Najnowsza aktualizacja Ledgera zagraża bezpieczeństwu haseł
- Po aktualizacji, fraza seed może trafić do Internetu
- Ledger Recover również wymaga KYC
Ledger, firma tworząca sprzętowe portfele do przechowywania kryptowalut, wprowadziła nową funkcję o nazwie Ledger Recover, która pozwala na odzyskanie frazy passphrase. Ta aktualizacja natychmiast wywołała niepokój wśród użytkowników, którzy uważają, że jest to kolejny potencjalny wektor ataku.
Ledger Recover to usługa subskrypcji ID, która pozwala na uzyskanie hasła. Ma zastosowanie do portfeli sprzętowych Ledger Nano X i zostanie uruchomiona w wydaniu firmware 2.2.1.
Klienci Ledger wyrazili poważne zastrzeżenia do tej funkcji na Reddicie. Według nich wymaga ona przechowywania hasła online i łączenia go z paszportem lub krajowym dowodem tożsamości.
«Katastrofa, która czeka, by się wydarzyć. Wymóg przesłania dowodu osobistego czyni ofertę jeszcze bardziej nieatrakcyjną z punktu widzenia bezpieczeństwa» — napisali użytkownicy na Reddicie.
Jeden z użytkowników zasugerował, że subskrypcja nowej funkcji jest zbędna, co czyni ją niepraktyczną. W odpowiedzi zauważono jednak, że samo istnienie Ledger Recover może oznaczać, że urządzenie i fraza użytkownika mogą zostać skompromitowane, niezależnie od obecności identyfikatora.
Szacuje się, że w 2022 roku około 545 milionów dolarów w BTC zostało utraconych z powodu utraconych haseł lub błędów z frazą odzyskiwania, co pokazuje, że istnieje realna potrzeba rozwiązania tego problemu.
