کاربران درباره قابل اعتماد بودن لجر تصمیم میگیرند
تصمیم لجر برای معرفی شرکتهای شخص ثالث به عبارت بازیابی (Seed Phrase) شما، ممکن است یک رخنه امنیتی ایجاد کند که میتواند برای هر دو گروه دولتها و هکرها جذاب باشد.
به گزارش والکس و به نقل از cointelegraph، خودامانی (Self-custody) در کریپتو اهمیت دارد و امنیت، یک بخش حیاتی از خودامانی است. لجر (Ledger)، یکی از برجستهترین تولیدکنندگان کیف پول سختافزاری، شهرت خود را بر اساس نگهداری امن کلیدهای خصوصی کاربران بنا کرده است. کیف پولهای سختافزاری یک محیط امن و آفلاین برای نگهداری کلیدهای خصوصی و استفاده از آنها برای انجام تراکنشها ایجاد میکنند.
کلیدهای خصوصی کاربر در دستگاه تولید و ذخیره میشوند و نباید هرگز از آنجا خارج شوند. کیف پولهای سرد در مقایسه با کیف پولهای گرم یا آنلاین، سطح امنیت بینظیری را ارائه میدهد. اما مشکل این است که بسیاری از افراد کلیدهای خود را گم میکنند.
لجر در هفته گذشته یک محصول برای پشتیبانگیری از عبارت بازیابی به نام «Ledger Recover» معرفی کرد. اگر شما آیدی و اطلاعات شخصی خود را به این شرکت ارائه دهید، میتوانید هزینه این سرویس را پرداخت کنید تا عبارت بازیابی شما را دریافت، آن را در سه «قطعه» رمزگذاری کرده و سپس این قطعات را با چندین شرکت متولی اطلاعات به اشتراک بگذارد.
معرفی یک شخص ثالث به طور ذاتی تمرکز را افزایش میدهد و تک نقطه خرابی یا نقطه تکی شکست (SPOF) ایجاد میکند که ممکن است مورد سواستفاده هکرها یا تحت تاثیر اقدامات نظارتی قرار گیرد.
SPOF به قسمتی از یک سیستم میگویند که اگر خراب شود، کل سیستم دچار مشکل و متوقف میشود.
لجر در تلاش است تا با دسترسی به کاربرانی که با جنبههای فنی ارزهای دیجیتال آشنایی ندارند، کسب و کار خود را گسترش دهد. این رویکرد ممکن است برای حضور مخاطبان بیشتر، از جمله افرادی که در مورد رمزارزها تردید دارند، ضروری باشد. با این حال، اشتباه لجر ممکن است این باشد که به نیاز کاربران باتجربه حوزه ارزهای دیجیتال و تازهواردان با یک محصول پاسخ داده است.
معرفی محصول Ledger Recover در جامعه مشتریان این شرکت با واکنشهای تند و تیزی مواجه شد. بسیاری از کاربران حالا متوجه شدهاند که لجر همیشه قابلیت دسترسی به کلیدهای آنها را با بروزرسانیهای سختافزاری خود داشته است. این دستگاههای سختافزاری نزد بسیاری از کاربران مقدس هستند. اینطور که مشخص است من در مورد این دستگاه که برای محافظت از داراییهای رمزارزی خود به آن اعتماد میکردم، دانش کافی نداشتم.
حسیب قریشی (Haseeb Qureshi) هم نظر خود را در این باره اعلام کرده است. او در ابتدا عکسالعمل تندی نشان داد، اما بعداً متوجه شد که این امر همیشه در مورد لجر درست است.
جی دبلیو ورت (J.W. Verret) ،کارشناس حقوقی میگوید:
ما همیشه به آن اعتماد کردهایم که در بروزرسانیهای سختافزاری، برای سرقت کلیدهای خصوصی ما بدافزار بر روی دستگاه نصب نمیکند. نظر او را قبول دارم، اما چنین چیزی باز هم خیال من را راحت نکرده است.
در نهایت، هیچ اتفاق بدی در دستگاه سختافزاری شما نمیافتد، مگر اینکه خودتان یک تراکنش انجام دهید. کنترل در دست شماست. شما را نمیدانم، اما من یک برنامه نویس نیستم و نمیتوانم یک بروزرسانی مخرب را از یک بروزرسانی سالم تشخیص دهم، بنابراین در این باره باید به لجر اعتماد کنم. و من واقعا چارهای جز تایید آخرین بروزرسانی فریمور که شامل قابلیت Ledger Recover میشود ندارم، زیرا لجر هشدار میدهد که عدم بروزرسانی فریمور ممکن است یک رخنه امنیتی در دستگاه ایجاد کند.
او در ادامه می افزاید:
من واقعاً به لجر اعتماد کردهام. حداقل در فعالیتهای رمزارزی من، این شرکت به عنوان یک محور مرکزی در خودامانی کریپتو عمل کرده است.
اما هدف یک ابزار خودامانی کریپتو باید کاهش نیاز به اعتماد باشد. و این امر میتواند از طریق منبع باز شدن نرمافزارها و سختافزارهای بیشتری در لجر بهبود یابد. در پادکست Bankless در تاریخ ۱۷ می، سرپرست فناوری لجر در مورد این موضوع پاسخ داد که لجر قراردادهای عم افشا دارد و باعث میشود بیشتر نرمافزارها و سختافزارهای خود را به صورت باز منتشر نکند، و همچنین بر این باور است که افراد به انجام بازبینیهای امنیتی جمعی علاقهای ندارند.
اما من مطمئنم که پژوهشگران حوزه امنیت مانند اندرو میلر (Andrew Miller) که به رخنههای امنیتی Secret Network پی برده بود، این کار را انجام میدهند.
این کارشناس مسائل حقوق همچنین اظهار کرد:
لجر به شکل درستی برنامههای خود را برای عرضه این محصول توضیح نداده بود که باعث ایجاد مشکلاتی شد. با این حال، پاسخ آنها به بحران بوجود آمده آگاهکننده بود. این اتفاق باعث شد متوجه شوم که به طور کامل شیوه کار کیف پولهای سختافزاری را نمیدانم. اما این که بگویید «متأسفیم، ما به دلیل پیماننامههای عدم افشا نمیتوانیم محصولات خود را منبع باز کنیم»، برای کسانی که نگران هستند Ledger Recover ممکن است توسط یک عامل مخرب برای فریب کاربران با بروزرسانیهای جعلی و سرقت عبارت بازیابی آنها استفاده شود، کافی نیست.
لجر همچنین میتواند به من این امکان را بدهد که بتوانم فریمور خود را بدون اضافه کردن کد Ledger Recover به دستگاهم بروزرسانی کنم. اما در صورت باز نشدن کد نرمافزارهای لجر، این انتخاب هیچ کارایی نخواهد داشت، زیرا ما هیچ راهی برای تأیید ادعاهای آنها نداریم.
لجر فرصت این را داشت که با معرفی نسخه آیندهنگرانه سختافزار و نرمافزار خود، آوازه بهتری را در جامعه رمزارزی ایجاد کند. این نسخه میتوانست به نیازهای جامعه اصلی ارزهای دیجیتال پاسخ، و بروزرسانیهای منبع باز را با بازبینیهای امنیتی جمعی ارائه دهد. در این حالت، حتی دارندگان فعلی سختافزار این شرکت نیز میتوانند این نسخه را انتخاب کنند و مجدداً در جامعه اعتماد ایجاد شود.
فعلاً به نظر نمیرسد که لجر قصد انجام این کار را داشته باشد. بنابراین، گزینه جایگزین استفاده از کیف پولهای سختافزاری منبع باز است، اما این کیف پولها همهی قابلیتهای همکاری با بلاک چینهای جدید را مانند لجر ارائه نمیدهند.
در حال حاضر و برای بسیاری از ارزهای دیجیتال، احتمالاً امنترین گزینه، اعتماد به لجر است، اما ایده خوبی است که به کیف پولهای سختافزاری متن باز جایگزینی که توسط شرکتهای دیگر توسعه یافتهاند نیز توجه کنیم.
