Что не так с кошельками Ledger

Сомнительное обновление

Хотя Биткоин-максималисты традиционно предпочитают Bitcoin-only кошелькам (вроде Coldcard от Coinkite), Ledger уже длительное время является одним из лидеров на рынке аппаратных кошельков (вместе с Trezor). Однако последние события могут значительно поколебать статус французского производителя, чей бизнес оценивался более чем в $1 млрд с годовым доходом в $53 млн. Так что же произошло?

16 мая Ledger сообщил о новой функции Ledger Recover для своей модели Nano X, которая может быть активирована через прошивку 2.2.1. Она предусматривает разделение seed-фразы на три части и хранение ее у трех кастодианов: Ledger, Coincover и EscrowTech. Хотя эти компании формально независимы друг от друга, очевидно, что такой подход создает серьезные проблемы для обеспечения безопасности частных ключей.

Во-первых, базовый принцип ответственного хранения своих монет – это устранение посредников. Для этого биткоинеры и покупают холодные кошельки. Вместо этого Ledger вводит третьи стороны и элемент доверия, что создает дополнительную опасность. Во-вторых, ключи должны храниться в автономном режиме, чтобы предупредить основные риски. Но новое предложение Ledger вводит элемент нахождения части seed-фразы в облачных сервисах, что с большой вероятностью означает, что они могут оказаться в руках мошенников.

Кроме того, менеджмент Ledger предложил собирать личные данные пользователей, которые должны централизованно храниться в компании, и, вероятно, предоставлять их по первому требованию регуляторам. В общем, те, кто понимает по крайней мере базовые принципы ответственного хранения и конфиденциальности, проявили свое возмущение такими инициативами.

На следующий день Ledger отреагировал на волну критики, но лишь усугубил ситуацию и восприятие его бренда владельцами цифровых активов.

«Вы всегда доверяли, что Ledger не будет устанавливать такие прошивки без вашего ведома», – сообщили в компании.

Владельцы кошельков Ledger сразу интерпретировали это как подтверждение не просто уязвимостей, а намеренную интеграцию алгоритмов и технологических решений завладения частными ключами пользователей.

Другие проблемы

Основной вызов заключается не только в том, что компания предложила крайне опасное обновление, но и в том, что проблемы с безопасностью и хранением данных пользователей носят системный характер. Прежде всего следует отметить, что Ledger – едва ли не единственная компания из лидеров рынка, имеющая закрытый программный код. Например, код Trezor, BitBox и Coldcard открыт, и каждый желающий может проверить, что там нет бэкдоров, которые позволили бы компании получить доступ к частным данным пользователей. Это именно одна из причин, почему пользователи восприняли ответ Ledger в штыки».

Команда Ledger просит прощения за вызванное недоразумение. Источник: Twitter/Ledger.

Закрытый программный код противоречит духу Биткоина, который построен на принципах минимизации доверия. Биткоинеры никому не доверяют и стремятся самостоятельно все проверять: свои транзакции, оборудование, алгоритмы и т. д. Но в случае с Ledger это становится невозможным, поскольку компания не раскрывает программное обеспечение. Независимый аудит также мог бы быть полезен для выявления недостатков и уязвимостей с возможностью их оперативного устранения.

К тому же у Ledger уже было несколько случаев с утечкой данных клиентов. Например, в 2020 году произошел масштабный взлом базы данных компании, приведший к тому, что хакеры завладели следующей информацией: более 1 млн email-адресов клиентов, данные о 272 000 заказов холодных кошельков, адресах их проживания и мобильных телефонах. Вообще компании, работающие в сфере аппаратных кошельков, не должны собирать и хранить такую частную информацию.

Но в случае с Ledger такая информация не просто собиралась, но и безответственно хранилась. Все это создало реальные угрозы для собственности и даже для жизни ее клиентов. Зафиксировано множество случаев, когда пользователи получали фейковые письма с предложением перейти по ссылке для установки обновления и новых функций программного обеспечения. Соответственно, невнимательные пользователи могли скомпрометировать личные данные и потерять свои монеты.

Уроки для пользователей

Крайне важно не только быть в курсе последних событий вокруг устройств Ledger, но и сформулировать корректные практические выводы, позволяющие избегать таких рисков в будущем. Не следует считать (как уже заявили некоторые псевдоэксперты), что случай Ledger указывает на проблемы или уязвимости холодного хранения монет. Аппаратные кошельки, позволяющие хранить частные ключи офлайн, остаются самой надежной опцией сохранения контроля над собственными биткоинами. По крайней мере они нейтрализуют онлайн-риски потери seed-фразы и владелец может сосредоточиться на офлайн-рисках.

Конечно, владельцы холодных кошельков должны избегать любых посредников и не передавать свои seed-фразы или их части третьим сторонам, независимо от того, какие гарантии те предлагают. Если вы сталкиваетесь с обновлениями, в отношении которых у вас есть сомнения, имеет смысл проконсультироваться с экспертами или собрать дополнительную информацию. Не стоит устанавливать сомнительные обновления и тем более переходить по ссылкам из электронной почты или соцсетей.

Целесообразно отдавать предпочтение компаниям, которые имеют открытый программный код и могут быть независимо проверены Биткоин-сообществом в любой момент. Итак, у Bitcoin-only-кошельков меньше рисков (хотя бы потому, что для них требуется меньше программного кода по сравнению с теми, которые хранят другие цифровые активы). Поэтому такие решения также позволят снизить возможные риски. Если у вас большие биткоин-резервы, то имеет смысл распределить монеты по нескольким аппаратным кошелькам, а также использовать мультиподпись.