Французский производитель аппаратных криптовалютных кошельков Ledger оказался в центре скандала. Компания заявила в Twitter, что технически всегда имела возможность установить на устройство прошивку, дающую доступ к закрытым ключам пользователей. Так Ledger попыталась успокоить клиентов, возмутившихся новой функцией восстановления ключей Ledger Recovery.
Компания представила функцию на этой неделе. Как поясняют разработчики, Ledger Recovery — это сервис восстановления паролей, который хранит зашифрованную часть секретной фразы (сид-фразы) пользователя и предоставляет её по удостоверению личности, если пользователь потерял доступ к кошельку.
Нововведение вызвало резкую критику клиентов Ledger и криптосообщества в целом.
«Это полнейшее безумие — призывать сделать резервную копию сид-фразы в интернете и предоставить свой паспорт или удостоверение личности, особенно с учётом недавних утечек», — комментируют пользователи Reddit. По их мнению, обновление подрывает заявленную приверженность Ledger конфиденциальности и безопасности.
В ответ Ledger заявила в Twitter, что технически всегда могла установить на устройства прошивку, дающую доступ к ключам пользователей. Позже это сообщение было удалено.
«Всегда была и есть возможность написать прошивку, которая поможет в извлечении ключей. Вы всегда доверяли Ledger в том, что она не будет устанавливать такую прошивку, независимо от того, знали вы об этом или нет», — написала компания.
Пост вызвал бурную реакцию пользователей.
«Мы всё это время держали пистолет у твоей головы, но ты не беспокойся, ты же не умер. Так что нет никаких проблем, если мы продолжим держать этот пистолет», — заявил один из комментаторов.
Позже Ledger написала, что её заявление «вырвали из контекста»: по её словам, в прошивке кошельков есть уровни защиты и управления, которые гарантируют, что ни один злоумышленник (даже внутренний) не сможет опубликовать вредоносную прошивку. В ответ на это один из клиентов Ledger заявил, что он покупал не «уровни доступа», а просто аппаратный кошелёк.
«Первый случай на моей памяти, когда компания рушит свою репутацию в прямом эфире», — написал один из пользователей в ветке обсуждений Ledger Recovery.
Часть пользователей Ledger Nano сошлась во мнении, что запуск обновления — это один из закономерных этапов по ужесточению правил крипторегулирования. Пользователи на Reddit беспокоятся, что правительства рано или поздно потребуют подобных мер от всех поставщиков криптоуслуг.