📲 Ledger добавил функцию восстановления SEED-фразы

Функция Recover вошла в обновление прошивки 2.2.1 и пока доступна только на Ledger Nano X. Для ее использования требуется пройти процедуру KYC. Фраза отправляется сторонним организациям в зашифрованном виде, и при желании ее можно восстановить.

🤬 Функцию Recover раскритиковали, что вполне ожидаемо. Она подрывает все базовые принципы криптоэнтузиастов — полностью и конфиденциально владеть своими активами.

©️ @CryptoPizza_News 🍕

#Ledger #Recover

🤔 Обсудим: почему на Ledger так обозлились? Ведь функцию восстановления SEED, наверное, можно не включать?

Как уже все знают, Ledger добавил функцию восстановления SEED-фразы Recover в обновлении ПО 2.2.1. Данный функционал позволяет извлечь фразу и отправить ее на сторонний сервис в виде зашифрованных шардов. Чтобы включить функцию, нужно пройти KYC и подтвердить ее PIN-кодом.

📌 Казалось бы, эту функцию, наверное, можно просто не включать? Нет, нельзя. Проблема в том, что обновление ПО автоматически добавляет функцию извлечения SEED-фразы из устройства, что уже по сути является бэкдором, который рано или поздно будет использован злоумышленниками.

📌 То есть хотите вы того или нет, но на всех устройствах Nano X по умолчанию есть данный функционал, поэтому они априори небезопасны. Знаменитый слоган «ваш ключ не должен покидать устройство» здесь не работает. Безопасным пока остается только устройство Nano S.

📌 Другая проблема — KYC. Из-за Recover третья сторона будет владеть вашими личными данными, утечка которых — это, опять же, лишь вопрос времени.

💥 Ну и апокалиптический сценарий тоже стоит рассмотреть. Регуляторы начинают давить на Ledger и заставляют интегрировать ПО для обязательной верификации юзеров. Затем Ledger смотрит на ваше местоположение, извлекает вашу SEED-фразу, расшифровывает ее и передает государству, если вы в подсанкционном списке — бэкдор уже есть. Вроде, бред, но еще пару дней назад было бредом интегрировать функционал извлечения SEED в аппаратный кошелек, главная фишка которого — неизвлекаемость SEED даже при подписании транзакций.

Плюс мы не можем проверить функционал Recover, так как у него закрытый исходный код.

⏺ Действительно ли Ledger шифрует SEED и правильно ли сервис это делает?
⏺ Действительно ли SEED отправляется трем независимым организациям, а не одной?
⏺ Есть ли средства защиты от разных атак?
⏺ Действительно ли расшифровать SEED может только пользователь?
⏺ Если SEED можно дешифровать только на конкретном устройстве, то как восстановить фразу с другого устройства?
⏺ Есть ли копия ключа дешифрования? Если да, то где?

В общем, очень сложно поверить, что Ledger сам считает эту идею хорошей, а не добавил ее просто потому, что на него надавили регуляторы.

❔ А вы поддерживаете новый функционал?

Да — 👍
Нет — 🤬

©️ @CryptoPizza_News 🍕

#Ledger #Recover

🤡 Офигеть, оказывается, Ledger всегда могла извлекать ключи из устройства пользователя

Компания роет себе яму еще больше. Ledger заявила в защиту своей новой функции по извлечению SEED-фразы из устройства, что на самом деле фирма всегда могла это делать.

💬 «Если посмотреть с технической точки зрения, всегда можно было написать прошивку для извлечения ключа. Вы всегда доверяли Ledger в том плане, что компания не станет развертывать такую прошивку. Важно понимать, что когда пользователь выбирает аппаратный кошелек, он доверяет разработчику этого кошелька, то есть уверен в создании и обслуживании безопасного устройства», — отметили в пресс-службе компании.

В данный момент этот твит уже удален.

Что-то вообще стало пропадать желание покупать какой-либо аппаратный кошелек.🤣

©️ @CryptoPizza_News 🍕

#Ledger

🔓 Ledger продолжила комментировать ситуацию с вытаскиванием приватных ключей из кошелька

Вместо удаленного вчера странного твита теперь опубликовали более внятное объяснение.

Операционная система кошелька настроена так, что пользователь всегда должен подтверждать операции с закрытым ключом. Другими словами, ОС не имеет возможности копировать и вытаскивать закрытый ключ без одобрения пользователя.

