جنجال بر سر سرویس جدید «Ledger Recover»؛ افزایش قابلیت یا کاهش امنیت کیف پولهای لجر؟
شرکت لجر، سازنده معروف کیف پولهای سختافزاری، دیروز از سرویس جدیدی با نام «Ledger Recover» برای بکآپ گرفتن از عبارات بازیابی کاربران رونمایی کرد. به گفته لجر، کاربران با استفاده از این ویژگی، یک لایه حفاظتی اضافی برای کلیدهای خصوصی خود ایجاد میکنند. ارائه این سرویس از سوی لجر با واکنش تند بسیاری از کاربران و کارشناسان امنیتی همراه شده است.
به گزارش کوین تلگراف، Ledger Recover سرویسی اشتراکی است که یک لایه حفاظتی اضافی برای عبارات بازیابی کاربران فراهم میکند. این کار، با تقسیم عبارت بازیابی کیف پول کاربر به سه بخش رمزنگاریشده و ارسال آن به ۳ سرور خارجی انجام میشود. زمانی که این قطعات دوباره در کنار یکدیگر قرار بگیرند، میتوان از رمزگشایی آنها برای بازسازی عبارت بازیابی استفاده کرد.
به گفته لجر، استفاده از این سرویس برای کاربران کاملا اختیاری است و تنها برای افرادی است که تمایل دارند از عبارت بازیابی خود پشتیبان تهیه کنند و الزامی برای استفاده از آن وجود ندارد.
لجر در این رابطه گفت:
لازم نیست از این ویژگی استفاده کنید و اگر به همین دلیل (مدیریت شخصی عبارات بازیابی) لجر خریدید، میتوانید به مدیریت عبارت بازیابی خود ادامه دهید.
انتقاد شدید کاربران از سرویس جدید لجر
علیرغم توضیحات لجر، سرویس جدید این شرکت انتقادات بسیار زیادی را از جانب کاربران و کارشناسان امنیتی برانگیخت. مودیت گوپتا (Mudit Gupta)، کارشناس امنیت اطلاعات از شرکت پالیگان لبز در واکنش به سرویس جدید لجر در توییتی نوشت:
این یک ایده وحشتناکه، این ویژگی رو فعال نکنید… مشکل اینجاست که بخشهای رمزنگاریشده عبارت بازیابی شما به ۳ شرکت ارسال میشه که اونا میتونن کلیدهای خصوصی شمارو بازسازی کنند.
چانگ پنگ ژائو، مدیرعامل صرافی بایننس نیز در واکنش به توییت گوپتا با کنایه نسبت به سرویس جدید لجر نوشت:
عبارت بازیابی میتونه کیف پول رو ترک کنه؟ ظاهرا این با این ادعا که کلیدهای خصوصی شما از کیف پولتون خارج نمیشه متفاوته.
کریس دان (Chris Dunn) سرمایهگذار بازار رمزارزها با اشاره به لو رفتن دادههای مربوط به کاربران لجر در سال ۲۰۲۰ نوشت:
اول آدرس پستی، شماره تلفن و آدرس ایمیل مشتریان لو رفت و حالا راهی برای دسترسی به عبارات بازیابی گذاشتن. وقت اون رسیده تا با لجر خداحافظی کنیم.
دیسی اینوستر (DCinvestor)، یکی دیگر از سرمایهگذاران بازار رمزارزها ضمن اشاره به لو رفتن اطلاعات کاربران که آنها را در معرض آسیب قرار داد گفت:
یادآوری میکنم که چند سال پیش لجر نام و آدرس خونه مشتریاشو لو داد. آخرین چیزی که میخواید تو سرورشون باشه کلید خصوصیتونه.
آبستر میلن (Alistair Milne)، سرمایهگذار بیت کوین و کارآفرین صنعت کریپتو با اشاره به اینکه سرویس Ledger Recover برخلاف اصل حفاظت از کلیدهای خصوصی کیف پولهای سختافزاری توسط کاربران است نوشت:
مطمئنا شما *میتونید* از سرویس جدید لجر استفاده کنید و به اونا اجازه کنترل کلیدهای خصوصی، داراییها و همچنین یه کپی از آیدی و سایر اطلاعات شخصیتون بدید. با این حال، اگه برنامه اینه، چرا اصلا باید به خودمون زحمت خرید کیف پول سختافزاری رو بدیم؟
لجر در ماه آوریل یک کیف پول اختصاصی برای NFTها با نام لجر نانو اس پلاس (Ledger Nano S Plus) معرفی کرد. این کیف پول با هدف افزایش امنیت کاربران و ارائه تجربهای بهبود یافته برای کاربران وب ۳ که به طور معمول با NFTها سروکار دارند طراحی شده است. این کیف پول با پشتیبانی از فناوری امضای شفاف (Clear Signing) از طریق لجر لایو به دنبال تقویت امنیت کاربران است.
شرکت لجر در سال ۲۰۱۴ تاسیس شد و از آن زمان، به یکی از دو قطب اصلی سازنده کیف پولهای سختافزاری تبدیل شده است. این شرکت تاکنون ۶ مدل کیف پول مختلف معرفی کرده و بر اساس گزارشها، ۴.۵ میلیون کیف پول به فروش رسانده است.