انتقاد شدید کارشناسان امنیتی به ویژگی جدید کیفپول لجر! وجوه کاربران در خطر است؟
شرکت لجر، سازنده کیف پولهای سخت افزاری ارز دیجیتال، روز گذشته ۱۶ می، از ویژگی جدیدی به نام Ledger Recover رونمایی کرد که به گفته آن، یک لایه محافظ را به هنگام بازیابی کلید خصوصی کاربران ارائه میدهد. به دنبال معرفی این ویژگی، بسیاری از اعضای جامعه کریپتو نارضایتی خود را نسبت به آن ابراز کردند و گفتند که این ویژگی جدید، ایده بد و خطرناکی است.
طبق گزارشها، Ledger Recover یک سرویس اشتراکی است که به کاربران اجازه میدهد از یک لایه حفاظتی اضافی برای کلیدهای خصوصی خود استفاده کنند. در واقع، این سرویس از تکنیکی استفاده میکند که در آن، عبارت بازیابی کاربر به سه بخش رمزگذاریشده تقسیم شده و به سرورهای خارجی مختلف ارسال میشود. هنگامی که این بخشها با هم ترکیب و رمزگشایی شوند، میتوان از آنها برای بازسازی عبارت بازیابی استفاده کرد.
با این حال، این ویژگی، با انتقادات شدیدی از سوی فعالان جامعه کریپتو، از جمله کارشناسان امنیتی، مواجه شده است. بسیاری از آنها معتقدند که این بخشهای رمزگذاریشده به ۳ شرکت دیگر ارسال میشوند و مشکلی که وجود دارد، این است که آنها میتوانند کلیدهای بازیابی کاربران را بازسازی کنند. چانگپنگ ژائو، بنیانگذار و مدیرعامل بایننس نیز گفت که این ویژگی، با این ایده که «عبارت بازیابی از دستگاه کیف پول خارج نمیشود» مغایرت دارد.
کریس دان (Chris Dunn)، سرمایهگذار معروف نیز در توییتی نوشت، ابتدا آدرس پستی، شماره تلفن و آدرس ایمیل مشتریانشان افشا شد (افشای اطلاعات کاربران لجر در سال ۲۰۲۰) … و اکنون یک درب پشتی برای عبارات بازیابی گذاشتهاند. وقت آن است که با لجر خداحافظی کنیم.
در پاسخ به این انتقادات، مدیران لجر با بیان اینکه Ledger Recover یک سرویس اختیاری است اظهار داشتند، اگر Ledger Recover را نمیخواهید، از آن استفاده نکنید و سطح حمله شما اصلاً تغییر نمیکند.