С момента запуска сервиса Recover для компании Ledger прошли жестокие 72 часа.
«Какой ужасный беспорядок», — сказал Эрик Ларшевек, соучредитель Ledger, на сабреддите CryptoCurrency.
«Я опустошен, зайдя на этот сабреддит, который я создал девять лет назад, и увидев изображения горящих устройств Ledger, оскорбления и много-много гнева. Честно говоря, я на грани слез», — сказал он.
Ledger Recover — это услуга по подписке, которая стоит 9,99 доллара в месяц.
После подписки ваша фраза восстановления разбивается на три зашифрованных фрагмента и затем передается хранителям — Ledger, Coincover и третьему провайдеру. Когда вы захотите восстановить свою начальную фразу, от вас потребуется подтвердить свою личность с помощью паспорта или национального удостоверения личности.
Пользователи были обеспокоены тем, что им приходится доверять трем централизованным фигурам, риском кражи личных данных, а также возможностью того, что их начальная фраза может быть изъята из их аппаратного кошелька, даже если они не подпишутся, через предполагаемый «черный ход».
«Сожгите их всех», — сказал один из пользователей Twitter, разбив свой Ledger молотком, а затем поднеся к нему паяльную лампу.
Сжечь дотла. Сожгите их всех. Ledger pic.twitter.com/6syU5QVToV
— Jester Novares (@JesterNovares) May 17, 2023
«Поздравляю Леджера, вы уничтожили свою репутацию!» — воскликнул один из пользователей Reddit. Другие пользователи Reddit начали называть кошельки Ledger пресс-папье из-за нового сервиса.
«Я так много отдал этой компании, что для меня невозможно не испытывать сильных эмоций в этот момент», — сказал Ларшевек. «Так много гнева, так много ненависти, а также так много безумия».
После того как в 2014 году Ларшевек стал одним из основателей Ledger, он занимал пост генерального директора до 2019 года. В настоящее время он является лишь акционером компании и не занимает руководящую должность. Поэтому мнения, выраженные в его посте, являются его личными взглядами и не отражают официальную позицию Ledger по данному вопросу.
«Для меня весь этот крах — это полный пиар-провал, но абсолютно не технический», — пояснил Ларшевек. «Пытаться объяснить модель безопасности клиентам с все менее осведомленной пользовательской базой становилось все сложнее и сложнее. «
Пока вы доверяете Ledger
Соучредитель компании по производству аппаратных кошельков рассказал о росте Ledger и о том, что образование было в основе миссии проекта с момента его создания.
Он указал на старый твит, в котором объяснялось, что «обновление прошивки не может извлечь семя из защищенного элемента», заявив, что твит должен был включать «пока вы доверяете Ledger. «
Привет — ваши закрытые ключи никогда не покидают чип Secure Element, который никогда не был взломан. Secure Element сертифицирован третьей стороной, и это та же технология, что используется в паспортах и кредитных картах. Обновление прошивки не может извлечь закрытые ключи из Secure Element.
— Ledger (@Ledger) Ноябрь 15, 2022
Этот твит заставил пользователей поверить, что Ledger — это решение, не требующее доверия. Это «не так», — пояснил Ларшевек. «Чтобы использовать их продукт, необходимо в определенной степени доверять Ledger».
«Когда Recover был внезапно запущен, это ложное чувство недоверия разлетелось на куски, и люди начали действительно понимать, как работает [аппаратный кошелек]. По крайней мере, это позитивная нота», — сказал он. «Моя ошибка как генерального директора во время моего пребывания на посту, вероятно, заключалась в том, что я не был достаточно настойчив в объяснении модели безопасности».
По словам Ларшевека, у возмущения есть две стороны.
Одна сторона исходит от людей, которые были дезинформированы о модели безопасности Ledger, и он понимает их обиду.
Однако он также видит группу людей, вставших на «полосу ненависти» и распространяющих теории заговора о «черном ходе».
«Вы не понимаете, что говорите», — сказал он в своем сообщении на Reddit.
Представитель Ledger подтвердил TCN, что для извлечения вашей seed-фразы в процессе Ledger Recover вы должны подписать транзакцию. В противном случае Ledger не сможет получить доступ к вашей начальной фразе.
«Ledger по-прежнему безопасен, нет никакого бэкдора, Ledger Recover — это не заговор, никто никогда не заставит никого использовать Recover», — сказал Ларшевек. «Код Recover в прошивке не является вредоносным кодом и не открывает путь для произвольного извлечения семени. «