지갑 시드 문구에 제3자를 소개하기로 한 Ledger의 결정은 정부와 해커 모두에게 어필할 수 있는 익스플로잇을 만들었습니다.

[백산]

사용자는 시드 문구로 Ledger를 계속 신뢰할 수 있는지 여부를 결정합니다

출처  cointelegraph  저자  J.W. 베렛   소스:EK 이페어케이 플러스

지갑 시드 문구에 제3자를 소개하기로 한 Ledger의 결정은 정부와 해커 모두에게 어필할 수 있는 익스플로잇을 만들었습니다.

자체 커스터디는 암호화폐에서 중요하며 보안은 셀프 커스터디에 필수적입니다. 저명한 하드웨어 지갑 제조업체인 Ledger는 사용자 개인 키의 안전한 저장으로 명성을 쌓아왔습니다. 하드웨어 지갑은 키를 저장하고 키를 사용하여 트랜잭션을 실행할 수 있는 안전한 오프라인 환경을 만듭니다.

사용자의 개인 키는 장치 내에서 생성 및 저장되며 절대 장치를 떠나지 않아야 합니다. 이 "콜드 스토리지"는 "핫 월렛" 또는 온라인 지갑에 비해 타의 추종을 불허하는 수준의 보안을 제공합니다. 문제는 많은 사람들이 열쇠를 잃어버린다는 것입니다.

Ledger는 이번 주에 Ledger Recover라는 시드 문구 백업 제품을 출시했습니다. 회사에 ID와 개인 정보를 제공하면 장치 내에서 시드 문구를 가져와 세 개의 "샤드"로 암호화한 다음 다양한 관리자와 공유하는 서비스에 대한 비용을 지불할 수 있습니다.

제3자를 도입하면 본질적으로 제어가 중앙 집중화되어 해커가 악용하거나 규제 조치의 대상이 될 수 있는 단일 실패 지점이 생성됩니다.

 

저는 Ledger가 OG와 사이퍼펑크를 사용하지 않는 사용자에게 다가가기 위해 비즈니스로 성장하려는 노력을 원망하지 않습니다. 회의적인 베이비 붐 세대 시댁과 같은 수백만 명의 규범은 이러한 유형의 양육권 백업 접근 방식을 통해서만 암호화에 온보딩될 것입니다. 그 실수는 동일한 제품을 사용하여 암호화 자체 보관 OG와 더 넓은 미래 고객 규범 모두에 호소하려고 시도한 것일 수 있습니다.

Ledger의 백업 제품 출시는 고객 커뮤니티에서 강력한 반응을 불러일으켰습니다. 많은 사람들이 Ledger가 하드웨어 업데이트를 통해 항상 비밀 키를 만질 수 있다는 사실에 놀랐습니다. 우리 중 많은 사람들이 하드웨어 장치를 신성 불가침으로 간주합니다. 나는 분명히 내 암호화 자산을 보호하기 위해 신뢰하는 이 장치에 대해 충분히 알지 못했습니다.

스레드

Haseeb ＞|＜

@hosseeb

Yesterday I freaked out about the revelation that

@Ledger

could spit out your private key with a firmware update. Yet I noticed the smartest people were not freaking out. Was I missing something? I spent the evening educating myself, and now I'm in the "nvm it's fine" camp.

오후 4:45 · 2023년 5월 17일

·

하세브 쿠레시는 자신도 처음에는 부정적인 반응을 보였지만 이것이 Ledger에 대해서는 항상 사실이라는 것을 깨달았다고 말했습니다. 우리는 항상 시드 문구를 훔치기 위해 펌웨어 업데이트에 맬웨어를 삽입하지 않을 것이라고 믿었습니다. 그가 틀린 것은 아니지만 그것이 위안이 되는 생각이라고 말하지는 않을 것입니다.

결국 거래에 서명하지 않는 한 하드웨어 장치에서 나쁜 일이 발생할 수 없습니다. 당신은 권력을 유지합니다. 나는 당신에 대해 모르지만 나는 코더가 아닙니다 - 나는 합법적 인 업데이트에서 악의적 인 업데이트를 구별 할 수 없기 때문에 Ledger도 신뢰하고 있습니다. 그리고 Ledger가 펌웨어 업데이트 실패는 보안 위험이라고 경고하기 때문에 Ledger 복구 기능이 포함된 최신 펌웨어 업데이트를 승인하지 않을 수 있는 옵션이 없습니다.

스레드

Mike Dudas

@mdudas

eye-opening thread on

@ledger

from

@hosseeb

this was the key takeaway and what was so personally jarring for me yesterday

오후 10:26 · 2023년 5월 17일

·

7.8만

조회수

저는 Ledger를 신뢰합니다 — Ledger는 훌륭한 회사입니다. 그것은 적어도 내 자신의 암호화 여정에서 암호화 자체 관리를 위한 기술 스택의 핵심이었습니다.

그러나 암호화폐 자체 보관 도구의 목표는 신뢰 요구 사항을 최소화하는 것이어야 합니다. 그리고 Ledger는 더 많은 소프트웨어와 하드웨어를 오픈 소싱함으로써 이를 개선할 수 있습니다. Ledger의 최고기술책임자(CTO)는 17월 <>일 Bankless 팟캐스트에서 이에 대한 질문을 받았고 Ledger가 그렇게 하는 것을 금지하는 비공개 계약에 서명했으며 사람들이 어쨌든 보안 감사를 크라우드소싱할 가능성은 낮다고 주장했습니다.

시크릿 네트워크의 취약점을 발견한 앤드류 밀러(Andrew Miller)와 같은 보안 연구원들이 그 일을 맡을 것이라고 장담한다

스레드

Seth For Privacy

@sethforprivacy

1/ Ledger "Recover," a thread

Last night Ledger accidentally leaked some info on their new recovery subscription service, and today they revealed the details. Let's walk through their proposed "solution" to cryptocurrency custody and how dangerous it is.

오전 3:47 · 2023년 5월 17일

·

82.1만

조회수

롤아웃에 관한 Ledger의 커뮤니케이션은 재앙이었지만 위기 커뮤니케이션은 계몽적이었습니다. 나는 하드웨어 지갑이 어떻게 작동하는지에 대한 이해가 부족하다는 것을 확실히 깨달았습니다. 그러나 "죄송합니다, NDA 때문에 어떤 것도 오픈 소스로 만들 수 없습니다"는 Ledger Recover가 악의적인 행위자가 가짜 업데이트로 사용자를 속이고 시드 문구를 훔치는 데 사용될 수 있다는 우려를 가진 커뮤니티의 사람들에게 불충분한 답변입니다.

Ledger는 장치에 Ledger Recover 코드를 추가하지 않고도 펌웨어를 계속 업데이트할 수 있는 옵션을 제공할 수도 있습니다. 그러나 펌웨어를 오픈 소스로 제공하지 않으면 주장을 확인할 방법이 없기 때문에 많은 일을 하지 않을 것입니다.

Ledger가 하드웨어 및 소프트웨어에 "사이퍼펑크" 브랜드 차원을 출시하여 OG 암호화 커뮤니티를 달래고 기존 하드웨어 소유자가 이전에 구매한 하드웨어에 대해 옵트인하여 새로운 업데이트가 사이퍼펑크 브랜드로 승인되도록 한다면 이는 브랜딩 승리가 될 수 있습니다. 가능한 한 오픈 소스로, 크라우드 소싱 된 보안 감사 - 전체 패키지. 모든 것이 용서받을 것입니다.

현재로서는 Ledger가 그렇게 할 계획이 없는 것 같습니다. 따라서 옵션은 오픈 소스 하드웨어 지갑을 사용하는 것이지만 Ledger와 새로운 블록체인의 광범위한 상호 운용성이 없습니다. 또는 직접 구축하거나 새로 단장한 Gameboy 오픈 소스 하드웨어 지갑을 사용할 수도 있습니다.

현재로서는 많은 코인의 경우 가장 안전한 옵션은 오픈 소스 하드웨어 지갑의 경쟁 개발자에게 개방적인 상태에서 Ledger를 신뢰하는 것입니다

이 기사는 일반적인 정보 제공을 목적으로 하며 법률 또는 투자 조언을 위한 것이 아니며 그렇게 받아들여서도 안 됩니다.

저자

J.W. 베렛 J.W. Verret은 George Mason Law School의 부교수입니다. 그는 현직 암호화폐 포렌식 회계사이며 Lawrence Law LLC에서 증권법을 실무하고 있습니다. 그는 재무회계기준위원회(Financial Accounting Standards Board)의 자문 위원회(Advisory Council) 위원이자 SEC 투자자 자문 위원회(SEC Investor Advisory Committee)의 전 위원입니다. 그는 또한 암호화폐 개발자와 사용자의 자유와 프라이버시를 보호하기 위해 정책 변화를 위해 싸우는 싱크탱크인 Crypto Freedom Lab을 이끌고 있습니다