کیف پولهای سخت افزاری همواره یک راه حل بسیار قابل اعتماد برای ذخیره ایمن داراییهای دیجیتال بوده است. با این حال، تحولات اخیر نگرانیهایی را در مورد مسیری که برخی تولیدکنندگان کیف پول سختافزاری در پیش گرفتهاند، ایجاد کرده است.
Ledger، سازنده برجسته کیف پولهای سخت افزاری، به تازگی از سرویس جدیدی به نام Ledger Recover رونمایی کرده است. Ledger Recover یک سرویس اشتراک بازیابی عبارت اولیه (Seed Pharse) است که هدف آن ارائه راه حلی برای محافظت و بازیابی داراییهای کریپتو به کاربران است. با این حال، این ویژگی به دلیل پیامدهای منفی بالقوه آن برای کاربران، انتقادهایی را در جامعه بیت کوین برانگیخته است. و بنابراین، تجزیه و تحلیل دقیق خطرات مرتبط با آن ضروری است.
در این مقاله، انتقادات پیرامون Ledger Recover را بررسی خواهیم کرد و در مورد اینکه چرا کاربران باید در مورد اعتماد خود به تولیدکنندگان کیف پول سختافزاری تجدید نظر کنند، بحث خواهیم کرد.
سرویس جدید Ledger Recover در کیف پولهای سخت افزاری این شرکت چیست؟
پایهی سرویس بازیابی لجر شامل تبدیل عبارت بازیابی (Seed Pharse) کاربر به سه قسمت و رمزگذاری آنها است. کاربران باید اطلاعات هویتی خود را ارائه کنند و این بخشها را به سه سرور بسپارند. این امر نگرانیهای زیادی را ایجاد کرده است که در بخش بعدی به آنها خواهیم پرداخت.
Seth For Privacy، یکی از مدافعان حریم خصوصی، در یک رشته توییت آموزنده در مورد این موضوع، نوشته است:
فرض اصلی این خدمت جدید این است که (ظاهراً) بخشهایی از عبارت بازیابی کاربر را به 3 قسمت تقسیم و رمزگذاری میکند. کاربر باید هویت خود را اعلام کرده و یک ویدیوی سلفی ضبط کند. پس از آن این اطلاعت در 3 سرور ذخیره شده تا از بخشهای عبارت بازیابی شما حفاطت کنند.
و لجر این سرویس را اینگونه توصیف میکند:
همچنین میتوانید خلاصهای از خدمات را در وب سایت لجر بخوانید.
چرا این سرویس جدید نگران کننده است؟
این سرویس چندین خطر بالقوه را ایجاد و نگرانیهایی را برای کاربران ایجاد کرده است. در زیر دلایلی وجود دارد که چرا این رویکرد ممکن است یک زنگ خطر بزرگ برای حفظ حریم خصوصی و امنیت در نظر گرفته شود.
- الزامات KYC: این سرویس از کاربران میخواهد که اطلاعات هویتی خود را در حساب Ledger خود وارد کرده کنند و فرآیندهای شناسایی مشتری را به صورت کامل انجام دهند. این کار کاربران را در معرض نشت اطلاعات احتمالی، هک و نظارت یا سانسور دولتی قرار میدهد. دادههای حساس کاربران که در سازمانهای متمرکز نگهداری میشوند به طور مداوم مورد هک قرار میگیرند.
- خطرات حفظ حریم خصوصی: در همین راستا، با یک هویت متصل و استفاده از Ledger Live، کاربران کل تاریخچه تراکنشهای ارزهای دیجیتال خود را افشا می کنند، که حریم خصوصی آنها را به شیوه ای غیرقابل برگشت به خطر میاندازد. این اصل اساسی تراکنشهای مستعار را که بیتکوین قصد ارائه آن را دارد، تضعیف میکند. اگر فکر میکنید لجر از فروش این دادهها درآمدزایی نخواهد کرد یا آن را با مراکز قدرت به اشتراک نخواهد گذاشت، سخت در اشتباه هستید.
- اعتماد به شرکت ثالث جهت نگهداری دارایی: فرآیند بازیابی به سه سرور برای ذخیره ایمن بخشهای عبارت بازیابی رمزگذاری شده متکی است. کاربران باید نه تنها به Ledger بلکه به این سرورها نیز اعتماد کنند و اطلاعات حساس خود را در اختیار آنها قرار دهند. هر گونه آسیب پذیری یا نقض در سیستم سرورها میتواند امنیت وجوه کاربران را به خطر بیندازد.
- کد منبع بسته: فرآیند بازیابی به کد منبع بسته متکی است، به این معنی که کاربران نمیتوانند به طور مستقل اجرای آن را برای امنیت و حفظ حریم خصوصی تأیید کنند. این عدم شفافیت نگرانیهایی را در مورد مدیریت صحیح عبارات بازیابی کاربران و معرفی احتمالی آسیبپذیریها ایجاد میکند.
- افزایش احتمال حمله: استفاده از USB یا بلوتوث برای انتقال عبارت بازیابی از طریق دستگاه لجر، روشهای حمله جدیدی را معرفی میکند. این امر امکان را برای فیشینگ و نصب بدافزاری فراهم میکند که میتواند کاربران را فریب دهد تا به طور ناآگاهانه عبارت بازیابی خود را به اشتراک بگذارند که این موضوع منجر به دسترسی غیرمجاز به وجوه آنها خواهد شد.
- رمزگشایی نامشخص و مدیریت کلید: مکانیسم دقیق رمزگشایی عبارت بازیابی در طول فرآیند بازیابی نامشخص است. این سؤال که چه کسی کلید رمزگشایی را در اختیار دارد، چگونه آن را ذخیره میکند و از چه روشهای رمزگذاری استفاده میشود، به اندازه کافی پاسخ داده نشده است. این عدم شفافیت باعث ایجاد شک و تردید در مورد امنیت روند بازیابی میشود.
- خطرات توقیف توسط دولت: دخالت متولیان مستقر در حوزههای قضایی با قابلیتهای نظارتی قوی دولتی، نگرانیهایی را در مورد درخواستهای بالقوه دولت برای اطلاعات شناسایی کاربر و توقیف داراییهای بعدی ایجاد میکند.
- تضاد اصول کیف پول سخت افزاری: معرفی الزامات اضافی KYC با دلایل اصلی انتخاب کیف پولهای سخت افزاری مانند Ledger که به دلیل اولویت دادن به حریم خصوصی و امنیت کاربر شناخته شده است، تناقض دارد.
بنابراین، Ledger Recover مجموعهای از آسیبپذیریهای احتمالی را ایجاد میکند، حریم خصوصی را به خطر میاندازد و به شدت به اعتماد به شرکتهای ثالث متکی است.
معرفی Ledger Recover نگرانیهایی را در مورد درک لجر از پایگاه کاربران و انتظارات آنها ایجاد کرده است. کاربران بیت کوین برای حفظ خود، کنترل بر وجوه خود و حذف وابستگی به شخص ثالث ارزش قائل هستند. به نظر میرسد لجر با اتخاذ شیوههای نگهداری در حال انحراف از این اصول اساسی است و با این کار اعتماد و پایگاه اصلی مشتریان خود را از بین میبرد.
به یاد داشته باشید که این همان شرکتی است که اخیراً چندین مورد نشت داده توسط آن ثبت شده است.
نشت داده در جولای 2020
یک مهاجم از طریق کلید API شخص ثالثی که در وب سایت ما به درستی پیکربندی شده بود، به بخشی از پایگاه داده تجارت الکترونیک و بازاریابی ما دسترسی پیدا کرد، که اجازه دسترسی غیرمجاز به اطلاعات تماس و اطلاعات سفارش مشتریان ما را می داد – سایت لجر 2020
نشت داده در دسامبر 2020
در 23 دسامبر 2020، شاپیفای، ارائهدهنده خدمات تجارت الکترونیکی ما، در مورد حادثهای که در آن یکی از اعضای سرکش تیم پشتیبانی آنها سوابق تراکنشهای مشتری، از جمله Ledger را به دست آورده بود، به ما اطلاع داد – سایت لجر 2020
آسیب پذیری ذاتی کیف پولهای سخت افزاری
توجه داشته باشید که یک عنصر امن به طور خودکار تضمین نمیکند که کلید شما از دستگاه خارج نشود. یک به روز رسانی سیستم عامل بد میتواند کلیدهای یک کیف پول سخت افزاری را در معرض دید قرار دهد.
کاربران چه کاری باید انجام دهند؟
Ledger Recover آسیبپذیریهای بالقوه را ایجاد میکند، حریم خصوصی را به خطر میاندازد، و از این پس به اعتماد به اشخاص ثالث متکی است. این اصول تمرکززدایی و کنترل کاربر را که هسته اصلی فضای بیت کوین هستند، تضعیف میکند. کاربران باید قبل از تصمیم به استفاده از این سرویس یا کاوش گزینههای جایگزین که با اولویتهای حریم خصوصی و امنیتی آنها هماهنگی بیشتری دارد، این خطرات را به دقت ارزیابی کنند.
وحشت نکنید
با وجود این که معرفی Ledger Recover نگران کننده است، توجه به این نکته مهم است که کیف پولهای سخت افزاری Ledger موجود هنوز هم بدون فعال کردن این ویژگی قابل استفاده هستند. لازم نیست کاربران فورا کیف پول سخت افزاری خود را دور بیندازند. با این حال، این توسعه به عنوان زنگ خطری برای کاربران است تا اعتماد خود را به تولیدکنندگان کیف پول سخت افزاری ارزیابی و گزینههای جایگزین را بررسی کنند.
این بخشی از روند دور شدن از ارزشهای اصلی است
تغییر به سمت کیف پولهای دارای سرپرست و سایر اقدامات مضر، مانند نادیده گرفتن یا تضعیف حریم خصوصی کاربر، تنها به شرکت Ledger محدود نمیشود. در سپتامبر 2022، کیف پول سخت افزاری Trezor با Wasabi Wallet، یک ابزار ترکیبی که به شرکتهای تحلیل بلاک چین متکی است و حریم خصوصی کاربران را به خطر می اندازد، شریک شد. علاوه بر این، در سال 2022، چندین کیف پول، از جمله BitBox، اعلام کردند که قصد دارند AOPP (پروتکل اثبات مالکیت آدرس) را پیادهسازی کنند، که رویههای KYC را برای صرافیها امکانپذیر میکند، در نتیجه راه را برای افزایش مقررات و رویههای KYC برای کاربران کیف پول سختافزاری باز میکند. این رویدادها ما را به یاد تمام دورانهایی میاندازد که برندهای کیف پول سخت افزاری ارزشها و باورهای اصلی جامعه بیت کوین را نادیده میگرفتند. این روند رو به رشد نگرانیهایی را در مورد جهت گیری صنعت ایجاد و کاربران را وادار میکند تا در مورد برندهایی که برای ایمن سازی داراییهای دیجیتال خود به آنها اعتماد دارند تجدید نظر کنند.
روی آوردن به گزینههایی که فقط از بیت کوین پشتیبانی میکنند و منبع باز هستند
در خلال تغییر رویکرد کیف پولها، چندین برند جایگزین از اصول اصلی بیت کوین حمایت میکنند و حق حاکمیت کاربر را در اولویت قرار میدهند. پروژههایی مانند Seedsigner، Spectre DIY، Coldcard و Foundation Passport بر اساس اصول منبع باز (و قابل تأیید منبع) ساخته شدهاند و منحصراً برای کاربران بیتکوین ارائه میشوند. با حمایت از این برندها و پروژه ها، کاربران میتوانند خود را با شرکتهایی هماهنگ کنند که برای حریم خصوصی، امنیت و پیشرفت اکوسیستم بیت کوین ارزش قائل هستند.
استفاده از تجهیزات دارای Air Gap برای امنیت بیشتر
علاوه بر انتخاب برندهای قابل اعتماد، کاربران همچنین می توانند تجهیزات دارای Air Gap را برای ذخیره و تراکنش ایمن بیت کوین بررسی کنند. با استفاده از لپتاپها یا تلفنهای اضافی، همراه با نرمافزارهای منبع باز و قابل تأیید مانند Electrum، Blue Wallet، Sparrow و Samourai Wallet، کاربران میتوانند با آفلاین نگه داشتن کلیدهای خصوصی خود، به امنیت بالاتری دست یابند.
محدودیتهای کیفپولهای پشتیبانی کننده از چند سکه
کیف پولهای پشتیبانی کننده از چند سکه، چه سختافزاری و چه نرمافزاری، اغلب از استانداردهای بالای امنیت و تجربه کاربری که توسط کیفپولهایی که فقط از بیتکوین پشتیبانی میکنند، ارائه میشود برخوردار نیستند. این کیف پولها چندین ارز دیجیتال را در اولویت قرار میدهند که منجر به سازش در ویژگیهای کلیدی خاص بیت کوین میشود. آنها از تراکنشهای شبکه لایتنینگ، ویژگیهای حریم خصوصی، کنترل هزینهها پشتیبانی نمیکنند و به روز رسانیهای مهمی مانند Taproot، Miniscript و Multi-Sig را نمیپذیرند.
از سوی دیگر، کیف پولهای پشتیبانی کننده از بیتکوین در خط مقدم نوآوری در اکوسیستم بیتکوین قرار دارند. با تمرکز بیوقفه بر پیشرفت بیتکوین، این کیف پولها به طور مداوم ویژگیهای جدید را اضافه میکنند، تجربه کاربر را بهبود میبخشند و امنیت را در اولویت قرار میدهند. بیایید به چند نمونه قابل توجه نگاهی بیندازیم:
- Coldcard، Spectre، و SeedSigner برای سطوح بالای امنیت Air Gap ارائه میدهند. Spectre و SeedSigner پروژههای منحصربهفردی هستند که به کاربران این امکان را میدهند تا کیف پولهای سختافزاری خود را با استفاده از تجهیزات موجود در سراسر جهان بسازند.
- Electrum و Nunchuck راههای متعددی را برای راهاندازی کیف پولهای Multi-Sig برای حداکثر امنیت، مناسب برای برنامههای فردی و سازمانی ارائه میکنند.
- کیف پول لیانا تنظیمات خلاقانه چند امضایی را با Miniscript ارائه میکند و راهحلهایی برای وراثت و پشتیبانگیری ایمنتر ارائه میدهد.
- Samourai و Sparrow Wallet طیف گستردهای از ویژگیهای حفظ حریم خصوصی را ارائه میدهند که با هیچ کیف پول دیگری در فضای بیت کوین قابل مقایسه نیست.
کاربران با پذیرش کیف پولهای پشتیبانی کننده از بیتکوین، خود را با پیشرفتهای حوزهی بیتکوین هماهنگ میکنند. آنها میتوانند از امنیت بیشتر، تجربه کاربری بهبودیافته و اعتماد به نفس تعلق داشتن به بخشی از جامعهای که صرفاً به پیشرفت بیتکوین اختصاص دارد، لذت ببرند.
اولویت بندی امنیت و حریم خصوصی
با توجه به پیچیدگی روزافزون امنیت و ارزش رو به رشد بیت کوین، کاربران باید مسئولیت شخصی امنیت و حریم خصوصی خود را بپذیرند. این موضوع شامل اختصاص زمان برای درک بهترین شیوهها، فناوری ها و تهدیدات بالقوه مرتبط با مدیریت دارایی های دیجیتال است. کاربران میتوانند خود را آموزش دهند یا به دنبال خدمات مشاوره امنیت و حفظ حریم خصوصی باشند تا اقدامات امنیتی خود را با نیازهای خاص خود تطبیق دهند.
منبع: bitguide.substack
پاسخ