Ledger спробували виправдатися після скандалу на тлі чуток про ризик витоку даних користувачів
- Виробник послався на розпливчасті формулювання про непостійність криптографії
- До цього користувачів обурив той факт, що у компанії є «лазівка» для доступу до seed-фраз клієнтів
Раніше цього тижня виробник апаратних гаманців Ledger представив нову функцію під назвою Recovery. Згідно із заявою компанії, вона дає змогу створити «бекап» seed-фрази, що може призвести до додаткового ризику злому рахунку.
Ситуація загострилася ще сильніше, коли Ledger «потерли» проблемний «твіт»:
У повідомленні сказано, що Ledger можуть написати прошивку, яка дасть змогу спростити доступ до закритих ключів клієнтів. Крім того, Функція Recovery фактично перетворює «холодні» рахунки на «гарячі», оскільки вимагає проходження KYC і зберігає фрагменти бекапа seed-фрази на сторонньому сервері.
Учора, 18 травня, виробник заявив, що видалив «твіт» через «неправильне формулювання». Також в обговоренні взяв участь і CTO Ledger Шарль Гіллеме, який опублікував цілу «гілку» з докладним поясненням того, як працює ОС компанії.
З його слів, є безліч способів реалізації бекдора, і купівля апаратного гаманця завжди вимагала «певного ступеня довіри». Навіть використання принципу відкритого вихідного коду не розв’язує проблему, оскільки користувач не може знати, яка саме прошивка встановлена на його гаджеті.
Також він заявив, що у Ledger немає і ніколи не було доступу до фрази з 24 слів, яку отримує кожен користувач. Однак це не дає гарантію безпеки.
Але раніше, в листопаді минулого року, Ledger стверджували, що у них немає технічної можливості відновити seed-фразу, якщо та була загублена. Тепер же ситуація виглядає дещо інакше, і деякі експерти порадили користувачам змінити гаманець.
Буде цікаво
