سرویس عبارت بازیابی Ledger Recover چگونه کار می‌کند؟

کیف‌پول‌های سخت‌افزاری (HW) یک راه‌حل بسیار قابل اعتماد برای ذخیره ایمن دارایی‌های دیجیتال هستند. با این حال، تحولات اخیر نگرانی‌هایی را در مورد مسیری که برخی تولیدکنندگان کیف‌پول سخت‌افزاری در پیش گرفته‌اند، ایجاد کرده است. Ledger، سازنده برجسته HW، به تازگی از سرویس جدید عبارت بازیابی خود به نام Ledger Recover رونمایی کرده است.

این یک سرویس اشتراک بازیابی عبارت اولیه است که هدف آن ارائه راه‌حلی برای محافظت و بازیابی دارایی‌های دیجیتال به کاربران است. با این حال، این ویژگی به دلیل پیامدهای منفی بالقوه آن برای کاربران، بحث‌های مختلفی را در جامعه بیت کوین برانگیخته است. بنابراین، تجزیه و تحلیل دقیق از خطرات مرتبط با آن ضروری است.

در این مقاله، دیدگاه‌های پیرامون Ledger Recover را بررسی خواهیم کرد و در مورد اینکه چرا کاربران باید در اعتماد خود به تولیدکنندگان کیف‌پول‌های سخت‌افزاری تجدیدنظر کنند، بحث خواهیم کرد.

سرویس عبارت بازیابی Ledger Recover چیست؟

مفهوم اصلی سرویس بازیابی بازیابی Ledger Recover شامل رمزگذاری قطعات عبارت اولیه کاربر به سه قسمت است. کاربران باید اطلاعات هویتی خود را ارائه کنند و قطعات را به سه متولی بسپارند. این نگرانی‌های زیادی را ایجاد می‌کند که در بخش بعدی به آنها خواهیم پرداخت.

در یک موضوع آموزنده توییتری در مورد این موضوع، مدافع حریم خصوصی Seth For Privacy می‌نویسد:

فرض اصلی این پیشنهاد این است که (ظاهراً) تکه‌هایی از عبارت اولیه خود را به 3 قسمت رمزگذاری کنید، هویت خود را + یک سلفی بگیرید و سپس به 3 متولی اعتماد کنید تا آن خرده‌ها را برای شما نگه دارند.

Ledger این سرویس را اینگونه توصیف می‌کند:

چرا سرویس عبارت بازیابی Ledger Recover نگران‌کننده است؟

این سرویس چندین نگرانی و خطرات بالقوه را معرفی می‌کند که آن را به یک پیشنهاد مشکوک برای کاربران تبدیل می‌کند. در زیر دلایلی وجود دارد که چرا این رویکرد ممکن است یک هشدار برای حفظ حریم خصوصی و امنیت در نظر گرفته شود.

• الزامات KYC: این سرویس از کاربران می‌خواهد که هویت خود را به حساب Ledger خود متصل کنند. این کار کاربران را در معرض نشت اطلاعات احتمالی، حوادث هک و نظارت یا سانسور دولتی قرار می‌دهد. داده‌های حساس کاربران که در سازمان‌های متمرکز نگهداری می‌شوند به طور مداوم هک می‌شوند – حوادثی که در IRS، Yahoo، Ledger وجود دارد.
• خطرات حفظ حریم خصوصی: در همین راستا، با یک هویت متصل و استفاده از Ledger Live، کاربران کل تاریخچه تراکنش‌های ارزهای دیجیتال خود را افشا می‌کنند، که حریم خصوصی آنها را به شیوه‌ای غیرقابل برگشت به خطر می‌اندازد. این اصل اساسی تراکنش‌های مستعار را که بیت‌ کوین قصد ارائه آن را دارد، تضعیف می‌کند. اگر فکر می‌کنید Ledger از این داده‌ها پولی درنمی‌آورد یا آن را با مراکز قدرت به اشتراک نمی‌گذارد، بیشتردقت کنید.
• اعتماد به متولیان شخص ثالث: فرآیند بازیابی به سه متولی برای ذخیره ایمن عبارت بازیابی رمزگذاری شده متکی است. کاربران باید نه تنها به Ledger بلکه به این متولیان اطلاعات حساس خود اعتماد کنند. هرگونه آسیب‌پذیری یا نقض در سیستم می‌تواند امنیت وجوه کاربران را به خطر بیندازد. اشخاص ثالث پیوندهای ضعیف امنیتی هستند همانطور که در نقض اخیر Ledger از طریق Shopify مشهود است که در زیر توضیح خواهیم داد.
• کد منبع بسته: فرآیند بازیابی به کد منبع بسته متکی است، به این معنی که کاربران نمی‌توانند به طور مستقل اجرای آن را برای امنیت و حفظ حریم خصوصی تأیید کنند. این عدم شفافیت نگرانی‌هایی را در مورد مدیریت صحیح عبارات اولیه کاربران و معرفی احتمالی آسیب‌پذیری‌ها یا درهای پشتی ایجاد می‌کند. بعداً در مورد خطرات الگوریتم Shamir Secret Sharing بحث خواهیم کرد.
• بردارهای حمله: استفاده از USB یا بلوتوث برای انتقال قطعات عبارت بازیابی از طریق دستگاه Ledger، بردارهای حمله جدیدی را معرفی می‌کند. این مسئله امکان ورود را برای تلاش‌های فیشینگ و بدافزاری باز می‌کند که می‌تواند کاربران را فریب دهد تا به طور ناآگاهانه عبارت اولیه خود را به اشتراک بگذارند و منجر به دسترسی غیرمجاز به وجوه آنها شود.
• رمزگشایی نامشخص و مدیریت کلید: مکانیسم دقیق رمزگشایی عبارت بازیابی در طول فرآیند بازیابی نامشخص است. این سؤال که چه کسی کلید رمزگشایی را در اختیار دارد، چگونه آن را ذخیره می‌کند و از چه روش‌های رمزگذاری استفاده می‌شود، به اندازه کافی پاسخ داده نشده است. این عدم شفافیت باعث ایجاد شک و تردید در مورد امنیت روند بازیابی می‌شود.
• خطرات توقیف دولت: دخالت متولیان مستقر در حوزه‌های قضایی با قابلیت‌های نظارتی قوی دولت، نگرانی‌هایی را در مورد درخواست‌های بالقوه دولت برای اطلاعات شناسایی کاربر و توقیف دارایی‌های بعدی ایجاد می‌کند.
• تضاد اصول کیف‌پول سخت‌افزاری: معرفی الزامات اضافی KYC با دلایل اصلی انتخاب کیف‌پول‌های سخت‌افزاری مانند Ledger که به دلیل ارائه فضای سرد و اولویت دادن به حریم خصوصی و امنیت کاربر شناخته شده است، تناقض دارد.

بنابراین، Ledger Recover مجموعه‌ای از آسیب‌پذیری‌های احتمالی را معرفی می‌کند، حریم خصوصی را به خطر می‌اندازد و به شدت به اعتماد به اشخاص ثالث متکی است.

معرفی Ledger Recover نگرانی‌هایی را در مورد درک Ledger از پایگاه کاربران و انتظارات آنها ایجاد می‌کند. کاربران بیت کوین برای حفظ دارایی خود، کنترل بر وجوه خود و حذف وابستگی به شخص ثالث ارزش قائل هستند. به نظر می‌رسد Ledger با اتخاذ شیوه‌های نگهداری از این اصول اساسی منحرف می‌شود، اعتماد را از بین می‌برد و پایگاه اصلی مشتریان خود را از دست می‌دهد.

نه اینکه نیاز به دلایلی برای اعتماد نکردن به یک شرکت در مورد داده‌های حساس خود داشته باشید، اما به یاد داشته باشید که این همان شرکتی است که اخیراً چندین مورد نقض امنیتی را پشت سر گذاشته است.

نقض داده Ledger در جولای 2020 گزارش شد:

یک هکر از طریق کلید API شخص ثالثی به بخشی از پایگاه داده تجارت الکترونیک و بازاریابی ما دسترسی پیدا کرد که اجازه دسترسی غیرمجاز به اطلاعات تماس و اطلاعات سفارش مشتریان ما را می‌داد.

– Ledger 2020

نقض داده Ledger در دسامبر 2020 گزارش شد:

در 23 دسامبر 2020، ارائه‌دهنده خدمات تجارت الکترونیکی ما Shopify در مورد حادثه‌ای مربوط به داده‌های بازرگان که در آن اعضای سرکش تیم پشتیبانی آن‌ها سوابق تراکنش‌های مشتری، از جمله Ledger را به دست آوردند، به ما اطلاع داد.

– Ledger 2020

همچنین، Ledger همان شرکتی است که فکر می‌کرد کیف‌پول سخت‌افزاری دور گردنی ایده خوبی است.

نگرانی‌های خاص در مورد استفاده از الگوریتم Shamir Secret Sharing

سرویس عبارت بازیابی Ledger Recover از الگوریتم Shamir Secret Sharing (SSS) برای شکستن یک عبارت به سه قطعه استفاده می‌کند. در حالی که SSS برای مدت طولانی وجود داشته است و دارای ویژگی‌های رمزنگاری قوی است، اما دارای اشکالات عملی جدی است که ارزش در نظر گرفتن دارد.

گریگوری ماکسول (Gregory Maxwell) می‌نویسد:

SSS اگر به طور کامل پیاده‌سازی شود، دارای خاصیت غیرمعمول دستیابی به امنیت نظری اطلاعات است: در برابر مهاجمان با قدرت محاسباتی نامحدود قوی است. این نوع امنیت کامل به جذابیت مرموز آن می‌افزاید، اما این ویژگی اساساً هیچ کاربرد عملی ندارد و به نظر می‌رسد که مردم را از این واقعیت دور می‌کند که بسیاری از تلاش‌ها در SSS آنقدر ضعیف بوده است که کودکان نیز می‌توانند آنها را رمزگشایی کنند.

در ادامه به برخی از این مسائل اشاره خواهیم کرد:

تنها نقطه شکست

به منظور تقسیم یک کلید خصوصی از طریق SSS، باید در یک دستگاه واحد در زمان تقسیم وجود داشته باشد و بعداً روی یک دستگاه واحد بازسازی شود تا تراکنش‌ها را امضا کند. اگر دستگاه در هر یک از این نقاط به خطر بیفتد، وجوه کاربر ممکن است به سرقت برود.

پیچیدگی

گریگوری ماکسول می‌نویسد:

من فکر می‌کنم در مورد Shamir’s Secret Sharing و موارد دیگر، مردم اغلب برای اجرای آنها هیجان زده می‌شوند و دلیل خوبی هم ندارند، و سپس به اندازه‌ای پیچیده هستند که آنها را ضعیف اجرا می‌کنند.

بدون استاندارد

هیچ استاندارد پذیرفته‌شده‌ای برای SSS وجود ندارد – اشتراک‌گذاری‌ها در یک پیاده‌سازی ممکن است با پیاده‌سازی دیگری سازگار نباشد و بنابراین کاربران در همان ارائه‌دهنده قفل می‌شوند. پیاده‌سازی‌های سفارشی خطر خطاهای کدنویسی و اشتباهات کاربر را افزایش می‌دهد. به طور کلی، مانعی برای استفاده از سخت‌افزار و نرم‌افزار وجود دارد که نقطه‌ شکست دیگری ایجاد می‌کند.

به ویژه به دلیل اینکه اجرای SSS Ledger Recover منبع بسته و اختصاصی است، کاربران ممکن است در معرض خطر ناشناخته‌ای قرار بگیرند. همچنین، پیاده‌سازی‌های SSS سفارشی در گذشته دارای آسیب‌پذیری‌های امنیتی مختلفی بوده‌اند.

حملات کانال جانبی

نرم افزار مدیریت کلید ایمن توجه ویژه ای به جلوگیری از نشت داده‌ها به هکرهایی دارد که ممکن است شما را زیر نظر داشته باشند، یا انتشارات صوتی، بصری، الکتریکی و فرکانس رادیویی، اما نرم‌افزار SSS اغلب این موضوع را نادیده می‌گیرد. به عنوان مثال، استفاده از یک کتابخانه اعداد شبه تصادفی عمومی، کاربران را از زمان‌بندی حملات کانال جانبی باز می‌دارد.

آسیب‌پذیری ذاتی HW

توجه داشته باشید که یک عنصر امن به طور خودکار تضمین نمی‌کند که کلید شما از دستگاه خارج نشود. یک به‌روز‌رسانی سیستم عامل بد می‌تواند کلیدهای یک کیف‌پول سخت‌افزاری را در معرض دید قرار دهد.

کاربران چه کاری باید انجام دهند؟

Ledger Recover آسیب‌پذیری‌های بالقوه‌ای را معرفی می‌کند، حریم خصوصی را به خطر می‌اندازد و از این پس به اعتماد به اشخاص ثالث متکی است. این اصول تمرکززدایی و کنترل کاربر را که هسته اصلی فضای بیت کوین هستند، تضعیف می‌کند. کاربران باید قبل از تصمیم به استفاده از این سرویس یا کاوش گزینه‌های جایگزین که با اولویت‌های حریم خصوصی و امنیتی آنها هماهنگی بیشتری دارد، این خطرات را به دقت ارزیابی کنند.

نیاز فوری به وحشت کردن ندارید

در حالی که معرفی Ledger Recover نگران‌کننده است، توجه به این نکته مهم است که کیف‌پول‌های سخت‌افزاری Ledger موجود هنوز هم بدون فعال کردن این ویژگی قابل استفاده هستند. لازم نیست کاربران فورا کیف‌پول سخت‌افزاری خود را دور بیندازند. با این حال، این توسعه به عنوان زنگ خطری برای کاربران عمل می‌کند تا اعتماد خود را به تولیدکنندگان HW ارزیابی کنند و گزینه‌های جایگزین را بررسی کنند.

این یک بخش از روندی دور از ارزش‌های اصلی است

تغییر به سمت کیف‌پول‌های خودحضانتی و سایر اقدامات مضر، مانند نادیده گرفتن یا تضعیف حریم خصوصی کاربر، تنها به Ledger محدود نمی‌شود. در سپتامبر 2022، کیف‌پول سخت افزاری Trezor با Wasabi Wallet، یک ابزار ترکیبی که به شرکت‌های تحلیل بلاک چین متکی است و حریم خصوصی کاربران را به خطر می‌اندازد، شریک شد که رویه‌های KYC را برای مبادلات امکان‌پذیر می‌کند، در نتیجه راه را برای افزایش مقررات و رویه‌های KYC برای کاربران این کیف‌پول سخت‌افزاری باز می‌کند.

این رویدادها ما را به یاد تمام دوران‌هایی می‌اندازد که برندهای کیف‌پول سخت‌افزاری ارزش‌ها و باورهای اصلی جامعه بیت کوین را نادیده می‌گرفتند. این روند رو به رشد نگرانی‌هایی را در مورد جهت‌گیری صنعت ایجاد می‌کند و کاربران را وادار می‌کند تا در مورد برندهایی که به آنها در ایمن‌سازی دارایی‌های دیجیتال خود اعتماد دارند تجدید نظر کنند.

روی آوردن به گزینه‌های منبع باز و مختص بیت کوین

در میان تغییر نگهداری، چندین برند جایگزین از اصول اصلی بیت کوین حمایت می‌کنند و حق حاکمیت کاربر را در اولویت قرار می دهند. پروژه‌هایی مانند Seedsigner، Spectre DIY، Coldcard و Foundation Passport بر اساس اصول منبع باز (و قابل تأیید منبع) ساخته شده‌اند و منحصراً برای کاربران بیت ‌کوین ارائه می‌شوند. با حمایت از این برندها و پروژه ها، کاربران می‌توانند خود را با شرکت‌هایی هماهنگ کنند که برای حریم خصوصی، امنیت و پیشرفت اکوسیستم بیت کوین ارزش قائل هستند.

تنظیمات آفلاین برای امنیت پیشرفته

علاوه بر انتخاب برندهای قابل اعتماد، کاربران همچنین می‌توانند تنظیمات آفلاین را برای ذخیره و تراکنش ایمن بیت کوین بررسی کنند. با استفاده از لپ‌تاپ‌ها یا تلفن‌های اضافی، همراه با نرم‌افزارهای منبع باز و قابل تأیید مانند Electrum، Blue Wallet، Sparrow و Samourai Wallet کاربران می‌توانند با آفلاین نگه داشتن کلیدهای خصوصی خود و ایزوله از تهدیدات احتمالی، به امنیت بالاتری دست یابند.

محدودیت‌های کیف‌پول‌های مولتی کوین و برتری کیف‌پول‌های مختص بیت کوین

کیف‌پول‌های مولتی چین، چه سخت‌افزاری و چه مبتنی بر نرم‌افزار، اغلب از استانداردهای بالای امنیت و تجربه کاربری که توسط کیف‌پول‌های فقط بیت ‌کوین تعیین شده‌اند، کوتاهی می‌کنند. این کیف‌پول‌ها چندین ارز دیجیتال را در اولویت قرار می دهند که منجر به سازش در ویژگی‌های کلیدی خاص بیت کوین می‌شود. آنها از تراکنش‌های شبکه لایتنینگ، ویژگی‌های حریم خصوصی و کنترل هزینه‌ها پشتیبانی نمی‌کنند و به روز‌رسانی‌های مهمی مانند Taproot، Miniscript و Multi-Sig را نمی‌پذیرند. استفاده از کیف‌پول‌های مولتی کوین ممکن است منجر به تجربه بیت کوین ضعیفی برای کاربران شود.

از سوی دیگر، کیف‌پول‌های مختص بیت ‌کوین در خط مقدم نوآوری در اکوسیستم بیت ‌کوین قرار دارند. با تمرکز بی‌وقفه بر پیشرفت بیت ‌کوین، این کیف‌پول‌ها به طور مداوم ویژگی‌های جدیدی را ادغام می‌کنند، تجربه کاربر را بهبود می‌بخشند و امنیت را در اولویت قرار می‌دهند. بیایید به چند نمونه قابل توجه نگاهی بیندازیم:

• Coldcard، Spectre و SeedSigner تنظیمات آفلاین را برای سطوح بالایی از امنیت ارائه می‌دهند. Spectre و SeedSigner پروژه‌های منحصربه‌فردی هستند که به کاربران این امکان را می‌دهند تا کیف‌پول‌های سخت‌افزاری خود را با استفاده از قطعات موجود در سراسر جهان بسازند.
• Electrum و Nunchuck راه‌های متعددی را برای راه‌اندازی کیف‌پول‌های Multi-Sig به منظور به حداکثر رساندن امنیت و مناسب برای برنامه‌های فردی و سازمانی ارائه می‌کنند.
• کیف‌پول Liana تنظیمات خلاقانه چند امضایی را با Miniscript ارائه می‌کند و راه‌حل‌هایی برای وراثت و پشتیبان‌گیری ایمن‌تر ارائه می‌دهد.
• Samourai و Sparrow Wallet طیف گسترده‌ای از ویژگی‌های حفظ حریم خصوصی را ارائه می‌دهند که با هیچ کیف‌پول دیگری در فضای بیت کوین قابل مقایسه است.

کاربران با پذیرش کیف‌پول‌های مختص بیت ‌کوین، خود را با پیشرفت‌ها در فضای بیت‌ کوین هماهنگ می‌کنند. آن‌ها می‌توانند از امنیت پیشرفته، تجربه کاربری بهبودیافته و اعتماد به نفس بخشی از جامعه‌ای که صرفاً به پیشرفت خود بیت ‌کوین اختصاص داده شده است، لذت ببرند.

اولویت‌بندی امنیت و حریم خصوصی

با توجه به پیچیدگی روزافزون امنیت و ارزش رو به رشد بیت کوین، کاربران باید مسئولیت شخصی امنیت و حریم خصوصی خود را بر عهده بگیرند. این شامل سرمایه‌گذاری با استفاده از درک بهترین شیوه‌ها، فناوری‌ها و تهدیدات بالقوه مرتبط با مدیریت دارایی‌های دیجیتال است. کاربران می‌توانند خود را آموزش دهند یا به دنبال خدمات مشاوره امنیت و حفظ حریم خصوصی باشند تا اقدامات امنیتی خود را با نیازهای خاص خود تطبیق دهند.

منبع: Substack