Ledger Crypto Wallet Under Fire Over Seed Phrase Recovery Service

اتصال عبارت seed کریپتو به پاسپورت شما. چه چیزی می تواند اشتباه باشد؟

ارائه‌دهنده کیف پول سخت‌افزاری Ledger پس از انتشار آخرین سرویس Ledger Recover خود در فضای مجازی سر و صدای زیادی به پا کرده است. آخرین به روز رسانی سیستم عامل آنها.

به طور خلاصه، این یک سرویس بازیابی کلید مبتنی بر شناسه است که از عبارات اولیه کاربران پشتیبانی می کند. برای استفاده از این سرویس، کاربران باید گذرنامه یا کارت ملی برای تایید هویت خود ارائه دهند.

سه قطعه رمزگذاری شده توسط متولیان – Ledger، Coincover و ارائه‌دهنده سوم قابل اعتماد خواهند بود – برخی از کاربران نگران هستند که اکنون باید به امنیت این شرکت‌ها اعتماد کنند.

یکی از سخنگویان لجر گفت: «هر قطعه توسط طرفین در ماژول‌های امنیتی سخت‌افزاری (HSM) ذخیره می‌شود که اساساً لجرهای فوق‌قدرت دارند. رمزگشایی از طریق ایمیل. “این چیزی است که ما برای Ledger Enterprise استفاده می کنیم. هر قطعه به تنهایی بی فایده است و فقط در یک Ledger قابل رمزگشایی است. آنها کاملاً ایمن هستند.”

در حالی که این سرویس کاربران را ملزم می کند که شرکت کنند و هزینه ماهانه 9.99 دلار بپردازند، برخی نگران هستند که این حتی می تواند برای کسانی که شرکت نمی کنند یک خطر امنیتی باشد.

با این حال، یکی از سخنگویان لجر تأیید کرد که برای اینکه عبارت اولیه شما در این فرآیند شروع شود، باید آن را مستقیماً در دفتر کل خود تأیید کنید – درست مانند هر تراکنش دیگری.

لجر دچار الف نشت داده ها در سال 2020 که شماره تلفن و آدرس فیزیکی نزدیک به 300000 مشتری و همچنین بیش از 1 میلیون آدرس ایمیل را فاش کرد.

یکی گفت: “این فاجعه ای است که در انتظار وقوع است.” کاربر Reddit. «در واقع نمی‌توانم آنچه را که می‌خوانم باور کنم، این برای یک ارائه‌دهنده کیف پول سخت‌افزاری کاملاً دیوانه‌کننده به نظر می‌رسد که شما را تشویق کند از عبارت اولیه خود به صورت آنلاین نسخه پشتیبان تهیه کنید و پاسپورت/شناسه خود را به آن‌ها بدهید، مخصوصاً موردی که قبلاً دچار نقض اطلاعات شده است! “

برای مثال، اگر این اتفاق برای کاربران Ledger Recover بیفتد، هکر احتمالاً می‌تواند از این سرویس برای “بازیابی” عبارت seed استفاده کند.

آدریان هتمن، مدیر ارشد فناوری در پلتفرم باگ بوونتی Web3 ImmuneFi، گفت: افشای عبارت اولیه و سپس اجازه دادن به افراد دارای شناسه یا پاسپورت شما برای دسترسی مجدد به وجوه قفل شده، وضعیت امنیتی بدی است. رمزگشایی. سرقت شناسه امری رایج است و کاربران رمزارز را در معرض نوع جدیدی از حمله قرار می دهد.

با این حال، لجر رد کرده است که این یک خطر امنیتی است زیرا شناسه دولتی شما تنها بخشی از فرآیند است.

یکی از سخنگویان لجر گفت: “ما همچنین تشخیص زنده بودن کامل داریم، جایی که شما از دوربین خود استفاده می کنید و به شما اعلان های تصادفی می دهد که نمی توانند جعلی یا از قبل ضبط شوند.” رمزگشایی. “این مورد توسط فناوری و همچنین توسط انسان بررسی می شود تا از تطابق قبل از شروع فرآیند بازیابی اطمینان حاصل شود. بنابراین، کسی که شناسه شما را می دزدد نمی تواند شما را بازیابی کند. [Secret Recovery Phrase] SRP.”

بازیابی عبارت بذر

در حالی که Ledger Recover در حال جذب است، بازیابی عبارت اولیه به عنوان یک مفهوم کاملاً محکوم به فنا نیست.

بازیابی اجتماعی، استفاده شده توسط ویتالیک بوترین، به شما این امکان را می دهد که تعدادی از کیف پول های مورد اعتماد خود را – که به آنها نگهبان می گویند – واگذار کنید که می توانند بازیابی کیف پول شما را تأیید کنند. نگهبانان شما می توانند کیف پول های دیگری باشند که کنترل می کنید یا دوستان و اعضای خانواده مورد اعتماد شما.

“به طور کلی، من احساس می کنم بازیابی اجتماعی، همانطور که در EIP-4337 پیشنهاد شده است، یک ایده واقعا عالی است و من آن را دوست دارم، زیرا تجربه کاربر را به یک مدل استانداردتر از نحوه عملکرد UX سیستم بانکی فعلی و در عین حال ایمن بودن می رساند.” هتمن گفت. “شما هنوز کنترل را در دست دارید و می توانید هر حزبی را که دوست دارید انتخاب کنید.”

تفاوت اصلی در اینجا این است که کاربر می تواند سرپرستان خود را انتخاب کند و همچنین خطر امنیتی احتمالی مرتبط با ارائه گذرنامه و کارت شناسایی خود را حذف کند.

یادداشت سردبیر: این مقاله در تاریخ 16 مه 2023، ساعت 11:30 صبح به وقت شرقی به‌روزرسانی شد تا نظری از لجر در آن لحاظ شود.