جنجال سرویس ذخیره عبارت بازیابی کیف پول‌های سخت افزاری لجر

کیف پول‌های سخت افزاری

کیف پول‌های سخت افزاری همواره یک راه حل بسیار قابل اعتماد برای ذخیره ایمن دارایی‌های دیجیتال بوده است. با این حال، تحولات اخیر نگرانی‌هایی را در مورد مسیری که برخی تولیدکنندگان کیف پول سخت‌افزاری در پیش گرفته‌اند، ایجاد کرده است.

Ledger، سازنده برجسته کیف پول‌های سخت افزاری، به تازگی از سرویس جدیدی به نام Ledger Recover رونمایی کرده است. Ledger Recover یک سرویس اشتراک بازیابی عبارت اولیه (Seed Pharse) است که هدف آن ارائه راه حلی برای محافظت و بازیابی دارایی‌های کریپتو به کاربران است. با این حال، این ویژگی به دلیل پیامدهای منفی بالقوه آن برای کاربران، انتقادهایی را در جامعه بیت کوین برانگیخته است. و بنابراین، تجزیه و تحلیل دقیق خطرات مرتبط با آن ضروری است.

در این مقاله، انتقادات پیرامون Ledger Recover را بررسی خواهیم کرد و در مورد اینکه چرا کاربران باید در مورد اعتماد خود به تولیدکنندگان کیف پول سخت‌افزاری تجدید نظر کنند، بحث خواهیم کرد.

سرویس جدید Ledger Recover در کیف پول‌های سخت افزاری این شرکت چیست؟

پایه‌ی سرویس بازیابی لجر شامل تبدیل عبارت بازیابی (Seed Pharse) کاربر به سه قسمت و رمزگذاری آن‌ها است. کاربران باید اطلاعات هویتی خود را ارائه کنند و این بخش‌ها را به سه سرور بسپارند. این امر نگرانی‌های زیادی را ایجاد کرده است که در بخش بعدی به آنها خواهیم پرداخت.

Seth For Privacy، یکی از مدافعان حریم خصوصی، در یک رشته توییت آموزنده در مورد این موضوع، نوشته است:

فرض اصلی این خدمت جدید این است که (ظاهراً) بخش‌هایی از عبارت بازیابی کاربر را به 3 قسمت تقسیم و  رمزگذاری می‌کند. کاربر باید هویت خود را اعلام کرده و یک ویدیوی سلفی ضبط کند. پس از آن این اطلاعت در 3 سرور ذخیره شده تا از بخش‌های عبارت بازیابی شما حفاطت کنند.

و لجر این سرویس را اینگونه توصیف می‌کند:

جنجال سرویس ذخیره عبارت بازیابی کیف پول‌های سخت افزاری لجر

جنجال سرویس ذخیره عبارت بازیابی کیف پول‌های سخت افزاری لجر

جنجال سرویس ذخیره عبارت بازیابی کیف پول‌های سخت افزاری لجر

همچنین می‌توانید خلاصه‌ای از خدمات را در وب سایت لجر بخوانید.

چرا این سرویس جدید نگران کننده است؟

این سرویس چندین خطر بالقوه را ایجاد و نگرانی‌هایی را برای کاربران ایجاد کرده است. در زیر دلایلی وجود دارد که چرا این رویکرد ممکن است یک زنگ خطر بزرگ برای حفظ حریم خصوصی و امنیت در نظر گرفته شود.

  1. الزامات KYC: این سرویس از کاربران می‌خواهد که اطلاعات هویتی خود را در حساب Ledger خود وارد کرده کنند و فرآیندهای شناسایی مشتری را به صورت کامل انجام دهند. این کار کاربران را در معرض نشت اطلاعات احتمالی، هک و نظارت یا سانسور دولتی قرار می‌دهد. داده‌های حساس کاربران که در سازمان‌های متمرکز نگهداری می‌شوند به طور مداوم مورد هک قرار می‌گیرند.
  2. خطرات حفظ حریم خصوصی: در همین راستا، با یک هویت متصل و استفاده از Ledger Live، کاربران کل تاریخچه تراکنش‌های ارزهای دیجیتال خود را افشا می کنند، که حریم خصوصی آنها را به شیوه ای غیرقابل برگشت به خطر می‌اندازد. این اصل اساسی تراکنش‌های مستعار را که بیت‌کوین قصد ارائه آن را دارد، تضعیف می‌کند. اگر فکر می‌کنید لجر از فروش این داده‌ها درآمدزایی نخواهد کرد یا آن را با مراکز قدرت به اشتراک نخواهد گذاشت، سخت در اشتباه هستید.
  3. اعتماد به شرکت ثالث جهت نگهداری دارایی: فرآیند بازیابی به سه سرور برای ذخیره ایمن بخش‌های عبارت بازیابی رمزگذاری شده متکی است. کاربران باید نه تنها به Ledger بلکه به این سرورها نیز اعتماد کنند و اطلاعات حساس خود را در اختیار آن‌ها قرار دهند. هر گونه آسیب پذیری یا نقض در سیستم سرورها می‌تواند امنیت وجوه کاربران را به خطر بیندازد.
  4. کد منبع بسته: فرآیند بازیابی به کد منبع بسته متکی است، به این معنی که کاربران نمی‌توانند به طور مستقل اجرای آن را برای امنیت و حفظ حریم خصوصی تأیید کنند. این عدم شفافیت نگرانی‌هایی را در مورد مدیریت صحیح عبارات بازیابی کاربران و معرفی احتمالی آسیب‌پذیری‌ها ایجاد می‌کند.
  5. افزایش احتمال حمله: استفاده از USB یا بلوتوث برای انتقال عبارت بازیابی از طریق دستگاه لجر، روش‌های حمله جدیدی را معرفی می‌کند. این امر امکان را برای فیشینگ و نصب بدافزاری فراهم می‌کند که می‌تواند کاربران را فریب دهد تا به طور ناآگاهانه عبارت بازیابی خود را به اشتراک بگذارند که این موضوع منجر به دسترسی غیرمجاز به وجوه آنها خواهد شد.
  6. رمزگشایی نامشخص و مدیریت کلید: مکانیسم دقیق رمزگشایی عبارت بازیابی در طول فرآیند بازیابی نامشخص است. این سؤال که چه کسی کلید رمزگشایی را در اختیار دارد، چگونه آن را ذخیره می‌کند و از چه روش‌های رمزگذاری استفاده می‌شود، به اندازه کافی پاسخ داده نشده است. این عدم شفافیت باعث ایجاد شک و تردید در مورد امنیت روند بازیابی می‌شود.
  7. خطرات توقیف توسط دولت: دخالت متولیان مستقر در حوزه‌های قضایی با قابلیت‌های نظارتی قوی دولتی، نگرانی‌هایی را در مورد درخواست‌های بالقوه دولت برای اطلاعات شناسایی کاربر و توقیف دارایی‌های بعدی ایجاد می‌کند.
  8. تضاد اصول کیف پول سخت افزاری: معرفی الزامات اضافی KYC با دلایل اصلی انتخاب کیف پول‌های سخت افزاری مانند Ledger که به دلیل اولویت دادن به حریم خصوصی و امنیت کاربر شناخته شده است، تناقض دارد.
این مطلب را حتما بخوانید:  تفاوت بین مبادله توکن (Token Swap) و انتقال توکن (Token Migration) در چیست؟

بنابراین، Ledger Recover مجموعه‌ای از آسیب‌پذیری‌های احتمالی را ایجاد می‌کند، حریم خصوصی را به خطر می‌اندازد و به شدت به اعتماد به شرکت‌های ثالث متکی است.

معرفی Ledger Recover نگرانی‌هایی را در مورد درک لجر از پایگاه کاربران و انتظارات آنها ایجاد کرده است. کاربران بیت کوین برای حفظ خود، کنترل بر وجوه خود و حذف وابستگی به شخص ثالث ارزش قائل هستند. به نظر می‌رسد لجر با اتخاذ شیوه‌های نگهداری در حال انحراف از این اصول اساسی است و با این کار اعتماد و پایگاه اصلی مشتریان خود را از بین می‌برد.

به یاد داشته باشید که این همان شرکتی است که اخیراً چندین مورد نشت داده توسط آن ثبت شده است.

نشت داده در جولای 2020

یک مهاجم از طریق کلید API شخص ثالثی که در وب سایت ما به درستی پیکربندی شده بود، به بخشی از پایگاه داده تجارت الکترونیک و بازاریابی ما دسترسی پیدا کرد، که اجازه دسترسی غیرمجاز به اطلاعات تماس و اطلاعات سفارش مشتریان ما را می داد – سایت لجر 2020

نشت داده در دسامبر 2020

در 23 دسامبر 2020، شاپیفای، ارائه‌دهنده خدمات تجارت الکترونیکی ما، در مورد حادثه‌ای که در آن یکی از اعضای سرکش تیم پشتیبانی آن‌ها سوابق تراکنش‌های مشتری، از جمله Ledger را به دست آورده بود، به ما اطلاع داد – سایت لجر 2020

آسیب پذیری ذاتی کیف پول‌های سخت افزاری

توجه داشته باشید که یک عنصر امن به طور خودکار تضمین نمی‌کند که کلید شما از دستگاه خارج نشود. یک به روز رسانی سیستم عامل بد می‌تواند کلیدهای یک کیف پول‌ سخت افزاری را در معرض دید قرار دهد.

جنجال سرویس ذخیره عبارت بازیابی کیف پول‌های سخت افزاری لجر

کاربران چه کاری باید انجام دهند؟

Ledger Recover آسیب‌پذیری‌های بالقوه را ایجاد می‌کند، حریم خصوصی را به خطر می‌اندازد، و از این پس به اعتماد به اشخاص ثالث متکی است. این اصول تمرکززدایی و کنترل کاربر را که هسته اصلی فضای بیت کوین هستند، تضعیف می‌کند. کاربران باید قبل از تصمیم به استفاده از این سرویس یا کاوش گزینه‌های جایگزین که با اولویت‌های حریم خصوصی و امنیتی آنها هماهنگی بیشتری دارد، این خطرات را به دقت ارزیابی کنند.

این مطلب را حتما بخوانید:  راهنمای مرحله به مرحله انتقال وجوه به شبکه بیس و بالعکس

وحشت نکنید

با وجود این که معرفی Ledger Recover نگران کننده است، توجه به این نکته مهم است که کیف پول‌های سخت افزاری Ledger موجود هنوز هم بدون فعال کردن این ویژگی قابل استفاده هستند. لازم نیست کاربران فورا کیف پول سخت افزاری خود را دور بیندازند. با این حال، این توسعه به عنوان زنگ خطری برای کاربران است تا اعتماد خود را به تولیدکنندگان کیف پول سخت افزاری ارزیابی و گزینه‌های جایگزین را بررسی کنند.

این بخشی از روند دور شدن از ارزش‌های اصلی است

تغییر به سمت کیف پول‌های دارای سرپرست و سایر اقدامات مضر، مانند نادیده گرفتن یا تضعیف حریم خصوصی کاربر، تنها به شرکت Ledger محدود نمی‌شود. در سپتامبر 2022، کیف پول سخت افزاری Trezor با Wasabi Wallet، یک ابزار ترکیبی که به شرکت‌های تحلیل بلاک چین متکی است و حریم خصوصی کاربران را به خطر می اندازد، شریک شد. علاوه بر این، در سال 2022، چندین کیف پول، از جمله BitBox، اعلام کردند که قصد دارند AOPP (پروتکل اثبات مالکیت آدرس) را پیاده‌سازی کنند، که رویه‌های KYC را برای صرافی‌ها امکان‌پذیر می‌کند، در نتیجه راه را برای افزایش مقررات و رویه‌های KYC برای کاربران کیف پول سخت‌افزاری باز می‌کند. این رویدادها ما را به یاد تمام دوران‌هایی می‌اندازد که برندهای کیف پول سخت افزاری ارزش‌ها و باورهای اصلی جامعه بیت کوین را نادیده می‌گرفتند. این روند رو به رشد نگرانی‌هایی را در مورد جهت گیری صنعت ایجاد و کاربران را وادار می‌کند تا در مورد برندهایی که برای ایمن سازی دارایی‌های دیجیتال خود به آن‌ها اعتماد دارند تجدید نظر کنند.

روی آوردن به گزینه‌هایی که فقط از بیت کوین پشتیبانی می‌کنند و منبع باز هستند

در خلال تغییر رویکرد کیف پول‌ها، چندین برند جایگزین از اصول اصلی بیت کوین حمایت می‌کنند و حق حاکمیت کاربر را در اولویت قرار می‌دهند. پروژه‌هایی مانند Seedsigner، Spectre DIY، Coldcard و Foundation Passport بر اساس اصول منبع باز (و قابل تأیید منبع) ساخته شده‌اند و منحصراً برای کاربران بیت‌کوین ارائه می‌شوند. با حمایت از این برندها و پروژه ها، کاربران می‌توانند خود را با شرکت‌هایی هماهنگ کنند که برای حریم خصوصی، امنیت و پیشرفت اکوسیستم بیت کوین ارزش قائل هستند.

این مطلب را حتما بخوانید:  چگونه برندگان بازار کریپتو صعودی به موفقیت می‌رسند؟

استفاده از تجهیزات دارای Air Gap برای امنیت بیشتر

علاوه بر انتخاب برندهای قابل اعتماد، کاربران همچنین می توانند تجهیزات دارای Air Gap را برای ذخیره و تراکنش ایمن بیت کوین بررسی کنند. با استفاده از لپ‌تاپ‌ها یا تلفن‌های اضافی، همراه با نرم‌افزارهای منبع باز و قابل تأیید مانند Electrum، Blue Wallet، Sparrow و Samourai Wallet، کاربران می‌توانند با آفلاین نگه داشتن کلیدهای خصوصی خود، به امنیت بالاتری دست یابند.

محدودیت‌های کیف‌پول‌های پشتیبانی کننده از چند سکه

کیف پول‌های پشتیبانی کننده از چند سکه، چه سخت‌افزاری و چه نرم‌افزاری، اغلب از استانداردهای بالای امنیت و تجربه کاربری که توسط کیف‌پول‌هایی که فقط از بیت‌کوین پشتیبانی می‌کنند، ارائه می‌شود برخوردار نیستند. این کیف پول‌ها چندین ارز دیجیتال را در اولویت قرار می‌دهند که منجر به سازش در ویژگی‌های کلیدی خاص بیت کوین می‌شود. آنها از تراکنش‌های شبکه لایتنینگ، ویژگی‌های حریم خصوصی، کنترل هزینه‌ها پشتیبانی نمی‌کنند و به روز رسانی‌های مهمی مانند Taproot، Miniscript و Multi-Sig را نمی‌پذیرند.

از سوی دیگر، کیف پول‌های پشتیبانی کننده از بیت‌کوین در خط مقدم نوآوری در اکوسیستم بیت‌کوین قرار دارند. با تمرکز بی‌وقفه بر پیشرفت بیت‌کوین، این کیف پول‌ها به طور مداوم ویژگی‌های جدید را اضافه می‌کنند، تجربه کاربر را بهبود می‌بخشند و امنیت را در اولویت قرار می‌دهند. بیایید به چند نمونه قابل توجه نگاهی بیندازیم:

  • Coldcard، Spectre، و SeedSigner برای سطوح بالای امنیت Air Gap ارائه می‌دهند. Spectre و SeedSigner پروژه‌های منحصربه‌فردی هستند که به کاربران این امکان را می‌دهند تا کیف پول‌های سخت‌افزاری خود را با استفاده از تجهیزات موجود در سراسر جهان بسازند.
  • Electrum و Nunchuck راه‌های متعددی را برای راه‌اندازی کیف پول‌های Multi-Sig برای حداکثر امنیت، مناسب برای برنامه‌های فردی و سازمانی ارائه می‌کنند.
  • کیف پول لیانا تنظیمات خلاقانه چند امضایی را با Miniscript ارائه می‌کند و راه‌حل‌هایی برای وراثت و پشتیبان‌گیری ایمن‌تر ارائه می‌دهد.
  • Samourai و Sparrow Wallet طیف گسترده‌ای از ویژگی‌های حفظ حریم خصوصی را ارائه می‌دهند که با هیچ کیف پول دیگری در فضای بیت کوین قابل مقایسه نیست.

کاربران با پذیرش کیف پول‌های پشتیبانی کننده از بیت‌کوین، خود را با پیشرفت‌های حوزه‌ی بیت‌کوین هماهنگ می‌کنند. آن‌ها می‌توانند از امنیت بیشتر، تجربه کاربری بهبودیافته و اعتماد به نفس تعلق داشتن به بخشی از جامعه‌ای که صرفاً به پیشرفت بیت‌کوین اختصاص دارد، لذت ببرند.

اولویت بندی امنیت و حریم خصوصی

با توجه به پیچیدگی روزافزون امنیت و ارزش رو به رشد بیت کوین، کاربران باید مسئولیت شخصی امنیت و حریم خصوصی خود را بپذیرند. این موضوع شامل اختصاص زمان برای درک بهترین شیوه‌ها، فناوری ها و تهدیدات بالقوه مرتبط با مدیریت دارایی های دیجیتال است. کاربران می‌توانند خود را آموزش دهند یا به دنبال خدمات مشاوره امنیت و حفظ حریم خصوصی باشند تا اقدامات امنیتی خود را با نیازهای خاص خود تطبیق دهند.

 

منبع: bitguide.substack

پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *