יצרנית ארנקי החומרה לדג'ר (Ledger) השיקה אתמול פיצ'ר חדש בעדכון שהציגה כ"מרגש": Ledger Recover. העדכון מאפשר למשתמשי הארנק להצפין את המפתח הפרטי (המילים) ל-3 חלקים שישמרו אצל חברות צד שלישי בנפרד, כנגד הליך אימות זיהוי לקוח, על מנת לאפשר למשתמשים לשחזר את המטבעות הדיגיטליים המשויכים עם המפתח הפרטי במקרה של אובדן הארנק או הגיבוי.
הפיצ'ר אינו חובה, אלא המשתמשים צריכים להפעיל אותו בצורה אקטיבית. עם זאת, עצם העובדה שהשירות קיים ואפשרי מלכתחילה יוצרת סערה בקריפטו טוויטר – וסערה מוצדקת לחלוטין.
בכתבה נסביר מהו השירות, ונארח את אור ויינברגר, מנכ"ל ומייסד Brute Brothers, שיסביר על משמעויות הפיצ'ר.
Ledger Recover
הפיצ'ר החדש צפוי להיות מושק בהשקה רכה (Soft Launch) נכון לעתה אך ורק ב-Ledger Nano X, ולא במכשירי ה-S או ה-S+. הוא יאפשר כאמור למשתמשים לגבות את המפתח הפרטי שלהם בענן, באמצעות השירות.
השירות צפוי לעלות 9.99 דולר בחודש ויעבוד באופן הבא:
- משתמשים מעדכנים גרסה ומפעילים את הפיצ'ר
- כחלק מהפעלת הפיצ'ר עליהם לעבור הליך אימות זיהוי לקוח, כולל הקלטת סלפי
- המכשיר משכפל את המפתח הפרטי ומצפין אותו באמצעות Shamir Secret Sharing (אלגוריתם הצפנה מתקדם)
- המפתח הפרטי המוצפן לזהות שלך מתחלק ל-3 חלקים הנשלחים ללדג'ר, חברת CoinCover וחברה צד ג' נוסף
- במידה ואיבדת את הארנק ו/או המפתח הפרטי, באמצעות הליך זיהוי לקוח ניתן יהיה לשחזרו
צפו בסמנכ"ל הטכנולוגיה של החברה מסביר על השירות:
Exciting update, Ledger has a new product, Ledger Recover, that’s launching soon: https://t.co/nT1VHnnSYz
🧵Here’s what Ledger Recover is and what it isn’t, explained by @P3b7_ & in the thread below. pic.twitter.com/RW1w07H6pK
— Ledger (@Ledger) May 16, 2023
"נשמע תמים, אבל מפר הבטחה ופותח בעיות"
אור ויינברגר הוא מנכ"ל ומייסד Brute Brothers, חברה אשר עוסקת באבטחת מידע ושחזור ארנקים אבודים. ביקשתי ממנו להסביר את המשמעויות של הפיצ'ר החדש, גם עבור מי שאינו מעוניין להפעילו.
"הפיצ'ר נשמע תמים ולחלוטין פונה למסות – למשתמשים החדשים שנכנסים לשוק ולא מעוניינים באחריות שבאבטחת הסיד שלהם, ונוח להם להישען על אבטחת הגיבוי המוצפן החדש," הוא אומר. "אך הוא גם פותח צוהר לדברים מאד בעייתיים."
"ראשית מדובר בהפרת ההבטחה האלמותית של לדג'ר, שעדיין רשומה באתר שלהם, שהסיד (המפתח הפרטי) לעולם לא עוזב את המכשיר. עובדתית, הם יצרו ממשק שמאפשר לחלץ את הסיד ולהעביר אותו הלאה, קונספט שסותר את השימוש בארנק מלכתחילה – ככל הנראה עבור רוב המשתמשים שקנו אותו עד כה."
"מעבר לכך," מוסיף ויינברגר, "מגוון רחב של בעיות צף. החל מחולשות אבטחה שיכולות לאפשר חילוץ הסיד בדרכים לא מורשות, ואולי חמור יותר, גניבת זהויות לצרכי גניבת הנכסים מתוך הסיד המוצפן. בורסות רבות נפרצו בעולם הקריפטו ונגנבו פרטי המשתמשים, עובדי בורסות ולדג'ר עצמם חשופים לפרטים אישיים של לקוחות, ואם לא די בכך – ללדג'ר עצמה הייתה דליפת נתונים על לקוחות לפני מספר שנים. עם כלי AI כגון MidJourney ניתן לזייף תעודות, תמונות ואפילו וידאו, ולהתחזות למשתמשים. זה הרבה יותר פשוט ממה שזה נשמע."
הכשרה ייחודית בתחום הבלוקצ'יין
המסלול שיכשיר אתכם להיות מומחים בתחום החם ביותר
הם כבר בפנים:
ללמוד מהמובילים בתעשייה ולשדרג את העתיד שלכם!
המסלול שיכשיר אתכם להיות מומחים בתחום החם ביותר
התגובה של לדג'ר להד התקשורתי, ומשתמשים רבים שמגנים על לדג'ר בטוויטר, מוסרים כי עצם העובדה שהפיצ'ר הוא "Opt In" – כלומר שיש לתת אישור כדי להצטרף אליו – הופכת את זה לבסדר. "זו לא פרצה אחורית בכלל. שום דבר לא יכול לקרות ללא ההסכמה של המשתמש," אמר ניקולס בקה, שותף-מייסד בלדג'ר בטוויטר.
על כך, אומר ויינברגר: "זה מצחיק אותי. גם אם משתמשים יבחרו שלא לעדכן גרסה עכשיו כדי שהפיצ'ר לא יהיה במכשירם, אם עוד שבוע ייצא עדכון חמור שכולל הגנת אבטחה (Security Patch) אז לא תהיה ברירה לעדכן והקוד הבעייתי יוטמע במכשיר. מכיוון שהקוד סגור, לא ניתן לדעת מה קורה שם."
בקה בתמורה הבטיח כי "העדכון אינו מגדיל אפיקי תקיפה," אך ויינברגר מסר ל-CryptoJungle כי לא ניתן לדעת שזה באמת המצב.
"לדג'ר עושים צעדים רבים לעבר המסות כבר מזה תקופה, כמו הצגת NFT על המסך, ועוסקים הרבה ב"שופוני". לכן, הפיצ'ר – שאכן יהיו לו קונים – לא מפתיע אותי," הוא מסכם.
האזינו לטוויטר ספייס עם מייסדי ומנהלי לדג'ר:
— Ledger (@Ledger) May 16, 2023
אז מה המשמעויות בטווח הקצר והארוך?
נכון לעתה העדכון נוגע במשתמשי לדג'ר ננו אקס בלבד. רצוי שלא למהר להטמיע את העדכון, וכמובן שלא לאפשר אותו אלא אם אתם סומכים על שירות החברה ויכולת אבטחת המידע שלהם בצורה מספקת. לאור חולשות האבטחה שצוינו, השירות אינו נשמע אטרקטיבי למדי.
משתמשי מכשירי לדג'ר אחרים לעת עתה מוגנים, ומכיוון שהנושא עדיין 'בוער' ייתכן ולדג'ר יחזרו בם.
"חשוב לציין שאין כרגע שום סיכון לכספים הקיימים במכשירי לדג'ר עם הגרסה הנוכחית," אמר ויינברגר והרגיע.
עם זאת, צעדים מהסוג הזה כמו גם העובדה שבמוקדם או במאוחר נאלץ כמשתמשי הארנק לעדכן גרסה ולהיחשף לפיצ'ר שיוטמע במכשיר גם אם לא נאשרו ונפעילו – אכן מובילים לאיבוד אמון בחברה וביכולתה. לכן, על המשתמשים הפעילים יותר בארנקים שלהם (כלומר שמבצעים פעילות בשוטף) לשקול לעבור לארנק טרזור טי (Trezor T) ולהשתמש בו עם Passphrase (מילת הצפנה נוספת), ומשתמשי ביטקוין בלבד – לארנק Passport.
