Ví cứng Ledger không còn bảo mật?

Ledger, đơn vị phát triển ví cứng tiền mã hóa, vừa đưa ra bản cập nhật cho phép người dùng có thể gửi seed phrase đến bên thứ ba. Nhiều chuyên gia đã bày tỏ mối lo ngại về tính an toàn của Ledger.

immihu.web3

Published May 16 2023

Updated Sep 16 2023

4 min read

Ledger giới thiệu công cụ phục hồi dành cho ví cứng tiền mã hóa khi chuỗi seed phrase bị mất. Tính năng này được gọi là Ledger Recover, cho phép người dùng có thể lựa chọn đăng ký sử dụng nhằm tạo ra bản sao lưu cho private key của họ. Theo đó, dịch vụ sẽ chia passphrase thành ba phần được mã hóa và gửi chúng đến các bên thứ ba. Khi những thông tin này được kết hợp và giải mã sẽ tái cấu trúc thành passphrase của người dùng.

Sau thông báo, tính năng này đã gặp phải sự phản đối từ các chuyên gia bảo mật và người dùng Ledger.

Ledger just released a new update for Nano X that allows social recovery of your seed phrase.

It encrypts your seed in 3 shards and sends it to different entities that can then reconstruct the seed for you post ID verification.

It's a horrendous idea, DON'T enable this feature. pic.twitter.com/2E1GSuYN5r
— Mudit Gupta (@Mudit__Gupta) May 16, 2023

"Đây là một ý tưởng tồi tệ. Vấn đề ở đây không phải là chia chìa khóa làm 3 phần. Điều này thực sự tốt và có thể tôi cũng không làm tốt được nó. Vấn đề ở đây là mã hóa chúng và gửi cho 3 tổ chức và họ có thể tái cấu trúc lại thành chìa khóa", Mudit Gupta, Trưởng Bộ phận Bảo mật thông tin tại Polygon Labs.

Một số nhà đầu tư nổi tiếng như @DCinvestor có thái độ gay gắt hơn khi khuyên mọi người không nên cập nhật tính năng này.

if you have a Ledger, i would not be too concerned that it's already leaked your private key or anything like that (assuming you've used it normally)

i haven't done it, but i'm sure (read hope) others have inspected data the app is sending out when its connected to your device
— DCinvestor (@iamDCinvestor) May 16, 2023

"Đây hoàn toàn là hướng đi sai lầm. Tôi khuyên mọi người không nên cập nhật", @DCinvestor cho biết.

Trên diễn đàn Reddit, cộng đồng Ledger yêu cầu công ty làm rõ cách thức hoạt động của quá trình này. Nicolas Bacca, co-founder của Innovation Labs tại Ledger, cho biết thiết bị sẽ gửi đoạn mã hóa của seed phrase đến các công ty khác nhau nếu họ lựa chọn sử dụng dịch vụ. Ngoài ra, người dùng vẫn có thể tự mình lưu giữ chúng.

Tuy nhiên, giải thích của Bacca vẫn không thể trấn an được cộng đồng. Một số người cho rằng hiện tại phần mềm (firmware) đã có tính năng chia sẻ seed phrase với máy tính.

"Đây chỉ là vấn đề thời gian cho đến khi một vụ tấn công diễn ra", tài khoản Reddit Veloder lo lắng.

Anton Bukov, co-founder của sàn giao dịch 1inch, cũng cho rằng tính năng này sẽ ảnh hưởng đến độ bảo mật của ví cứng.

OMG, @Ledger is breaking the main hardware wallet security assumption that “it should have no API to expose seed phrase (private key)” pic.twitter.com/H31NHShhyZ
— Anton Bukov 🦇🔊 ⚖️ (@k06a) May 16, 2023

Đại diện từ phía Ledger cho biết việc giải mã chỉ xảy ra trên thiết bị Ledger sau khi được người dùng cấp phép.

"Các công ty sẽ không thể tiếp cận tới seed prase. Nó không được lưu trữ trên cloud và chúng sẽ được mã hóa, phân mảnh và chỉ có thể được giải mã trên ví Ledger của người dùng. Nếu bạn là người dùng Ledger và muốn sử dụng chúng như trước đây, bạn vẫn có thể làm được", đại diện phía Ledger cho biết.

Ledger là một trong những công ty sản xuất ví tiền mã hóa lớn nhất trong thị trường. Dịch vụ Ledger Recovery có giá 9.99 USD mỗi tháng. Tính năng này sẽ ra mắt tại Mỹ, Anh, Châu Âu và Canada trước khi đến các quốc gia khác.

Đọc thêm: BlockFi sẽ thanh lý nền tảng tỷ USD?