Nhà cung cấp ví phần cứng tiền điện tử Ledger đang nhận được nhiều phản ứng dữ dội từ người dùng trực tuyến sau khi phát hành bản cập nhật gây tranh cãi, khiến nhiều người lo ngại sẽ phơi bày các lỗi bảo mật lớn với nhà sản xuất.
Ledger đã tuyên bố rằng chức năng mới vừa an toàn vừa hoàn toàn tùy chọn, nhưng các chuyên gia bảo mật và người nắm giữ tiền điện tử lại không nghĩ vậy.
Dịch vụ phục hồi gây tranh cãi của Ledger
Mối lo ngại bắt đầu tăng lên vào cuối ngày thứ Hai sau khi người dùng Reddit ‘Joe_Smith _Reddit’ đăng một bài đăng yêu cầu câu trả lời chính thức là “có hay không” về việc Ledger có tích hợp sẵn cửa sau để truy cập khóa cá nhân của người dùng? Khóa cá nhân (private key) là chuỗi chữ và số bí mật cho phép người dùng truy cập vào tiền điện tử của họ trên chuỗi khối.
Câu hỏi của Smith liên quan cụ thể đến dịch vụ “Khôi phục sổ cái” mới của Ledger – một dịch vụ đăng ký dành cho chủ sở hữu thiết bị Nano X cho phép họ khôi phục tiền điện tử của mình ngay cả khi họ đã mất cả thiết bị ví và cụm từ khôi phục. Cụm từ khôi phục là khóa cá nhân của người dùng được biểu thị ở dạng ghi nhớ.
Theo Ledger, dịch vụ này – được kích hoạt trong bản cập nhật chương trình cơ sở 2.2.1 – hoạt động bằng cách sao chép cụm từ khôi phục của thiết bị trên thiết bị, mã hóa bản sao, chia thành ba phần và bảo mật nó bằng Ledger, Coincover và một nhà cung cấp thứ ba không tên. Để truy cập dịch vụ, người dùng phải xác minh danh tính của họ bằng tài liệu ID và bản ghi selfie.
Trong một chủ đề tiếp theo trên Twitter vào thứ Ba, Ledger đã làm rõ rằng dịch vụ này hoàn toàn là “tùy chọn” và không được kích hoạt tự động bởi bất kỳ bản cập nhật chương trình cơ sở nào. “Cụm từ khôi phục bí mật của bạn được tạo an toàn trên thiết bị của bạn. Chúng tôi không có quyền truy cập vào nó,” công ty nói thêm.
Ledger có thể “Rug” khóa cá nhân của người dùng không?
Bất chấp sự đảm bảo của Ledger, mối quan tâm của cộng đồng vẫn tiếp tục tăng lên xung quanh một ý tưởng chính: bản cập nhật đã chứng minh rằng các thiết bị Ledger, bất chấp tuyên bố của nhà sản xuất, không bảo vệ khóa cá nhân của người dùng khỏi mọi truy cập bên ngoài.
“Việc tin tưởng vào yếu tố bảo mật độc quyền để thực hiện phần việc của nó là sợi dây duy nhất gắn kết công ty này lại với nhau và giờ đây, điều đó đã bị cắt đứt,” người dùng Reddit StPinkie viết khi trả lời Ledger vào thứ Ba. “Tôi không còn có thể giới thiệu Ledger cho bất kỳ ai quan tâm đến chủ quyền kỹ thuật số của họ nữa.”
Nhà phát triển, nhà văn và kiểm toán viên tiền điện tử nổi tiếng “foobar” trên Twitter đã lặp lại phản hồi này, kêu gọi những người theo dõi di chuyển khỏi ví Ledger ngay lập tức.
Ông nói thêm: “Vấn đề rõ ràng với bản cập nhật này là nó làm lộ ra khóa riêng tư của bạn có thể bị hỏng bất cứ lúc nào với bản cập nhật chương trình cơ sở độc hại hoặc nhầm lẫn”.
Những người dùng khác đã lưu ý đến sự mâu thuẫn giữa các khẳng định của Ledger trên trang web của mình rằng khóa của người dùng “không bao giờ rời khỏi thiết bị” và dịch vụ Ledger Recover, khi dịch vụ này “phân phối” khóa riêng của người dùng cho ba nhà cung cấp khác nhau trong các phân đoạn.
Nhiều người trong cộng đồng đã khuyến nghị Ledger khởi chạy một ví riêng cung cấp dịch vụ khôi phục “seed phrase”, thay vì tung ra dưới dạng bản cập nhật chương trình cơ sở cho những khách hàng hiện tại, những người mong muốn bảo mật tối đa từ thiết bị của họ.
Ledger trước đây đã xâm phạm bảo mật người dùng do vô tình làm rò rỉ thông tin cá nhân của hơn 270.000 khách hàng vào tháng 7 năm 2020, những người sau này trở thành nạn nhân của các chiến dịch lừa đảo qua email và SMS. Vụ rò rỉ này không ảnh hưởng đến tính bảo mật của khóa riêng tư của người dùng.
Doanh số của Ledger tăng đột biến sau sự sụp đổ của FTX vào tháng 11 năm ngoái, chính xác là khi các nhà đầu tư tìm cách bảo đảm tiền điện tử của riêng họ một cách an toàn mà không cần tin tưởng vào các bên trung gian tập trung.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork