Tác giả gốc:Trưởng phòng Nội dung tại Foundation, một công ty phát triển công cụ bitcoin @Sethforprivacy

Biên dịch gốc: PANews

Biên dịch gốc: PANews

Vào ngày 16 tháng 5, Ledger đã phát hành bản cập nhật chương trình cơ sở 2.2.1 ví lạnh Nano X, sẽ giới thiệu chức năng khôi phục ghi nhớ khóa được gọi là "Phục hồi Ledger", dưới dạng dịch vụ khôi phục khóa dựa trên ID. Khóa riêng của người dùng sẽ được sao lưu để khôi phục cụm từ gốc và cần phải đăng ký (9,99 đô la mỗi tháng) để kích hoạt cụm từ đó. Hiện tại, cần phải có giấy tờ tùy thân/hộ chiếu do EU, Vương quốc Anh, Canada hoặc Hoa Kỳ cấp để đăng ký dịch vụ, nhưng trong những tháng tới, nhiều quốc gia sẽ được bảo hiểm và hỗ trợ cho nhiều giấy tờ hơn sẽ được bổ sung.

Tuy nhiên, việc phát hành chức năng này đã khiến nhiều người dùng Web3 lo lắng về quyền riêng tư và bảo mật, đặc biệt khi nó liên quan đến việc lưu trữ các từ ghi nhớ khóa riêng tư và liên kết chúng với hộ chiếu hoặc tài liệu ID, điều này rõ ràng vi phạm các giá trị riêng tư của mã hóa cộng đồng. Người đứng đầu nội dung tại Foundation, một công ty phát triển công cụ bitcoin, đã đăng một bài đăng kêu gọi "sự nguy hiểm" của giải pháp lưu ký tiền điện tử mới nhất của Ledger.

Người ta nói rằng cốt lõi của sản phẩm mới của Ledger là phân mảnh bản ghi nhớ của người dùng và chia bản ghi nhớ thành ba phần trước khi mã hóa nó, đồng thời, người dùng được yêu cầu cung cấp ID + bản ghi selfie của chính họ, sau đó tin tưởng vào ba người giám sát Con người bảo vệ những mẩu thông tin này cho bạn.

Tuy nhiên, có một vấn đề với Ledger khi làm điều này.

Trước hết, để sử dụng hệ thống "khôi phục cụm từ ghi nhớ" này, bạn phải liên kết thông tin nhận dạng ID của mình với tài khoản Ledger, điều này sẽ gây ra điểm khó khăn cho KYC, gây rò rỉ dữ liệu, hack cũng như các vấn đề về kiểm duyệt và giám sát.

Thứ hai, bạn cũng cần phải tin tưởng bên thứ ba và giao thông tin ID của mình cũng như thông tin liên quan đến tiền điện tử cho bên thứ ba. Rò rỉ hoặc hack dữ liệu rất có thể xảy ra trong trường hợp này, sau tất cả, dữ liệu người dùng Ledger rất có giá trị (cả hiện tại và trong tương lai) và bất kỳ "bên thứ ba được ủy quyền" nào cũng có thể quyết định sử dụng dữ liệu của bạn làm nguồn thu nhập bất kỳ lúc nào.

Hơn nữa, dịch vụ Khôi phục sổ cái cũng xâm phạm quyền riêng tư của người dùng. Hiện tại, hầu hết người dùng Ledger chọn sử dụng dịch vụ phần mềm Ledger Live, dịch vụ này sẽ sử dụng nút Ledger để đồng bộ hóa tất cả các ví chứa tất cả chi tiết về các hoạt động của tiền điện tử trong ví, so với việc liên kết ID của chính họ với tài khoản Ledger, người dùng sử dụng Ledger Live có rủi ro cao hơn.

Theo thông tin được tiết lộ, tất cả dữ liệu KYC được thu thập bởi một công ty có tên "Onfido", công ty này sẽ xử lý các vấn đề như xác minh thông tin KYC. Khi người dùng Ledger tải lên/xác minh danh tính của họ, họ sẽ giữ lại ID người dùng, ảnh/video ảnh selfie/ âm thanh và hình ảnh tổng thể về thiết bị và hoạt động hiện tại của người dùng.

