Ledger vydal novou verzi firmwaru a schytal obrovskou kritiku od svých uživatelů. Někteří z nich dokonce natáčí videa, ve kterých hážou hardwarovou peněženku do koše. Uživatelům se nelíbí nové funkce, které přináší KYC přímo do Ledgeru a umožňují nahrát seed na servery třetích stran. Nejbezpečnější způsob ochrany kryptoměn se kvůli tomu zdá být úplně k ničemu. Ledger se v posledních hodinách snaží vysvětlit svým uživatelům důvod těchto kroků a upřesňuje některé informace. Nové funkce kritizují také bezpečnostní technici Polygonu nebo šéf Binance Changpeng Zhao.
Uživatelé ostře kritizují poslední update Ledgeru
Nová služba obnovy seedu společnosti Ledger se nazývá Ledger Recover a nabízí uživatelům další vrstvu zabezpečení pro případ, že ztratí svůj seed. Jedná se o předplacenou službu, která uživatelům poskytuje možnost zálohovat svůj seed online. Ledger Recovery rozdělí pre-BIP39 verzi privátních klíčů uživatele na tři části, které zašifrované putují ke třem různým správcům. Jedním z nich je samozřejmě Ledger, dalším je firma Coinover a třetím je nejmenovaná zálohovací firma. Každý fragment je uložen danou společností na obdobě hardwarových peněženek, které vývojáři nazývají výkonnými Ledgery. Každý fragment seedu je sám o sobě k ničemu, protože neobsahuje kompletní informace a lze je společně dešifrovat pouze v Ledgeru. Uživatelé mohou díky této službě zapomenout na papírové zálohy seedu, který zůstane zálohovaný na serverech správců. Přestože je služba nepovinná a každý může zůstat u papírových záloh, uživatelům se nelíbí, že by jejich seed mohl být uložen na cizích serverech.
Ledger ohlašoval toto vylepšení s velkým nadšením, většině uživatelům se ale vůbec nelíbí. Problém je v tom, že uživatelé musí poskytnou své osobní údaje, na základě kterých pak budou seedy uloženy u jednotlivých správců. Jedná se tedy o KYC, které po vás bude chtít vaše vlastní hardwarové peněženka v případě, že se rozhodnete svůj seed zálohovat pomocí jejich služby Ledger Recover. Pokud sledujete některého z významných členů kryptoměnové komunity používající Ledger, zřejmě jste již viděli, jak svou hardwarovou peněženku hází do koše. Naprosté většině uživatelů se nelíbí ani jedna část nových funkcí. Problém vidí například také v tom, že výrobce hardwarových peněženek doporučuje zálohovat seed online a navíc bude požadovat KYC ověření. Uživatelé nakupují hardwarové peněženky, aby své kryptoměny dostali z online světa a anonymně je uložili. Nová funkce Ledgeru je ale úplným opakem. Ke všem informacím o sobě navíc připojíte i svůj bankovní účet, protože předplatné služby lze platit pouze prostřednictvím Visa a MasterCard.
KYC v hardwarové peněžence je nesmysl
Uživatelé si kupují peněženky jako Ledger nebo Trezor kvůli offline zabezpečení kryptoměn. Není jim tedy jasné, proč peněženka Ledger nabízí ukládání seedu online. Jedná se navíc o firmu, která v roce 2020 utrpěla vážný únik dat svých uživatelů během hackerském útoku. Ukradená data obsahovala telefonní čísla, fyzické adresy a e-mailové adresy více než 300 000 zákazníků. Většina uživatelů si na tento incident vzpomněla právě ve chvíli, kdy jim stejná firma nabízí službu, která by měla ochraňovat seed obsahující veškeré prostředky uživatelů. Mít na jejich serverech uložené privátní klíče je tedy to poslední, co jako majitel kryptoměn chcete. Do kritiky nové funkce se pustil také Mudit Gupta, hlavní bezpečnostní technik Polygonu. Ten dokonce vyzval Ledger, aby novou funkci vůbec nespouštěl, protože uložené privátní klíče by mohl případně hacker získat, spojit a rekonstruovat. Svůj negativní názor vyjádřil také Changpeng Zhao, kterému se nelíbí, že by seed měl být uložený jinde, než na hardwarové peněžence.
Kritikové upozorňují také na to, že jsou privátní klíče dostupné na základě průkazu totožnosti. Krádeže totožnosti se dějí na internetu poměrně často a není proto dobré chránit všechny své prostředky právě tímto způsobem. Ledger se proti kritice ohradil a přesvědčuje své uživatele, že neexistují žádná zadní vrátka umožňující útočníkům získat informace o seedu. Ledger dále uvádí, že ověření průkazem totožnosti je jen část celého procesu. Při obnově seedu budou muset uživatelé použít také kameru a splnit náhodné pokyny, které nelze předem odhadnout. Výrobce hardwarové peněženky označuje novou službu za bezpečnou a důkladně otestovanou firmou Donjon. Společnost Ledger také informovala, že nová služba je volitelná a pokud ji uživatelé nechtějí využívat, nebudou k tomu nijak nuceni. Pokud by se někdo nakonec opravdu rozhodl svěřit své privátní klíče do rukou tří korporací, musí projít schvalovacím procesem.
Co si o nových funkcích Ledgeru myslíte? Využili byste službu online zálohy seedu?
Pokud to chápu správně, tak pro běžné uživatele, kteří tuto novou službu nevyužijí by z toho neměla plynout žádná explicitní rizika, nebo jsou i tito uživatelé ohrožení?
Problém je v tom, že tam ta funkce odesílání seedu do online vůbec je. Seed by nikdy neměl opustit tvůj Ledger a i když tu funkci nevyužiješ pořád tam je a může být případnou slabinou, kterou útočníci využijí.
No tak to je přesně to co jsem potřeboval. (Ironie). Od HW peněženky potřebuji právě ujištění, že klíč nikdy, ale nikdy peněženku nemůže opustit. Pokud by to ale bylo možné (tou zálohou ke třem společnostem), tak to prostě už možné je a HW peněženka pak už není bezpečná proti útoku… Možná používají jinou možnost a klíč opravdu hw prostředek neopustí, no ale věřte tomu
Bohužel, ač jsem byl spokojeny s ledger odejdu k trezoru.