Аппаратный кошелек Ledger открыт для взлома — сплошной скам

Последнее обновление аппаратного криптовалютного кошелька Ledger Nano X, вызвало резкую критику в сообществе. Новая функция Ledger Recover, вошедшая в обновление прошивки 2.2.1., раскрыла, что seed-фраза кошелька прописывается в чипах устройства и может быть восстановлена, а также может попасть в руки третьих лиц. По сути аппаратный кошелек Ledger открыто признал, что все эти годы вводил пользователей в заблуждение относительно надежности своих устройств и является скам разработкой.

В Ledger всегда утверждали, что приватный ключ хранится в отдельном чипе, который не имеет физически возможности поделиться этим ключом с внешним миром, включая прошивку. А на деле оказалось, что каким-то волшебным образом это возможно, и они попросту врали все эти годы.

Ledger заявляет, что функция Recover поможет усилить защиту кошелька

В компании указывают, что Ledger Recover как служба подписки, разрешает клиентам задействовать еще один уровень защиты своих закрытых ключей и делает кошелек еще более надежным.

Ledger Recover разбивает сид-фразу на 3 зашифрованные части, используя Shamir Secret Sharing. Фрагменты рассылают трем независимым компаниям. Объединение фрагментов и их расшифровка разрешаются после того, как пользователь подтвердит на устройстве Ledger свою личность. Эти компании не имеют доступа к исходной seed-фразе. Так, по крайней мере, утверждают в Ledger.

Новая услуга подписки доступна для устройств Ledger Nano X, а требование об удостоверении личности пока касается пользователей из:

• ЕС
• Англии
• Канады
• США.

Новая функция вызвала ожесточенную критику криптосообщества, которое признало, что Ledger — это ничто иное, как скам

В криптовалютном сообществе новую функцию встретили яростной критикой. Как сочли участники сообщества, новая функция предоставляет компании доступ к сид-фразам пользователей, подрывает смысл и предназначение аппаратного кошелька – сохранение seed-фразы при себе.  

В частности, Биткоин-инвестор и предприниматель Алистер Милн считает, что конечно можно использовать новую услугу от Ledger и предоставить личные ключи, управляющие активами, а также копию удостоверения личности и другую личную информацию. Но в чем тогда смысл такого аппаратного кошелька?

А криптовалютный инвестор DCinvestor сослался на предыдущую утечку данных, указав, что несколько лет назад Ledger допустила утечку персональных данных пользователей. Где гарантии, что это не произойдет завтра?

С ним согласен и бизнесмен Крис Данн, указывая, что сначала компания допустила взлом почтовых адресов, номеров телефонов и адреса электронной почты своих клиентов, тоже ссылаясь на утечку данных Ledger, в 2020 году, а теперь якобы усиливает защиту.

В свою очередь Мудит Гупта, директор по информационной безопасности Polygon Labs, поделился своими размышлениями о новой функции. По его словам, это ужасная идея, и проблема в том, что части зашифрованных ключей отправляются трем корпорациям, и они могут делать с ними все, что угодно, если захотят, восстановят и получат доступ к кошельку без ведома клиента. Или они могут быть взломаны хакерами.

Функция подвергается критике еще и за требование прохождения процедуры регистрации (KYC). Регистрация требует от пользователей отправки фотографии удостоверения личности. Каким образом компания будет обеспечивать защиту личной информации клиентов, если ее уже неоднократно взламывали?  

Репутация Ledger в плане хранения данных клиентов уже уничтожена

Ledger ранее сталкивалась с взломами. Напоминаем, что в декабре 2020 года, были похищены персональные данные 300 000 владельцев Ledger. В сети в открытом доступе оказались;

• имена,
• телефонные номера,
• адреса электронной почты,
• почтовые адреса.

Самое интересное, что взлом был осуществлен после еще одного, в июле 2020 года. Хакеры похитили 1 миллион электронных адресов пользователей.

Резюме: Ledger — скам

Новая функция Ledger Recover позволяет восстанавливать Seed-фразу с помощью третьих лиц. Фраза разделяется на 3 фрагмента и отправляется неизвестным сторонним людям/организациям в зашифрованном виде после одобрения пользователем. Затем ее можно восстановить, подтвердив свою личность через процедуру KYC с предоставлением паспортных данных.

В сообществе раскритиковали идею передачи данных третьим лицам и предостерегли от возможных махинаций с KYC для кражи активов.

«Первая реакция на обновление кошельков Ledger: Я просто могу оставить свои BTC на бирже, если не хочу владеть ими. Мне не нужен для этого Ledger» — говорится в одном из комментариев

Ledger своим обновлением попирает все принципы криптовалюты — неразглашение своей seed-фразы и соблюдение анонимности.

К сожалению, массовый потребитель этих кошельков вряд ли задумается о потенциальных рисках вышедшего обновления и продолжит ими пользоваться. Высока вероятность, что это приведет, в конечном итоге, к потере хранящихся на таком кошельке средств.

Заключение

Не храните свои криптоактивы на аппаратном кошельке Ledger! Не храните их ни на каком аппаратном кошельке — неизвестно какие сюрпризы скрывают другие разработчики. В случае необходимости создайте собственный криптовалютный кошелек холодного хранения с помощью USB-накопителя.

Помните: «кто владеет ключами (seed-фразой), тот владеет криптой»!

Подпишись на Tелеграм канал, чтобы быть в курсе новостей криптомира и не пропустить грядущий бычий цикл в крипте!! Переходи по ссылке прямо сейчас — https://t.me/like_freedman

Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News