סקנדל בארנק לדג'ר: פיצ'ר חדש מעלה בעיות אבטחה חמורות

משתמשי הארנק לא בסיכון מידי אך צריכים לחשוש מהבעיות שנוצרו, מוסר אור ויינברגר המומחה לאבטחת מידע
לדג'ר

יצרנית ארנקי החומרה לדג'ר (Ledger) השיקה אתמול פיצ'ר חדש בעדכון שהציגה כ"מרגש": Ledger Recover. העדכון מאפשר למשתמשי הארנק להצפין את המפתח הפרטי (המילים) ל-3 חלקים שישמרו אצל חברות צד שלישי בנפרד, כנגד הליך אימות זיהוי לקוח, על מנת לאפשר למשתמשים לשחזר את המטבעות הדיגיטליים המשויכים עם המפתח הפרטי במקרה של אובדן הארנק או הגיבוי.

הפיצ'ר אינו חובה, אלא המשתמשים צריכים להפעיל אותו בצורה אקטיבית. עם זאת, עצם העובדה שהשירות קיים ואפשרי מלכתחילה יוצרת סערה בקריפטו טוויטר – וסערה מוצדקת לחלוטין.

בכתבה נסביר מהו השירות, ונארח את אור ויינברגר, מנכ"ל ומייסד Brute Brothers, שיסביר על משמעויות הפיצ'ר.

Ledger Recover

הפיצ'ר החדש צפוי להיות מושק בהשקה רכה (Soft Launch) נכון לעתה אך ורק ב-Ledger Nano X, ולא במכשירי ה-S או ה-S+. הוא יאפשר כאמור למשתמשים לגבות את המפתח הפרטי שלהם בענן, באמצעות השירות.

השירות צפוי לעלות 9.99 דולר בחודש ויעבוד באופן הבא:

  1. משתמשים מעדכנים גרסה ומפעילים את הפיצ'ר
  2. כחלק מהפעלת הפיצ'ר עליהם לעבור הליך אימות זיהוי לקוח, כולל הקלטת סלפי
  3. המכשיר משכפל את המפתח הפרטי ומצפין אותו באמצעות Shamir Secret Sharing (אלגוריתם הצפנה מתקדם)
  4. המפתח הפרטי המוצפן לזהות שלך מתחלק ל-3 חלקים הנשלחים ללדג'ר, חברת CoinCover וחברה צד ג' נוסף
  5. במידה ואיבדת את הארנק ו/או המפתח הפרטי, באמצעות הליך זיהוי לקוח ניתן יהיה לשחזרו

צפו בסמנכ"ל הטכנולוגיה של החברה מסביר על השירות:

"נשמע תמים, אבל מפר הבטחה ופותח בעיות"

אור ויינברגר הוא מנכ"ל ומייסד Brute Brothers, חברה אשר עוסקת באבטחת מידע ושחזור ארנקים אבודים. ביקשתי ממנו להסביר את המשמעויות של הפיצ'ר החדש, גם עבור מי שאינו מעוניין להפעילו.

"הפיצ'ר נשמע תמים ולחלוטין פונה למסות – למשתמשים החדשים שנכנסים לשוק ולא מעוניינים באחריות שבאבטחת הסיד שלהם, ונוח להם להישען על אבטחת הגיבוי המוצפן החדש," הוא אומר. "אך הוא גם פותח צוהר לדברים מאד בעייתיים."

"ראשית מדובר בהפרת ההבטחה האלמותית של לדג'ר, שעדיין רשומה באתר שלהם, שהסיד (המפתח הפרטי) לעולם לא עוזב את המכשיר. עובדתית, הם יצרו ממשק שמאפשר לחלץ את הסיד ולהעביר אותו הלאה, קונספט שסותר את השימוש בארנק מלכתחילה – ככל הנראה עבור רוב המשתמשים שקנו אותו עד כה."

"מעבר לכך," מוסיף ויינברגר, "מגוון רחב של בעיות צף. החל מחולשות אבטחה שיכולות לאפשר חילוץ הסיד בדרכים לא מורשות, ואולי חמור יותר, גניבת זהויות לצרכי גניבת הנכסים מתוך הסיד המוצפן. בורסות רבות נפרצו בעולם הקריפטו ונגנבו פרטי המשתמשים, עובדי בורסות ולדג'ר עצמם חשופים לפרטים אישיים של לקוחות, ואם לא די בכך – ללדג'ר עצמה הייתה דליפת נתונים על לקוחות לפני מספר שנים. עם כלי AI כגון MidJourney ניתן לזייף תעודות, תמונות ואפילו וידאו, ולהתחזות למשתמשים. זה הרבה יותר פשוט ממה שזה נשמע."

הכשרה ייחודית בתחום הבלוקצ'יין

המסלול שיכשיר אתכם להיות מומחים בתחום החם ביותר

הם כבר בפנים:

ללמוד מהמובילים בתעשייה ולשדרג את העתיד שלכם!

המסלול שיכשיר אתכם להיות מומחים בתחום החם ביותר

הם כבר בפנים:

ללמוד מהמובילים בתעשייה ולשדרג את העתיד שלכם!

התגובה של לדג'ר להד התקשורתי, ומשתמשים רבים שמגנים על לדג'ר בטוויטר, מוסרים כי עצם העובדה שהפיצ'ר הוא "Opt In" – כלומר שיש לתת אישור כדי להצטרף אליו – הופכת את זה לבסדר. "זו לא פרצה אחורית בכלל. שום דבר לא יכול לקרות ללא ההסכמה של המשתמש," אמר ניקולס בקה, שותף-מייסד בלדג'ר בטוויטר.

על כך, אומר ויינברגר: "זה מצחיק אותי. גם אם משתמשים יבחרו שלא לעדכן גרסה עכשיו כדי שהפיצ'ר לא יהיה במכשירם, אם עוד שבוע ייצא עדכון חמור שכולל הגנת אבטחה (Security Patch) אז לא תהיה ברירה לעדכן והקוד הבעייתי יוטמע במכשיר. מכיוון שהקוד סגור, לא ניתן לדעת מה קורה שם."

בקה בתמורה הבטיח כי "העדכון אינו מגדיל אפיקי תקיפה," אך ויינברגר מסר ל-CryptoJungle כי לא ניתן לדעת שזה באמת המצב.

 

"לדג'ר עושים צעדים רבים לעבר המסות כבר מזה תקופה, כמו הצגת NFT על המסך, ועוסקים הרבה ב"שופוני". לכן, הפיצ'ר – שאכן יהיו לו קונים – לא מפתיע אותי," הוא מסכם.

האזינו לטוויטר ספייס עם מייסדי ומנהלי לדג'ר:

אז מה המשמעויות בטווח הקצר והארוך?

נכון לעתה העדכון נוגע במשתמשי לדג'ר ננו אקס בלבד. רצוי שלא למהר להטמיע את העדכון, וכמובן שלא לאפשר אותו אלא אם אתם סומכים על שירות החברה ויכולת אבטחת המידע שלהם בצורה מספקת. לאור חולשות האבטחה שצוינו, השירות אינו נשמע אטרקטיבי למדי.

משתמשי מכשירי לדג'ר אחרים לעת עתה מוגנים, ומכיוון שהנושא עדיין 'בוער' ייתכן ולדג'ר יחזרו בם.

"חשוב לציין שאין כרגע שום סיכון לכספים הקיימים במכשירי לדג'ר עם הגרסה הנוכחית," אמר ויינברגר והרגיע.

עם זאת, צעדים מהסוג הזה כמו גם העובדה שבמוקדם או במאוחר נאלץ כמשתמשי הארנק לעדכן גרסה ולהיחשף לפיצ'ר שיוטמע במכשיר גם אם לא נאשרו ונפעילו – אכן מובילים לאיבוד אמון בחברה וביכולתה. לכן, על המשתמשים הפעילים יותר בארנקים שלהם (כלומר שמבצעים פעילות בשוטף) לשקול לעבור לארנק טרזור טי (Trezor T) ולהשתמש בו עם Passphrase (מילת הצפנה נוספת), ומשתמשי ביטקוין בלבד – לארנק Passport.

קבלו את העדכונים והחדשות הכי חמות מעולם הקריפטו ישירות למייל שלכם:

שתפו:

בן סמוחה

בן סמוחה

בן 32, בוגר תואר לכלכלה וניהול מאוניברסיטת 'בן גוריון', וכעת מרצה באוניברסיטה. בן הקים את CryptoJungle וקהילת 'מדברים קריפטו', שיחדיו מהווים גוף התוכן, האקדמיה והקהילה המובילים והגדולים בישראל. בנוסף, נמנה בין מייסדי עמותת Blockchain B7, ויועץ חיצוני לארגונים בתחום הקריפטו והבלוקצ'יין.
בן סמוחה

בן סמוחה

בן 32, בוגר תואר לכלכלה וניהול מאוניברסיטת 'בן גוריון', וכעת מרצה באוניברסיטה. בן הקים את CryptoJungle וקהילת 'מדברים קריפטו', שיחדיו מהווים גוף התוכן, האקדמיה והקהילה המובילים והגדולים בישראל. בנוסף, נמנה בין מייסדי עמותת Blockchain B7, ויועץ חיצוני לארגונים בתחום הקריפטו והבלוקצ'יין.

תגובה אחת

  1. הם פשוט הוכיחו שאנחנו במרחק עדכון תוכנה אחד מבריחת המפתחות מהמכשיר
    היום זה מוצפן, מחר זה לא, הרי זה תלוי ב software
    רובנו חשבנו שברמת ה hardware זה לא אפשרי
    שזה one way street

    אכזבה גדולה לקהילה, אבל כנראה היינו צריכים לצפות את זה מארנק עם קוד סגור

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

מומחה מומלץ

לורם איפסום דולור סיט אמט, קונסקטורר אדיפיסינג אלית לפרומי בלוף קינץ תתיח לרעח. לת צשחמי צש בליא, מנסוטו צמלח לביקו ננבי, צמוקו בלוקריה.

cropped-logo-cryptojungle-2.png

להתחברות מלאו שם משתמש וסיסמה

דילוג לתוכן