Điều này có nghĩa là Onfido sẽ có toàn quyền kiểm soát ID của bạn và việc bạn là người dùng Ledger. Tất nhiên, họ biết chắc chắn rằng bạn nắm giữ tiền điện tử. Onfido cũng sẽ có kiến ​​thức đầy đủ về các thiết bị bạn sử dụng để xác thực, vì vậy, giờ đây bạn không chỉ tin tưởng Ledger và “các bên thứ ba được ủy quyền” với dữ liệu nhận dạng của mình mà còn tin tưởng Onfido với các thiết bị của mình và hơn thế nữa.

Tất cả các hoạt động này có thể dễ dàng dẫn đến các mối đe dọa mới. Tiếp theo, chúng ta hãy phân tích sâu hơn từ quan điểm kỹ thuật.

Từ góc độ kỹ thuật, người dùng phải tin tưởng Ledger "100%" vì mã cho toàn bộ quá trình là đóng và không thể xác minh. Trong khi người đồng sáng lập Ledger, Nicolas Bacca, cho biết nhóm của ông có kế hoạch mở mã trong tương lai để cho phép người dùng xem cách dịch vụ khôi phục của Ledger mã hóa dữ liệu người dùng một cách an toàn và hoạt động an toàn, Ledger cũng đang làm cho dịch vụ khôi phục của mình có thể truy cập đầy đủ. và minh bạch về quan hệ đối tác với người giám sát bên thứ 3, nhưng ít nhất là tại thời điểm viết bài này, Ledger chưa mã nguồn mở mã có liên quan, tức là không ai ngoài chính Ledger có thể xác minh điều gì đang thực sự xảy ra/bảo mật.

Nếu tất cả diễn ra như mô tả, về mặt lý thuyết, cụm từ gốc của người dùng sẽ không bao giờ để thiết bị ở trạng thái không được mã hóa. Tuy nhiên, chúng tôi không có cách nào để xác minh điều này và đảm bảo rằng các cụm từ gốc này được hoàn thành một cách an toàn hoặc được mã hóa đúng cách. Nhưng có một điều chắc chắn là: bây giờ mã đang chạy trên Sổ cái của bạn và bạn có thể gửi thông tin ghi nhớ của mình qua USB/BT. Ở một góc độ khác, lúc này ví của bạn sẽ không còn là cái gọi là “ví lạnh” nữa mà là “chuyển từ ví lạnh sang ví nóng”. Không chỉ vậy, việc có thể "làm nóng" ví của bạn bằng một vài lần nhấn phím sẽ mở ra rất nhiều hướng tấn công mới dành cho lừa đảo và phần mềm độc hại, nơi tin tặc có thể vô tình nắm giữ cụm từ gốc của bạn .

Ở giai đoạn này, chúng tôi không thể xác định liệu Ledger có các biện pháp bảo mật tích hợp để ngăn ai đó gửi bản ghi nhớ phân đoạn được mã hóa cho một người hay cho 3 người giám sát khác nhau hay liệu bản ghi nhớ phân đoạn đó chỉ có thể được gửi bởi người dùng sẽ giải mã nó một mình.

Có một vấn đề khác ở đây, bạn không thể biết quá trình khôi phục mnemonic, hoặc quá trình giải mã hoạt động như thế nào. Người dùng phải đăng nhập vào Sổ cái và xác minh danh tính của họ, nhưng nếu việc giải mã chỉ có thể được thực hiện trên thiết bị của chính họ, thì làm cách nào để thiết bị mới nhận được khóa giải mã?

Trong các sơ đồ mã hóa đầu cuối (E2EE), thường có một cách để phê duyệt các thiết bị mới và gửi cho chúng khóa giải mã, nhưng trong trường hợp Sổ cái bị mất, người dùng thực sự không thể làm điều này, vì vậy người khác phải có chúng Cần có một bản sao khóa giải mã Ledger được gửi cho bạn để phục hồi trí nhớ.

Trong trường hợp này, ai là người sở hữu các khóa giải mã này? Nó có phải là sổ cái không? Hay nó được mã hóa và đặt ở đâu đó sau khi đăng nhập vào Ledger Recover và xác minh ID? Nếu có thì khóa giải mã được lưu trữ như thế nào, được mã hóa bằng kỹ thuật gì và được xác thực như thế nào?

tiêu đề cấp đầu tiên

tóm tắt

tóm tắt