تم إطلاق Ledger Recover حديثًا ، لماذا تم توبيخه؟

مفتاح الضمان متعدد الأطراف ، هل هو آمن حقًا؟

** بقلم: ليو **

في 16 مايو ، أصدرت الشركة المصنعة لمحفظة الأجهزة Ledger تحديثًا لنسختها التي تقدم خدمة تسمى “Ledger Recover”. يُذكر أن Ledger Recover عبارة عن خدمة استرداد مفتاح قائمة على “اشتراك” يمكن أن توفر نسخًا احتياطية لكلمات ذاكرة استعادة المفتاح الخاص للمستخدمين. حاليًا ، يتوافق Ledger Recover مع Ledger Nano X ومتوفر على نظامي Android و iOS اللذين يعملان بأحدث إصدار من Ledger Live. يحتاج المستخدمون الذين يمكنهم الاشتراك في الخدمة الآن إلى حمل جواز سفر / هوية صادرة عن الاتحاد الأوروبي أو المملكة المتحدة أو كندا أو الولايات المتحدة. في المستقبل القريب ، سيغطي نطاق اشتراك هذا المستخدم المزيد من البلدان.

شرح ليدجر أيضًا تفاصيل الخدمة ، التي تقسم ذاكرة المحفظة (المفتاح) إلى ثلاثة أجزاء (تقنية التجزئة المشفرة) وتوزعها على ثلاثة أمناء: ليدجر ، وشركة الوصاية على العملات المشفرة Coincover وشركة استضافة الكود EscrowTech. إذا فقد شخص ما مفاتيحه ، فيمكن أن تتحد اثنتان من القطع الثلاثة - عمليات التحقق المعلقة من الهوية - لاستعادة الوصول إلى الأموال المقفلة. سعر الاشتراك في الخدمة 9.99 دولار شهريًا.

بادئ ذي بدء ، اسمح لي بتعميم محافظ الأجهزة. بشكل عام ، يتم تخزين المفتاح الخاص في جهاز آمن ، معزول عن البيئة مثل أجهزة كمبيوتر الشبكة. الوعي بالمحفظة.

اعتراضات المستخدم

بعد نشر المعلومات حول الخدمة ، أثارت عددًا كبيرًا من معارضة المستخدمين ومقاطعتهم.لخصت BlockBeats بعض آراء المستخدمين ضد الخدمة:

• كمحفظة للأجهزة ، من الضروري ألا يترك المفتاح المحفظة ، ومن الواضح أن خدمة Ledger الجديدة غير مقبولة للعديد من المستخدمين الذين يمكنهم الاحتفاظ بالمفتاح بأنفسهم ، وبعد الاشتراك في الخدمة ، تحتاج إلى تكليف مفتاحك و الهوية الشخصية للمستخدمين الآخرين المؤسسات ، بمجرد وجود مشكلة مع هذه المؤسسات (القرصنة ، سرقة المعلومات) ، هناك احتمال كبير بأن المعلومات الموجودة في الحجز لن تكون سليمة ؛
• يتطلب الاشتراك في هذه الخدمة التحقق من جواز السفر والمعرف الوطني. أي شيء محمي بواسطة “التحقق من الهوية” غير آمن بطبيعته. من السهل جدًا تزوير الهوية ، ويلزم التحقق من الهوية لتأكيد طلب إعادة بناء مفتاح المستخدم. في الوقت الحاضر ، الاحتيال في التحقق من الهوية والسرقة نادرة جدًا وشائعة ، لذا فهذه ليست طريقة آمنة ؛
• ستقوم الخدمة بتقسيم المفتاح إلى ثلاثة أجزاء ، وهذا أمر جيد ، ولكن المشكلة هي أن الخدمة ترسل الأجزاء الثلاثة من مفتاح تشفير المستخدم إلى ثلاثة كيانات ، والتي يمكنها إعادة بناء مفتاح المستخدم بالكامل. فيما يتعلق بالاحتمال الرياضي ، فكلما زاد عدد المنظمات المستضافة ، سيزداد احتمال حدوث مشاكل بشكل كبير ؛
• يستخدم معظم مستخدمي Ledger Live ، والذي يستخدم عقد Ledger لجميع عمليات مزامنة المحفظة ، ويكشف عن كل تفاصيل أنشطة تشفير المستخدم ، ويتم عرض أصولك وتفاصيل المعاملات لأطراف ثالثة ، بالإضافة إلى المفاتيح والمفاتيح الخاصة بك بعد الاشتراك في الخدمة. استضافتها جهة خارجية ، فهل لا تزال عملتك المشفرة ملكًا لك؟
• لا يمكننا التأكد مما إذا كان ليدجر لديه ضمانات مضمنة لمنع شخص ما من إرسال جميع الأجزاء الثلاثة من المفتاح إلى كيان واحد ، أو كيفية توزيعه على الكيانات الثلاثة ، لذلك فإن عملية فك التشفير أثناء الاسترداد أقل وضوحًا. لقد تم بالفعل.
• من الناحية النظرية ، أعلم أنك استخدمت Ledger Recover وحصلت على معلومات الهوية. ليس من الصعب اجتياز التحقق من الهوية بالوسائل التقنية الحالية ، ويمكن أن تنتمي أصولك المشفرة أيضًا إلى آخرين ؛
• من وجهة النظر الكلية ، يجب مراعاة الشروط التنظيمية. EscrowTech و Ledger شركتان أمريكيتان ، و Coincover شركة بريطانية. تخضع هذه المؤسسات لسلطة المملكة المتحدة والولايات المتحدة. ومع ذلك ، فإن الإشراف على التشفير لطالما كانت المشكلة في الولايات المتحدة وبريطانيا ، فمن السهل على الحكومة أن تأتي لتطلب هويات جميع حامليها ، ثم تصادر الأموال متى شاءت.

تفكير أعمق بعد استعادة ليدجر

ومن المثير للاهتمام ، أنه تم حذف جزء واحد من المحتوى بعد أن نشر Ledger للتو حول الخدمة. المحتوى يعني أن “ليدجر والجهات الخارجية الموثوقة لدينا ليس لديهم حق الوصول إلى مفاتيح المستخدم.” على الرغم من أن ليدجر أوضح لاحقًا أن صياغة المقالة كانت غير دقيقة ، إلا أن هذا التفسير بعيد المنال إلى حد ما.

• مصدر الصورة تويتر *

بالاقتران مع تعليقات المستخدمين ، يظهر سؤال مثير للتفكير. هل الخدمة وراء السعي وراء الربح بعد اشتراكات المستخدم ، أم أن بعض المنظمين يجبرون دفتر الأستاذ على القيام بذلك؟ إذا كانت وظيفة تم إطلاقها بناءً على طلب المنظمين ، فيمكنهم ذلك بسهولة أمر مخيف للغاية للحصول بسهولة على بيانات “اعرف عميلك” وبياناته واستعادة أصول المستخدم.

نقطة أخرى هي أنه يجب التحقق من استخدام واستعادة الأجزاء الثلاثة من المفتاح على موقع Ledger الرسمي على الويب (البريد الإلكتروني ، معلومات الهوية ، Onfido KYC). تتولى هذه الشركة المسماة Onfido عملية “اعرف عميلك” وتتطلب من المستخدمين تحميل / التحقق من هوياتهم يتم أيضًا الاحتفاظ بمعرفات المستخدم والصورة / الفيديو / الصوت من مقاطع الفيديو الشخصية ، والصورة العامة للجهاز والنشاط الحالي. لدى Onfido معرفة كاملة بهوية المستخدم وحقيقة أنك مستخدم دفتر الأستاذ ، لذلك عندما تمتلك قدرًا كبيرًا من العملات المشفرة ، يكون لديهم أيضًا معرفة كاملة بالجهاز الذي تستخدمه للمصادقة. كما ذكر أعلاه ، الصوت / الصورة / الفيديو هؤلاء لا يمكن تقليدها.

هل هي حقا آمنة؟

محافظ الأجهزة الأخرى في السوق

لذلك ، كسرت خدمة Ledger آلية محفظة الأجهزة التقليدية تمامًا ، وكان هناك العديد من الثغرات بشكل غير مباشر. في الواقع ، لم تكن مشكلة محافظ الأجهزة بارزة. في السابق ، كان لدى شركة Trezor العملاقة لمحفظة الأجهزة بضع دقائق لاختراق المفتاح من خلال طُرق. إذن ما هي محافظ الأجهزة الأخرى المتوفرة في السوق؟ قامت BlockBeats بفرز بعض محافظ الأجهزة بمراجعات جيدة اليوم على النحو التالي:

مفتاح واحد

OneKey هي محفظة أجهزة مفتوحة المصدر تمامًا. يمكن العثور على الكود المصدري لنظامها الداخلي على GitHub ، ولا توجد مشكلة في الباب الخلفي. وتجربة استخدام محفظة أجهزة OneKey جيدة جدًا ، والشكل بنفس حجم البطاقة المصرفية ، والسعر ليس باهظًا بشكل خاص ، ويمكن وضعه بسهولة في المحفظة.

كيستون

Keystone هي محفظة أجهزة تعتمد على رمز الاستجابة السريعة (QR) لنقل البيانات ، والتي يمكن أن تدرك أن الكلمات التذكارية والمفاتيح الخاصة لا تلمس الإنترنت أبدًا.بالنسبة لمحافظ الأجهزة ، من السهل مهاجمتها ، لكن Keystone صممت آلية متعددة الطبقات للتدمير الذاتي. لمنع تعرض الجهاز للهجوم ، أي عندما يكتشف الجهاز أن شخصًا ما يقوم بتفكيكه ، ستقوم آلية التدمير الذاتي على الفور بمسح معلومات مفتاحك الخاص والمعلومات الحساسة الأخرى ، بحيث لا يتمكن المهاجم من الحصول على معلومات المستخدم الحساسة. Keystone و MetaMask (الإصدارات الموسعة والمتنقلة) ومحافظ البرامج الأخرى مثل Solflare و Sender و Fewcha وما إلى ذلك.

خاتمة

بالطبع ، هناك أيضًا بعض الآراء الإيجابية.الخدمة ليست إلزامية للتحديث ، ولدى المستخدمين خيارات اختيارية ، لذلك يمكنك الاستمرار في استخدام دفتر الأستاذ الخاص بك.هناك أيضًا آراء مفادها أن سرقة الأصول المشفرة أمر شائع جدًا ، واحتمال فقدان المفاتيح بعيد المنال … أكثر من احتمال سرقة المفاتيح ، وفقط 9.99 دولار شهريًا ، فلماذا لا تفعل ذلك. الأمر متروك لك لاختيار الاستمرار في استخدام محافظ الأجهزة الأخرى أو التبديل إليها.