Ранее на этой неделе производитель аппаратных кошельков LEDGER новую функцию под названием Recovery. Согласно заявлению компании, она позволяет создать «бэкап» seed-фразы, что чревато дополнительным риском взлома счета.
Ситуация обострилась еще сильнее, когда Ledger «потерли» проблемный «твит»:
В сообщении сказано, что Ledger могут написать прошивку, которая позволит упростить доступ к закрытым ключам клиентов. Кроме того, Функция Recovery фактически превращает «холодные» счета в «горячие», поскольку требует прохождения KYC и хранит фрагменты бэкапа seed-фразы на стороннем сервере.
Вчера, 18 мая, производитель заявил, что удалил «твит» из-за «неправильной формулировки». Также в обсуждении принял участие и CTO Ledger Шарль Гиллеме, который опубликовал целую «ветку» с подробным объяснением того, как работает ОС компании.
С его слов, есть множество способов реализации бэкдора, и покупка аппаратного кошелька всегда требовала «определенной степени доверия». Даже использование принципа открытого исходного кода не решает проблему, поскольку пользователь не может знать, какая именно прошивка установлена на его гаджете.
Также он заявил, что у Ledger нет и никогда не было доступа к фразе из 24 слов, которую получает каждый пользователь. Однако это не дает гарантию безопасности.
Но ранее, в ноябре прошлого года, Ledger утверждали, что у них нет технической возможности восстановить seed-фразу, если та была утеряна. Теперь же ситуация выглядит несколько иначе, и некоторые эксперты посоветовали пользователям сменить кошелек.