Однако использование Ledger, так или иначе, требует «минимальной степени доверия». Теоретически текущую ОС компания может изменить, если она станет нечестной или если злоумышленник каким-то образом получит контроль над ее компьютерами. Если кошелек захочет внедрить бэкдор, то существует множество способов реализации этого.

💬 «Если вы предполагаете, что злоумышленником является поставщик кошелька, вы обречены. В таком случае единственный способ полностью защитить себя от нечестного разработчика — это создать свой собственный компьютер, компилятор, стек кошелька, узел и синхронизатор, на что уйдет вся жизнь», — отметил технический эксперт Ledger.

❌ Открытый исходный код прошивки никак не поможет, потому что прошивка с открытым исходным кодом не защищает от недобросовестного поставщика кошелька. У пользователя нет возможности узнать, действительно ли на устройстве работает именно этот код.

Вот такая история с кошельками. А вы используете Ledger?

Да — 🔥
У меня другой аппаратник — ⚡️
Вообще не использую аппаратные кошельки — 🐳

©️ @CryptoPizza_News 🍕

#Ledger

⚠️ Власти могут изъять крипту у пользователей Ledger Recover

Если вы подключили Ledger Recover, ваша SEED-фраза отправляется в зашифрованном виде трем разным организациям. Власти могут вызвать эти организации в суд, узнать SEED-фразу и изъять криптоактивы, подтвердил соучредитель и бывший CEO Ledger.

©️ @CryptoPizza_News 🍕

#Ledger #Recover

👍 Ledger откладывает запуск функции восстановления SEED Recover после жесткой критики сообщества

©️ @CryptoPizza_News 🍕

#Ledger #Recover

✅ UPD: Ledger готовится к запуску функции восстановления SEED

Компания опубликовала технические спецификации функции Recover и теперь готовится к ее запуску в четвертом квартале этого года. Технический директор уверяет, что все на 100% безопасно.

Ранее она обещала отложить запуск до того момента, пока не опубликует код Recover.

💡 Почему Ledger раскритиковали за функцию Recover, мы рассказывали ранее — читать.

©️ @CryptoPizza_News 🍕

#Ledger #Recover

🤝 Ledger и PayPal запартнерились

Пользователи Ledger смогут покупать крипту через свою учетную запись в PayPal и отправлять ее сразу на аппаратный кошелек.

❌ Тем временем PayPal из-за новых регуляторных правил приостанавливает возможность покупки крипты в Великобритании. Планируют вернуть функционал в начале 2024 года.

©️ @CryptoPizza_News 🍕

#Ledger #PayPal

🌘 Ledger уволит 12% сотрудников

Все из-за «макроэкономических встречных ветров и текущих рыночных условий».

©️ @CryptoPizza_News 🍕

#Ledger

✅ Ledger сегодня запустила функцию восстановления SEED под названием Ledger Recover

Для включения этой функции нужно оплатить подписку и разрешить создание резервной копии SEED-фразы. Функция доступна пользователям Ledger Nano X.

©️ @CryptoPizza_News 🍕

#Ledger_Recover

✅ Ledger обнаружили и удалили вредоносную версию Ledger Connect Kit

Сейчас работают над восстановлением безопасной версии.

©️ @CryptoPizza_News 🍕

#Ledger

❄️ Tether заморозила адреса эксплуататора Ledger

Пока говорят об общих убытках пользователей от взлома Ledger Connect Kit на $484 000.

©️ @CryptoPizza_News 🍕

#Ledger #Tether

✅ Ledger компенсирует убытки пострадавшим от взлома их библиотеки пользователям

Известно о краже активов на сумму около $600 000. Компенсацию выплатят к концу февраля 2024 года.

Также Ledger позаботится о запрете слепой подписи на устройствах к июню 2024 года. Для этого она будет работать с DeFi-приложениями, чтобы они выводили данные о транзакции на экран кошелька.

❔ Слепая подпись — это когда на аппаратном кошельке пользователь подписывает транзакцию, не видя характера операции. Часто такая функция используется на аппаратных кошельках без экрана или с маленьким экраном. Другие кошельки, такие как Safepal, выводят на экран сумму операции и ее характер (перевод на другой адрес, взаимодействие со смарт-контрактом и прочее).

©️ @CryptoPizza_News 🍕

#Ledger

💎 Ledger добавил поддержку Coinbase Pay для покупки крипты прямо в аппаратный кошелек

Ранее были добавлены криптоплатежные системы Moonpay, Ramp и Trasank.

©️ @CryptoPizza_News 🍕

#Ledger #Coinbase