرافی متمرکز با چک‌های شناخت مشتری (KYC) نزدیک‌تر می‌کنند.

Onfido تمام اطلاعات KYC را جمع آوری می کند. هنگامی که هویت خود را آپلود/تأیید می‌کنید، این شرکت همچنین KYC را انجام می‌دهد و دستگاه و رفتار فعلی شما را پیگیری می‌کند. شما نه تنها به لجر و سایر اشخاص مجاز اعتماد دارید، بلکه به Onfido در مورد اطلاعات حساس خود نیز اعتماد دارید. آیا این یک فاجعه در راه است؟

اولین سرویس Recover توسط Ledger ممکن است ایده هوشمندانه ای نباشد زیرا تمام مفاهیم استفاده از کیف پول های سخت افزاری (ذخیره سازی سرد) را نقض می کند و KYC را شامل می شود. در عین حال، روش «غیر باز» بسیاری از کاربران Web3 را نسبت به ادعاهای آن بدبین می کند.

سلب مسئولیت: اطلاعات این وب‌سایت به‌عنوان تفسیر کلی بازار ارائه شده است و به منزله مشاوره سرمایه‌گذاری نیست. ما شما را تشویق می کنیم قبل از سرمایه گذاری تحقیقات خود را انجام دهید.

برای پیگیری اخبار به ما بپیوندید: https://linktr.ee/coincu

هارولد

کوینکو اخبار

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *