Ledger lý giải về tính bảo mật của ví cứng sau loạt tranh cãi
Theo đó, dòng tweet này được viết bởi một nhân viên hỗ trợ khách hàng của Ledger và xoay quanh việc công ty này ra mắt tính năng có thể trích xuất khoá cá nhân (private key) của người dùng. Tuy nhiên, sau đó bài tweet đã bị xóa do nhận về loạt phản ứng trái chiều từ cộng đồng.
[1/3] You may have seen a tweet from our Ledger Support account being shared regarding Ledger firmware updates.
— Ledger Support (@Ledger_Support) May 18, 2023
Unfortunately, in our attempt to clarify how Ledger and all wallets work with the firmware, a customer support agent posted a tweet with confusing wording. https://t.co/cL6UrBzxWr
Trong chuỗi tweet mới trên Twitter ngày 18/5, Charles Guillemet - Giám đốc Công nghệ của Ledger làm rõ hệ điều hành của ví cần có sự đồng ý của người dùng trong bất cứ trường hợp nào liên quan đến private key. Nói cách khác, chúng không thể sao chép khóa cá nhân của thiết bị nếu không nhận được sự chấp thuận.
Ban đầu, dòng tweet gây tranh cãi của công ty này có nội dung như sau:
“Về mặt kỹ thuật, chúng tôi có thể thiết lập công cụ hỗ trợ khai thác private key. Tuy nhiên, bạn có thể tin tưởng Ledger sẽ không triển khai phần mềm như vậy”,
Dòng tweet đã gây ra một cuộc tranh cãi trên Twitter khi nhiều người dùng cáo buộc công ty đã trình bày sai về tính bảo mật ví của họ. Dù đã bị xoá, vấn đề gặp phải khi Ledger công bố phần mềm khôi phục private key cho ví người dùng và gửi đến bên thứ ba vẫn chưa được giải quyết.
Nov 2022: A firmware update cannot extract the private keys from the Secure Element — Ledger
— olimpio (@OlimpioCrypto) May 17, 2023
May 2023: Technically speaking it is and always has been possible to write firmware that facilitates key extraction — Ledger@Ledger, do you now understand the problem? pic.twitter.com/czG53SuCOu
Trong bài đăng mới của Guillemet, ông khẳng định hệ điều hành của ví là một nền tảng mở. Điều này đồng nghĩa bất kỳ ai cũng có thể viết ứng dụng của riêng họ và tải nó trên thiết bị. Trước khi được cấp phép, ứng dụng sẽ được đội ngũ đánh giá để đảm bảo không gây ra ảnh hưởng xấu đến tính bảo mật của ví.
Theo Ledger, ngay cả sau khi một ứng dụng được phê duyệt, hệ điều hành không cho phép chúng sử dụng private key của người dùng. Điển hình là việc ứng dụng Bitcoin không được phép sử dụng private key blockchain Ethereum của thiết bị và ngược lại. Ngoài ra, mỗi khi phần mềm sử dụng khóa cá nhân, hệ điều hành sẽ yêu cầu người dùng xác nhận quá trình này. Vì vậy, Ledger tuyên bố bên thứ ba không thể dùng private key của người dùng nếu không nhận được sự đồng ý.
Hơn nữa, Guillemet cũng xác nhận tính năng này là một phần của hệ điều hành hiện tại. Về mặt lý thuyết, phần mềm có thể bị thay đổi nếu kẻ tấn công tìm cách giành quyền kiểm soát máy tính của công ty.
Tuy nhiên, Giám đốc Công nghệ của Ledger cũng bày tỏ mối lo ngại và cho rằng việc sử dụng ví đồi hỏi một mức độ tin cậy tối thiểu. Ông khẳng định cách duy nhất để người dùng có thể bảo vệ mình trước một nhà phát triển ví không trung thực là xây dựng máy tính, trình xác thực, node,... của riêng họ.
Như Interlock đã đưa tin, ngày 16/5, Ledger giới thiệu công cụ phục hồi dành cho ví cứng tiền mã hóa khi chuỗi seed phrase bị mất. Tính năng này được gọi là Ledger Recover. Theo đó, dịch vụ sẽ chia passphrase thành ba phần được mã hóa và gửi chúng đến các bên thứ ba.
Khi những thông tin này được kết hợp và giải mã sẽ tái cấu trúc thành passphrase của người dùng. Tuy nhiên, thông báo mới của Ledger đã gặp phải sự phản đối từ các chuyên gia bảo mật và người dùng Ledger.
Đọc thêm: Ví cứng Ledger không còn bảo mật?