Ledger всегда могла получить доступ к закрытым ключам пользователей

Защищая свой новый продукт, компания — производитель аппаратных криптокошельков Ledger вызвала скандал в криптосообществе заявлением о том, что технически всегда имела возможность получить ключи пользователей, дающие доступ к их криптоактивам.

«Всегда была и есть возможность написать прошивку, которая поможет в извлечении ключей. Вы всегда доверяли компании Ledger в том, что она не будет устанавливать такую прошивку, независимо от того, знали вы об этом или нет», — написала компания.

«Не беспокойся о том, что мы все это время держали пистолет у твоей головы. И видишь? Ты же не умер, так что нет никакой проблемы в том, что мы продолжаем держать пистолет у твоей головы», — прокомментировали заявления Ledger в соцсети.

Вскоре компания удалила свое сообщение, но оно уже успело разойтись по Сети. Позже Ledger написала, что ее слова были «вырваны из контекста», а в прошивке ее устройств существуют уровни защиты и управления, гарантирующие, что ни один злоумышленник (даже внутренний) не сможет внедрить вредоносную прошивку.

В ответ на это один из пользователей отметил, что, покупая устройство Ledger, он не покупал «уровни управления», а приобретал просто холодный кошелек, в котором seed-фраза ни при каких условиях не могла бы его покинуть. Еще никогда не было такого, чтобы компания в режиме реального времени так рушила бы свою репутацию, заявил другой комментатор.

Своими заявлениями о прошивках Ledger попыталась защитить от нападок криптосообщества свой новый инструмент для восстановления потерянных ключей Ledger Recover, анонсированный 16 мая. Инструмент позволяет создать резервную копию seed-фразы (секретного ключа, составленного из случайного набора слов), что поможет восстанавливать доступ к криптокошельку Nano X в случае потери секретной фразы.

Новый сервис разбивает seed-фразу на три фрагмента, которые в зашифрованном виде хранят три различные стороны. Как сообщало в феврале издание Wired, этими фирмами будут криптографическая компания Coincover, сама Ledger и поставщик услуг резервного копирования EscrowTech.

В случае потери ключа владелец кошелька получит доступ к его резервной копии, пройдя идентификацию. Сервис Ledger Recover будет платным и добровольным.

Инструмент Ledger был принят криптосообществом «в штыки». Основная претензия пользователей заключается в том, что компания позиционировала девайс как способ автономного хранения криптовалют, то есть ключи доступа могли находиться только на нем и не должны были его покидать.

Добавляя возможность выгрузки ключей, пусть и в зашифрованном виде, Ledger создала прецедент, идущий вразрез с ее первоначальными заявлениями. По мнению критиков, новый инструмент снижает безопасность устройства, делая его уязвимым перед мошенниками.

«Это ужасная идея, не включайте эту функцию», — написал директор по информационной безопасности Polygon Labs Мудит Гупта.

«Чтобы восстановить таким образом ключи, компания требует, чтобы вы предоставили личную информацию, позволив любому, у кого есть ваши документы, удостоверяющие личность (например, в результате других утечек данных), забрать ваши средства. Это кажется... непродуманным», — заявил представитель криптоплатформы Chainlink под ником ChainlinkGod.eth.

В Ledger утверждают, что такой вариант резервного копирования будет пользоваться популярностью, поскольку возможность того, что активы могут стать недоступными просто из-за потери ключа, — это сдерживающий фактор для инвестирования в криптовалюты.

«Это то, чего хотят будущие клиенты. Это способ, почему следующие сотни миллионов людей действительно перейдут на криптовалюты», — цитировали генерального директора Ledger Паскаля Готье в CoinDesk.

В конце марта стало известно, что Ledger привлекла финансирование на сумму до $100 млн. Готье заявлял, что полученные средства компания направит на развитие бизнеса, расширение сети дистрибьюторов, увеличение производства и совершенствование продукции.