Хоча Біткоїн-максималісти традиційно надають перевагу Bitcoin-only гаманцям (на зразок Coldcard від Coinkite), Ledger вже тривалий час є одним із лідерів на ринку апаратних гаманців (разом із Trezor). Проте останні події можуть значно похитнути статус французького виробника, чий бізнес оцінювався у понад $1 млрд з річним доходом у $53 млн. То що ж трапилося?
16 травня Ledger повідомив про нову функцію Ledger Recover для своєї моделі Nano X, що може бути активована через прошивку 2.2.1. Вона передбачає розділення seed-фрази на три частини та її зберігання у трьох кастодіанів: Ledger, Coincover та EscrowTech. Хоча ці компанії формально незалежні одна від одної, очевидно, що такий підхід створює серйозні проблеми для забезпечення безпеки приватних ключів.
По-перше, базовий принцип відповідального зберігання своїх монет – це усунення посередників. Для цього біткоїнери й купують холодні гаманці. Натомість Ledger вводить треті сторони та елемент довіри, що створює додаткову небезпеку. По-друге, ключі мають зберігатися офлайн, щоб попередити основні ризики. Але нова пропозиція Ledger вводить елемент знаходження частини seed-фрази у хмарних сервісах, що з дуже великою ймовірністю означає, що вони можуть опинитися у руках злодіїв.
Окрім цього, менеджмент Ledger запропонував збирати особисті дані користувачів, які мають централізовано зберігатися у компанії, та, ймовірно, надавати їх за першою вимогою регуляторам. Загалом, ті, хто розуміє хоча б базові принципи відповідального зберігання коїнів та конфіденційності, виявили своє обурення такими ініціативами.
Наступного дня Ledger відреагував на хвилю критики, але лише погіршив ситуацію й сприйняття його бренду власниками цифрових активів.
«Ви завжди довіряли, що Ledger не встановлюватиме такі прошивки без вашого відома», – повідомили у компанії.
Власники гаманців Ledger відразу проінтерпретували це як підтвердження не просто вразливостей, а навмисну інтеграцію алгоритмів та технологічних рішень заволодіння приватними ключами користувачів.
Основний виклик полягає не тільки у тому, що компанія запропонувала вкрай небезпечне оновлення, а у тому, що проблеми з безпекою та зберіганням даних користувачів мають системний характер. Перш за все слід зазначити, що Ledger – чи не єдина компанія з лідерів ринку, що має закритий програмний код. Наприклад, код Trezor, BitBox та Coldcard відкритий, і кожен охочий може перевірити, що там немає бекдорів, які б дозволили компанії отримати доступ до приватних даних користувачів. Це саме одна із причин, чому користувачі сприйняли відповідь Ledger у штики.
Команда Ledger просить вибачення за викликане непорозуміння. Джерело: Twitter/Ledger
Закритий програмний код суперечить духу Біткоїна, який побудований на принципах мінімізації довіри. Біткоїнери нікому не довіряють й прагнуть самостійно все перевіряти: свої транзакції, обладнання, алгоритми тощо. Але у випадку з Ledger це стає неможливим, адже компанія не розкриває програмне забезпечення. Незалежний аудит також міг би бути корисним для виявлення недоліків і вразливостей із можливістю їх оперативного усунення.
До того ж Ledger вже мав кілька випадків із витоком даних клієнтів. Наприклад, у 2020 році стався масштабний злам бази даних компанії, що призвів до того, що хакери заволоділи наступною інформацією: понад 1 млн email-адрес клієнтів, дані про 272 000 замовлень холодних гаманців, адреси їхнього проживання та мобільні телефони. Взагалі компанії, що працюють у сфері апаратних гаманців не мають збирати й зберігати таку приватну інформацію.
Але у випадку з Ledger така інформація не просто збиралася, а й безвідповідально зберігалася. Все це створило реальні загрози для власності й навіть для життя її клієнтів. Зафіксовано чимало випадків, коли користувачі отримували фейкові листи з пропозицією перейти за посиланням для встановлення оновлення та нових функцій програмного забезпечення. Відповідно, неуважні користувачі могли скомпрометувати власні дані та втратити свої монети.
Вкрай важливо не тільки бути в курсі останніх подій навколо пристроїв Ledger, а й сформулювати коректні практичні висновки, що дозволять уникнути таких ризиків у майбутньому. Не слід вважати (як вже заявили деякі псевдо-експерти), що випадок Ledger вказує на проблеми чи вразливості холодного зберігання монет. Апаратні гаманці, що дозволяють зберігати приватні ключі офлайн залишаються найнадійнішою опцією збереження контролю над власними біткоїнами. Принаймні вони нейтралізують онлайн-ризики втрати seed-фрази і власник може зосередитися на офлайн-ризиках.
Звичайно, власники холодних гаманців мають уникати будь-яких посередників та не передавати свої seed-фрази чи їхні частини третім сторонам незалежно від того, які гарантії вони пропонують. Якщо ви стикаєтеся з оновленнями, щодо яких у вас є сумніви, є сенс проконсультуватися з експертами чи зібрати додаткову інформацію. Не варто встановлювати сумнівні оновлення і тим більше переходити за посиланнями з електронної пошти чи соцмереж.
Доцільно надавати перевагу компаніям, що мають відкритий програмний код та можуть бути незалежно перевірені Біткоїн-спільнотою будь-якої миті. Насамкінець Bitcoin-only гаманці мають менше ризиків (хоча б тому, що потребують менше програмного коду в порівнянні з тими, що зберігають інші цифрові активи). Тому такі рішення також дозволять знизити можливі ризики. Якщо ж у вас великі біткоїн-резерви, то має сенс розподілити монети серед декількох апаратних гаманців, а також використовувати мультипідпис.