Ledger กระเป๋าเงินฮาร์ดแวร์ได้เปิดตัวบริการ "Ledger Recover" ซึ่งทำให้เกิดข้อโต้แย้ง อะไรคือความเส

PANews

特邀专栏作者

2023-05-17 10:30

บทความนี้มีประมาณ 1900 คำ การอ่านทั้งหมดใช้เวลาประมาณ 3 นาที

หลังจากเปิดตัวฟีเจอร์นี้ ผู้ใช้ Web3 จำนวนมากมีความกังวลเกี่ยวกับความเป็นส่วนตัวและความปล

สรุปโดย AI

ขยาย

ผู้เขียนต้นฉบับ:หัวหน้าฝ่ายเนื้อหาที่ Foundation บริษัทพัฒนาเครื่องมือ bitcoin @Sethforprivacy

การรวบรวมต้นฉบับ: PANews

เมื่อวันที่ 16 พฤษภาคม Ledger ได้เปิดตัวการอัปเดตเฟิร์มแวร์ Nano X cold wallet 2.2.1 ซึ่งจะแนะนำฟังก์ชันการกู้คืนข้อมูลที่สำคัญที่เรียกว่า "Ledger Recover" ซึ่งเป็นบริการกู้คืนคีย์ตาม ID คีย์ส่วนตัวของผู้ใช้จะได้รับการสำรองข้อมูลเพื่อกู้คืน จำเป็นต้องมีวลีเริ่มต้นและการสมัครสมาชิก ($ 9.99 ต่อเดือน) เพื่อเปิดใช้งาน ปัจจุบันจำเป็นต้องมีหนังสือเดินทาง/เอกสาร ID ที่ออกให้ในสหภาพยุโรป สหราชอาณาจักร แคนาดา หรือสหรัฐอเมริกาเพื่อสมัครใช้บริการ แต่ในอีกไม่กี่เดือนข้างหน้าจะครอบคลุมประเทศต่างๆ มากขึ้นและจะมีการรองรับเอกสารเพิ่มเติม

อย่างไรก็ตาม การเปิดตัวฟังก์ชันนี้ทำให้ผู้ใช้ Web3 หลายคนกังวลเกี่ยวกับความเป็นส่วนตัวและความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับการเก็บคำช่วยจำคีย์ส่วนตัวและเชื่อมโยงกับหนังสือเดินทางหรือเอกสารประจำตัว ซึ่งละเมิดค่าความเป็นส่วนตัวของการเข้ารหัสอย่างเห็นได้ชัด ชุมชน. หัวหน้าฝ่ายเนื้อหาของ Foundation ซึ่งเป็นบริษัทพัฒนาเครื่องมือ bitcoin ได้โพสต์ประกาศถึง "อันตราย" ของโซลูชันการดูแล cryptocurrency ล่าสุดของ Ledger

ว่ากันว่าแกนหลักของผลิตภัณฑ์ใหม่ของ Ledger คือการแบ่งส่วนช่วยจำของผู้ใช้และแบ่งตัวช่วยจำออกเป็นสามส่วนก่อนที่จะเข้ารหัส ขณะเดียวกัน ผู้ใช้จะต้องระบุ ID + บันทึกเซลฟีของตนเอง มนุษย์ปกป้องข้อมูลเหล่านี้สำหรับคุณ

อย่างไรก็ตาม มีปัญหากับบัญชีแยกประเภทในการทำเช่นนี้

ก่อนอื่น เพื่อที่จะใช้ระบบ "การกู้คืนวลีช่วยจำ" นี้ คุณต้องเชื่อมโยงข้อมูลประจำตัว ID ของคุณกับบัญชีแยกประเภทของคุณ ซึ่งจะทำให้เกิดปัญหา KYC ทำให้เกิดการรั่วไหลของข้อมูล การแฮ็ก และการเซ็นเซอร์และปัญหาการตรวจสอบ

