シードフレーズ回復サービスの失策でLedgerが非難を浴びる

Ledgerは、最新のシードフレーズ回復のアイデアについてコミュニティから厳しい批判を受けており、メンバーはソーシャルメディアで反対を表明している。
レジャー社は、いくつかの不正確な点があるとして、批判に反論した。
Ledger の新しいシードフレーズ回復サービス
Ledger の新しいシードフレーズ回復サービスは Ledger Recover と呼ばれ、ユーザーがシードフレーズを紛失した場合に備えて追加の安全策を提供します。このサービスは Ledger の最新のファームウェア ウォレットでリリースされ、ユーザーに秘密鍵の保護層を追加するサブスクリプション サービスです。Ledger Recover は、ユーザーのシードフレーズを 3 つの暗号化されたフラグメントに分割し、Ledger、Coinover、および第三者の 3 つの管理者に信頼される技術を使用します。Ledger の広報担当者はこれについて詳しく説明し、次のように述べています。
「各フラグメントは、当事者によってハードウェア セキュリティ モジュール (HSM) に保存されます。これは本質的に超強力な元帳です。これは、Ledger Enterprise で使用しているものです。各フラグメントは単独では役に立たず、元帳でのみ復号化できます。完全に安全です。」
ユーザーは、個々の断片を組み合わせて復号化すると、元のシーフレーズを再構築できます。同社はまた、このサービスはオプションであり、Ledgerユーザーは望まない場合はこのサービスを使用する必要はないと述べています。
「Ledger を購入した理由がリカバリーフレーズであるなら、それを使用する必要はなく、リカバリーフレーズを自分で管理し続けることができます。」
では問題はどこにあるのでしょうか?
Ledgerは新しいアップデートに興奮しているようだが、コミュニティの反応はまったく逆だ。このサービスを利用するには、ユーザーは国民IDカードまたはパスポートを提示する必要があり、ユーザーのシードフレーズは「外部の管理者」に預ける必要があるからだ。数人の著名な暗号通貨コミュニティメンバーとLedgerウォレット所有者は、一部のユーザーが「起こるのを待っている大惨事」と呼ぶLedgerをソーシャルメディアで批判している。あるRedditユーザーは次のように説明した。
「これは起こるべくして起こる災害です。私は自分が読んでいる内容が信じられません。ハードウェア ウォレット プロバイダーが、シード フレーズをオンラインでバックアップし、パスポート/ID (特に、以前にデータ侵害を受けたことがあるもの) を渡すように勧めるのは、まったく狂気の沙汰です。」
レジャーは2020年に深刻なデータ漏洩に見舞われ、30万人以上の顧客の電話番号と住所が流出した。漏洩には100万人以上のユーザーのメールアドレスも含まれていた。投資家のクリス・ダンや仮想通貨投資家のDCインベスターなども、レジャーの新しいシードフレーズリカバリーサービスを批判しながら、この悪名高いデータ漏洩に言及した。ダンは次のように述べた。
「まず、顧客の郵送先住所、電話番号、電子メールアドレスが公開されました…そして今度はシードフレーズにバックドアを仕掛けました。@Ledger に別れを告げる時が来ました。」
DCinvestorも遠慮なくこう述べた。
「数年前、Ledger はデータ漏洩により顧客全員の名前と住所を漏洩しました。絶対に彼らのサーバーに置いておきたくないものは、あなたの秘密鍵です。」
ポリゴンの最高情報セキュリティ責任者ムディット・グプタ氏は、これはひどいアイデアだと述べ、レジャーに新機能の有効化を控えるよう求めた。ツイッターのスレッドでグプタ氏は、暗号化された鍵が3つの企業に送信され、秘密鍵を再構築できるため、重大なセキュリティ問題につながると説明した。バイナンスのCEO、チャンポン・ジャオ氏はグプタ氏に返信し、次のように付け加えた。
「それで、シードはデバイスから出られるようになったのですか? 「キーはデバイスから出ない」というのとは違う方向性のように思えます。」
ImmuneFiの技術主任トリアージャーであるエイドリアン・ヘットマン氏は、この新機能はセキュリティ体制が悪いと述べ、次のように述べた。
「シードフレーズを公開し、IDやパスポートを持っている人なら誰でもロックされた資金に再びアクセスできるようにするのは、セキュリティ対策として不適切です。ID盗難は一般的であり、これにより暗号通貨ユーザーは新しい形の攻撃にさらされることになります。」
レジャーは批判に反論
レジャーは、新サービスに対する批判の集中砲火に反論し、同社が直面している批判には「多くの不正確な点」があり、バックドアやセキュリティ上の脆弱性はなかったと述べた。ヘットマン氏への返答として、レジャーは政府IDは完全なプロセスの一部にすぎず、セキュリティ上のリスクはないと述べている。
「また、カメラを使った完全な生体検知機能も備えており、偽造や事前録音が不可能なランダムなプロンプトが表示されます。これはテクノロジーと人間によって確認され、回復プロセスが開始される前に一致が確認されます。そのため、誰かがあなたのIDを盗んでも、[秘密の回復フレーズ] SRPを回復することはできません。」
Ledger 社は、この新サービスは同社の Donjon チームがテストした非常に安全なサービスだと述べている。Donjon チームは以前、TrustWallet を含むいくつかのウォレットで侵害を検出していた。
「より安心したい場合や、リカバリーフレーズの管理が障壁になっている場合は、TrustWallet やその他多くのソフトウェアとハ​​ードウェアの両方のウォレットの侵害を明らかにした、当社の Donjon チームによってテストされた非常に安全なサービスをご利用いただけます。」
同社はまた、この新サービスはオプションであり、ユーザーが利用したくない場合は有効にしないことも選択できると付け加えた。また、このサービスを利用したい人は、Ledgerウォレットの安全なディスプレイを使用して承認プロセスを開始する必要があるとも付け加えた。
免責事項: この記事は情報提供のみを目的としています。法律、税金、投資、財務、その他のアドバイスとして提供または使用されることを意図したものではありません。