20/05/2023 06:45 read

126

Chúng ta vẫn có thể tin tưởng vào Ledger chứ?

Quyết định của Ledger về việc giới thiệu một bên thứ ba với cụm từ hạt giống trong ví của bạn đã tạo ra một lỗ hổng có thể thu hút cả chính phủ và tin tặc.

Tự quản lý rất quan trọng trong tiền điện tử và bảo mật là điều cần thiết để tự quản lý. Ledger, một nhà sản xuất ví phần cứng nổi tiếng, đã tạo dựng được danh tiếng của mình nhờ vào việc lưu trữ an toàn các khóa cá nhân của người dùng. Ví phần cứng tạo môi trường ngoại tuyến an toàn để lưu trữ khóa và sử dụng khóa để thực hiện giao dịch.

Các khóa cá nhân của người dùng được tạo và lưu trữ trong thiết bị và được cho là không bao giờ thoát khỏi nó. Kho lạnh này cung cấp mức độ bảo mật vô song so với ví nóng hoặc ví trực tuyến. Vấn đề là rất nhiều người bị mất chìa khóa.

Ledger đã tung ra một sản phẩm sao lưu cụm từ hạt giống trong tuần này có tên là Ledger Recover. Nếu bạn cung cấp cho công ty ID và thông tin cá nhân của mình, bạn có thể trả tiền cho một dịch vụ lấy cụm từ hạt giống của bạn trong thiết bị của bạn, mã hóa cụm từ đó thành ba phân đoạn và sau đó chia sẻ chúng với nhiều người giám sát khác nhau.

Việc giới thiệu một bên thứ ba vốn đã tập trung quyền kiểm soát, tạo ra một điểm lỗi duy nhất có thể bị tin tặc khai thác hoặc phải chịu các hành động pháp lý.

Tôi không phàn nàn về nỗ lực của Ledger trong việc phát triển như một doanh nghiệp để tiếp cận những người dùng không phải OG và không có đặc tính cypherpunk. Hàng triệu người bình thường, giống như những người vợ thuộc thế hệ bùng nổ trẻ em hoài nghi của chúng tôi, sẽ chỉ được tiếp cận với tiền điện tử thông qua loại phương pháp sao lưu lưu ký này. Sai lầm của nó có thể là cố gắng sử dụng cùng một sản phẩm để thu hút cả OG tự quản lý tiền điện tử và các tiêu chuẩn khách hàng rộng lớn hơn trong tương lai.

Ledger ra mắt sản phẩm dự phòng đã vấp phải một số phản ứng mạnh mẽ trong cộng đồng khách hàng. Nhiều người ngạc nhiên khi biết rằng Ledger luôn có khả năng chạm vào khóa bí mật của bạn bằng các bản cập nhật phần cứng. Nhiều người trong chúng ta xem các thiết bị phần cứng của mình là bất khả xâm phạm. Rõ ràng là tôi không đủ hiểu biết về thiết bị mà tôi tin tưởng để bảo vệ tài sản tiền điện tử của mình.

Yesterday I freaked out about the revelation that @Ledger could spit out your private key with a firmware update.

Yet I noticed the smartest people were not freaking out. Was I missing something?

I spent the evening educating myself, and now I'm in the "nvm it's fine" camp.
— Haseeb ＞|＜ (@hosseeb) May 17, 2023

Haseeb Qureshi nói rằng bất chấp việc ban đầu anh ấy cũng phản ứng tiêu cực, nhưng anh ấy nhận ra rằng điều này luôn đúng với Ledger. Chúng tôi luôn tin tưởng nó sẽ không chèn phần mềm độc hại vào các bản cập nhật chương trình cơ sở để đánh cắp các cụm từ gốc của chúng tôi. Anh ấy không sai, nhưng tôi sẽ không nói rằng đó là một suy nghĩ an ủi.

Cuối cùng, không có gì xấu có thể xảy ra trên thiết bị phần cứng của bạn trừ khi bạn ký một giao dịch. Bạn giữ lại sức mạnh. Tôi không biết bạn thế nào, nhưng tôi không phải là lập trình viên — tôi không thể phân biệt một bản cập nhật độc hại với một bản cập nhật hợp pháp, vì vậy tôi cũng tin tưởng Ledger về điều đó. Và tôi không chính xác có tùy chọn không phê duyệt bản cập nhật chương trình cơ sở mới nhất bao gồm khả năng Khôi phục Ledger, vì Ledger cảnh báo rằng việc không cập nhật chương trình cơ sở của bạn là một rủi ro bảo mật.

They do a shit job of providing trust in the software stack though. A better design would incorporate functionality like certificate transparency or key transparency, so you wouldn't have to hope they don't unaccountably send you a buggy firmware
— Andrew Miller (@socrates1024) May 17, 2023

Tôi tin tưởng Ledger — đó là một công ty tuyệt vời. Nó đã là mấu chốt trong ngăn xếp công nghệ để tự quản lý tiền điện tử, ít nhất là trong hành trình tiền điện tử của riêng tôi.