ประการที่สอง คุณต้องเชื่อถือบุคคลที่สามและส่งมอบข้อมูล ID และข้อมูลที่เกี่ยวข้องกับ cryptocurrencies ให้กับบุคคลที่สาม การรั่วไหลของข้อมูลหรือการแฮ็กมีโอกาสสูงในกรณีนี้ เนื่องจากข้อมูลผู้ใช้บัญชีแยกประเภททั้งหมดมีค่ามาก (ทั้งในปัจจุบันและอนาคต) และ "บุคคลที่สามที่ได้รับอนุญาต" อาจตัดสินใจใช้ข้อมูลของคุณเป็นแหล่งรายได้ได้ทุกเมื่อ

ยิ่งไปกว่านั้น บริการ Ledger Recover ยังลดความเป็นส่วนตัวของผู้ใช้อีกด้วย ในปัจจุบัน ผู้ใช้บัญชีแยกประเภทส่วนใหญ่เลือกที่จะใช้บริการซอฟต์แวร์ Ledger Live ซึ่งจะใช้โหนดบัญชีแยกประเภทเพื่อซิงโครไนซ์กระเป๋าเงินทั้งหมดซึ่งมีรายละเอียดทั้งหมดของกิจกรรมการเข้ารหัสลับในกระเป๋าเงิน เมื่อเทียบกับการผูก ID ของตนเองกับบัญชีแยกประเภท ผู้ใช้ การใช้ Ledger Live มีความเสี่ยงสูง

ตามข้อมูลที่เปิดเผย ข้อมูล KYC ทั้งหมดจะถูกรวบรวมโดยบริษัทที่ชื่อว่า "Onfido" ซึ่งจะจัดการเรื่องต่างๆ เช่น การตรวจสอบข้อมูล KYC เมื่อผู้ใช้บัญชีแยกประเภทอัปโหลด/ยืนยันตัวตน พวกเขาจะเก็บ ID ผู้ใช้ วิดีโอเซลฟี่ รูปภาพ/วิดีโอ/ เสียง และภาพรวมของอุปกรณ์ของผู้ใช้และกิจกรรมปัจจุบัน

ซึ่งหมายความว่า Onfido จะสามารถควบคุม ID ของคุณได้อย่างเต็มที่และความจริงที่ว่าคุณเป็นผู้ใช้บัญชีแยกประเภท แน่นอน พวกเขารู้แน่ว่าคุณถือสกุลเงินดิจิทัล Onfido จะมีความรู้อย่างเต็มที่เกี่ยวกับอุปกรณ์ที่คุณใช้ในการตรวจสอบสิทธิ์ ดังนั้นตอนนี้คุณไม่เพียงแต่ไว้วางใจ Ledger และ “บุคคลที่สามที่ได้รับอนุญาต” ด้วยข้อมูลระบุตัวตนของคุณ แต่คุณยังไว้วางใจ Onfido กับอุปกรณ์ของคุณและอีกมากมาย

การดำเนินการทั้งหมดนี้สามารถนำไปสู่ภัยคุกคามใหม่ๆ ได้อย่างง่ายดาย ต่อไป ให้เราวิเคราะห์เพิ่มเติมจากมุมมองทางเทคนิค

จากมุมมองทางเทคนิค ผู้ใช้ต้องเชื่อถือบัญชีแยกประเภท "100%" เนื่องจากรหัสสำหรับกระบวนการทั้งหมดถูกปิดและไม่สามารถตรวจสอบได้ ในขณะที่ Nicolas Bacca ผู้ร่วมก่อตั้ง Ledger กล่าวว่าทีมของเขาวางแผนที่จะเปิดรหัสในอนาคตเพื่อให้ผู้ใช้สามารถดูว่าบริการกู้คืนของ Ledger เข้ารหัสข้อมูลผู้ใช้อย่างปลอดภัยและทำงานอย่างปลอดภัยภายใต้ประทุนได้อย่างไร Ledger ยังทำให้บริการกู้คืนสามารถเข้าถึงได้อย่างสมบูรณ์ เลือก และมีความโปร่งใสเกี่ยวกับการเป็นหุ้นส่วนกับผู้ดูแลบุคคลที่สาม แต่อย่างน้อยในการเขียนนี้ Ledger ยังไม่ได้เปิดซอร์สโค้ดที่เกี่ยวข้อง นั่นคือไม่มีใครนอกจาก Ledger เองที่สามารถตรวจสอบสิ่งที่เกิดขึ้นจริง/ความปลอดภัยได้

หากทุกอย่างเป็นไปตามที่อธิบาย ในทางทฤษฎี วลีเริ่มต้นของผู้ใช้ไม่ควรปล่อยให้อุปกรณ์อยู่ในสถานะที่ไม่ได้เข้ารหัส อย่างไรก็ตาม เราไม่มีวิธีตรวจสอบและรับประกันว่าวลีเริ่มต้นเหล่านี้เสร็จสมบูรณ์อย่างปลอดภัยหรือเข้ารหัสอย่างถูกต้อง แต่สิ่งหนึ่งที่แน่นอนคือ ตอนนี้รหัสกำลังทำงานบนบัญชีแยกประเภทของคุณ และคุณสามารถส่งข้อความจำของคุณผ่าน USB/BT จากมุมมองอื่น ในเวลานี้กระเป๋าเงินของคุณจะไม่ใช่สิ่งที่เรียกว่า "กระเป๋าเงินเย็น" อีกต่อไป แต่จะ "เปลี่ยนจากเย็นเป็นร้อน" ไม่เพียงเท่านั้น ความสามารถในการ "ฮอต" กระเป๋าเงินของคุณด้วยการกดแป้นพิมพ์ไม่กี่ครั้งยังเปิดโอกาสการโจมตีใหม่ๆ มากมายสำหรับฟิชชิงและมัลแวร์ ซึ่งแฮ็กเกอร์อาจเข้าถึงวลีตั้งต้นของคุณโดยไม่รู้ตัว

ในขั้นตอนนี้ เราไม่สามารถระบุได้ว่าบัญชีแยกประเภทมีมาตรการรักษาความปลอดภัยในตัวเพื่อป้องกันไม่ให้ใครบางคนส่งข้อความช่วยจำที่เข้ารหัสลับไปยังบุคคลเดียว หรือไปยังผู้ดูแลที่แตกต่างกัน 3 คน หรือว่าผู้ใช้เท่านั้นที่จะถอดรหัสความทรงจำของชาร์ดได้ ด้วยพระองค์เอง

มีปัญหาอื่นอยู่ที่นี่ คุณไม่สามารถรู้ได้ว่ากระบวนการกู้คืนระบบช่วยจำหรือกระบวนการถอดรหัสทำงานอย่างไร ผู้ใช้ต้องเข้าสู่ระบบบัญชีแยกประเภทและยืนยันตัวตน แต่ถ้าถอดรหัสได้เฉพาะในอุปกรณ์ของตนเอง อุปกรณ์ใหม่จะรับคีย์ถอดรหัสได้อย่างไร

ในรูปแบบการเข้ารหัสแบบ end-to-end (E2EE) มักจะมีวิธีการอนุมัติอุปกรณ์ใหม่และส่งคีย์การถอดรหัสให้พวกเขา แต่ในกรณีของบัญชีแยกประเภทที่สูญหาย ผู้ใช้ไม่สามารถทำเช่นนี้ได้ ดังนั้นจึงต้องมีคนอื่น จำเป็นต้องมีสำเนาของคีย์ถอดรหัสบัญชีแยกประเภทที่ส่งถึงคุณสำหรับการกู้คืนระบบช่วยจำ

ในกรณีนี้ ใครเป็นเจ้าของคีย์ถอดรหัสเหล่านี้ มันคือบัญชีแยกประเภท? หรือมีการเข้ารหัสและวางไว้ที่ไหนสักแห่งหลังจากลงชื่อเข้าใช้ Ledger Recover และการตรวจสอบ ID ถ้าเป็นเช่นนั้น คีย์ถอดรหัสถูกจัดเก็บอย่างไร เข้ารหัสด้วยเทคนิคใด และตรวจสอบความถูกต้องอย่างไร

ชื่อระดับแรก