Новый продукт Ledger под названием Recover является преднамеренным «компромиссом», который позволяет извлекать зашифрованные приватные ключи из аппаратных кошельков. Об этом заявил CTO производителя Шарль Гиллеме.
По словам топ-менеджера, Ledger Recover ориентирован на людей, которые хотят большей безопасности, чем та, которую обеспечивают онлайн-биржа или горячий кошелек. Эта категория пользователей все еще слишком неопытна, чтобы у нее возникло желание владеть аппаратным кошельком, пароль от которого никогда не может быть восстановлен в случае утраты, добавил он.
«Когда вы не разбираетесь в технике, эта штука может быть пугающей. Нам нужно найти способ для привлечения новичков, чтобы обеспечить массовое принятие [технологии]», — пояснил Гиллеме.
16 мая 2023 года компания представила инструмент, позволяющий создать резервную копию seed-фразы для возобновления доступа к устройству Nano X.
Решение о согласии на Ledger Recover пользователь принимает самостоятельно. Инструмент разбивает Secret Recovery Phrase на три фрагмента, которые в зашифрованном виде хранят три различные стороны.
При необходимости владелец кошелька получает доступ к резервной копии фразы для восстановления закрытого ключа через подтверждение персональных данных. Инициативу раскритиковали сообщество и эксперты.
Компания постаралась объяснить, что устройство остается безопасным, несмотря на появление новой функциональности.
«Некоторые пользователи немного удивились, осознав это. ПО, работающее внутри защищенного элемента, — то, что можно изменить, то, что имеет доступ к паролю», — признал CTO компании.
Гиллеме напомнил, что Ledger Recover не является обязательной. Продукт не служит заменой традиционному предложению компании.
Специалист подчеркнул, что покидает кошелек не оригинальная seed-фраза, а ее зашифрованные фрагменты.
«Это на шаг приближает к некастодиальному хранению и суверенитету. Когда вы используете эту функцию, вы идете на небольшой компромисс, говоря: „Я не полностью независим, я не единственный, кто может управлять своей резервной копией”. Но компромисс приемлем, потому что […] у вас должно быть по крайней мере два из трех фрагментов, чтобы иметь возможность объединить пароль», — объяснил CTO Ledger.
По словам Гиллеме, криптографический элемент работает только внутри защищенного модуля кошелька. Для восстановления seed-фразы никогда не потребуется выходить из устройства, если пользователи не хотят активировать Ledger Recover.
«Эта часть действительно важна, и она никогда не менялась», — заверил он.
В день выхода подкаста служба поддержки компании указала, что ПО «всегда разрешало извлечение ключей». Впоследствии твит удалили.
Подобное высказывание привело к резкой реакции пользователей. Для ее смягчения представители компании выпустили уточнение, указав, что предыдущее сообщение было «вырвано из контекста».
«При использовании встроенного ПО Ledger существуют уровни защиты и управления, гарантирующие, что ни один злоумышленник (даже внутренний) не сможет встроить малварь», — заверили в компании.
В марте 2023 года Ledger объявил о расширении раунда финансирования Серии C на фоне роста продаж после коллапса FTX. Предположительно, оценка производителя аппаратных кошельков составит €1,3 млрд.