Nhưng mục tiêu của một công cụ tự quản lý tiền điện tử phải là giảm thiểu các yêu cầu về lòng tin. Và điều đó có thể được cải thiện tại Ledger thông qua việc cung cấp nguồn mở nhiều hơn cho phần mềm và phần cứng của nó. Giám đốc công nghệ của Ledger đã được hỏi về điều này vào ngày 17 tháng 5 trên podcast Bankless và trả lời rằng Ledger đã ký các thỏa thuận không tiết lộ ngăn cản họ làm như vậy và lập luận rằng mọi người không có khả năng test bảo mật từ đám đông.

Tôi cá là các nhà nghiên cứu bảo mật như Andrew Miller, người đã phát hiện ra các lỗ hổng trong Mạng bí mật, sẽ đảm nhận nhiệm vụ đó.

1/ Ledger "Recover," a thread

Last night Ledger accidentally leaked some info on their new recovery subscription service, and today they revealed the details.

Let's walk through their proposed "solution" to cryptocurrency custody and how dangerous it is. pic.twitter.com/8GnCKv7hTH
— Seth For Privacy (@sethforprivacy) May 16, 2023

bất chấp việc thông tin liên lạc của Ledger về việc triển khai là một thảm họa, nhưng thông tin liên lạc về khủng hoảng của nó đã được khai sáng. Tôi chắc chắn đã nhận ra rằng mình không hiểu đầy đủ về cách thức hoạt động của ví phần cứng. Nhưng Xin lỗi, chúng tôi không thể mã nguồn mở bất kỳ thứ gì vì NDA là câu trả lời không đủ cho những người trong cộng đồng lo ngại rằng Ledger Recover có thể bị kẻ xấu sử dụng để lừa người dùng bằng bản cập nhật giả mạo và đánh cắp cụm từ gốc của họ.

Ledger cũng có thể cung cấp cho tôi tùy chọn tiếp tục cập nhật chương trình cơ sở mà không cần thêm mã Khôi phục Ledger vào thiết bị của tôi. Nhưng trong trường hợp không có nguồn mở phần sụn của nó, nó sẽ không làm được gì nhiều, vì chúng tôi sẽ không có cách nào để xác minh các tuyên bố của nó.

Đây có thể là một chiến thắng về mặt thương hiệu nếu Ledger xoay trục để triển khai một khía cạnh mang thương hiệu cypherpunk cho phần cứng và phần mềm của mình nhằm xoa dịu cộng đồng tiền điện tử OG để họ có thể sẵn sàng chọn tham gia và cho phép các chủ sở hữu phần cứng hiện tại chọn tham gia cho mục đích của họ phần cứng đã mua trước đó sao cho các bản cập nhật mới mang nhãn hiệu cypherpunk và được phê duyệt, dưới dạng nguồn mở nhất có thể, với test bảo mật do cộng đồng cung cấp — toàn bộ gói. Tất cả sẽ được tha thứ.

Hiện tại, có vẻ như Ledger không có kế hoạch làm điều đó. Vì vậy, các tùy chọn là sử dụng ví phần cứng nguồn mở, nhưng những ví này không có khả năng tương tác trên phạm vi rộng của Ledger với các blockchain mới nổi. Hoặc bạn có thể tạo ví của riêng mình hoặc chỉ cần sử dụng ví phần cứng mã nguồn mở Gameboy mới được tân trang lại.

Hiện tại và đối với nhiều đồng tiền, tùy chọn an toàn nhất có lẽ là tin tưởng vào Ledger trong khi vẫn mở cửa cho các nhà phát triển cạnh tranh của ví phần cứng nguồn mở.

JW Verret là phó giáo sư tại Trường Luật Antonin Scalia của Đại học George Mason. Anh ấy là một kế toán viên pháp y tiền điện tử hành nghề và cũng hành nghề luật chứng khoán tại Lawrence Law LLC. Ông là thành viên của Hội đồng Cố vấn Ban Chuẩn mực Kế toán Tài chính và là cựu thành viên của Ủy ban Cố vấn Nhà đầu tư của SEC. Anh ấy cũng lãnh đạo Phòng thí nghiệm Tự do Tiền điện tử, một nhóm chuyên gia cố vấn đấu tranh cho sự thay đổi chính sách để bảo vệ quyền tự do và quyền riêng tư cho các nhà phát triển và người dùng tiền điện tử.

Bài viết này dành cho mục đích thông tin chung và không nhằm mục đích và không nên được coi là lời khuyên pháp lý hoặc đầu tư. Quan điểm, suy nghĩ và ý kiến bày tỏ ở đây là của riêng tác giả và không nhất thiết phản ánh hoặc đại diện cho quan điểm và ý kiến của WebGiaCoin.

Theo CoinTelegraph

Chia sẻ bài viết này với bạn bè qua Facebook / Zalo / Telegram: