Kritiikki laitteistolompakoita kohtaan
Onchain-tutkija ZachXBT on kritisoinut laitteistolompakoita ja väittänyt, että käyttäjien ei pitäisi luottaa niihin kriittisten tapahtumien allekirjoittamisessa tai suurten kryptovaluuttamäärien säilyttämisessä. Telegram-viestissään ZachXBT kuvasi laitteistolompakoita ”täydelliseksi roskaksi” ja sanoi, ettei hän suosittele niiden käyttöä tärkeissä tehtävissä.
Ledgerin kritiikki
Hän kohdisti voimakkaimman kritiikkinsä Ledgerille, yhdelle suurimmista laitteistolompakoiden valmistajista. ZachXBT kutsui Ledgeria ”pahimmaksi” ja väitti, että Ledger Liven usein toistuvat päivitykset voivat häiritä perustoimintoja. Hän sanoi, että laitteistolompakot ovat ”roskaa”, ja Ledger on pahin.
ZachXBT, yksi kryptoteollisuuden tunnetuimmista onchain-tutkijoista, sanoi, ettei hän pidä nykyisiä laitteistolompakoita sopivina kriittisten tapahtumien allekirjoittamiseen tai suurten varamäärien säilyttämiseen.
Hän mainitsi, että Ledger Live saa ”säännöllisiä päivityksiä” käyttöliittymälle ja sovelluksille ilman hyvää syytä, jotka rikkovat yksinkertaisia toimintoja. Kommentit edustavat ZachXBT:n henkilökohtaista arviointia, eikä hän esittänyt todisteita siitä, että Ledger-laitteet olisivat kärsineet uudesta tietoturvaloukkauksesta tai että niiden yksityisavainten suojaus olisi vaarantunut.
Ledgerin vastaukset
Ledger on sittemmin nimennyt Ledger Liven uudelleen Ledger Walletiksi. Yhtiön virallisten julkaisumuistiinpanojen mukaan Ledger Wallet -versio 4.8.0 julkaistiin 11. kesäkuuta, ja siihen sisältyi tietoturvaparannuksia, käyttöliittymän muutoksia ja pieniä virhekorjauksia. Yhtiö jatkaa laitteistopohjaisen allekirjoittamisen edistämistä keinona pitää yksityisavaimet eristyksissä internet-yhteydessä olevista laitteista.
Keskustelu kryptovaroiden hallinnasta
ZachXBT:n ehdotus käyttää erillistä älypuhelinta, joka on varattu vain kryptotapahtumille, on herättänyt keskustelua. Kritiikki tulee, kun hyökkääjät jatkavat laitteistolompakoiden omistajien kohdistamista sosiaalisen manipuloinnin ja väärennettyjen sovellusten kautta. Nämä hyökkäykset eivät välttämättä tarkoita fyysisen lompakon turvallisuuden rikkomista.
Kuten crypto.news on aiemmin raportoinut, kryptovaroja omistava henkilö menetti yli 282 miljoonaa dollaria Bitcoinissa ja Litecoinissa tammikuussa laitteistolompakon sosiaalisen manipuloinnin huijauksen seurauksena.
ZachXBT raportoi, että hyökkääjät siirsivät nopeasti varastetut varat useiden palveluiden kautta ja muuntivat osan niistä Moneroksi. Tapaus osoitti, kuinka hyökkääjät voivat kohdistaa käyttäjiin ilman, että fyysisen lompakon teknistä turvallisuutta rikotaan suoraan.
Väärennetyt sovellukset ja turvallisuusriskit
Sosiaalinen manipulointi yrittää sen sijaan saada uhrit paljastamaan arkaluontoisia tietoja tai tekemään toimia, jotka antavat rikollisille hallinnan heidän varoistaan. Ledgerin käyttäjät ovat myös kohdanneet hyökkäyksiä, joissa ohjelmisto esiintyy virallisina yritystuotteina. Tällaiset tapaukset voivat luoda turvallisuusriskejä, vaikka fyysinen laitteisto toimisi suunnitellusti.
Huhtikuussa väärennetty Ledger Live -sovellus, joka oli listattu Applen App Storessa, varasti vähintään 9,5 miljoonaa dollaria yli 50 uhrilta yhden viikon aikana, kuten crypto.news raportoi.
Väärennetty sovellus kopioi Ledgerin brändäyksen ja ilmestyi käyttäjille, jotka etsivät yrityksen lompakkosovellusta. Uhrien kerrotaan syöttäneen palautuslauseensa väärennettyyn sovellukseen, mikä mahdollisti hyökkääjien saamisen hallintaan heidän lompakoistaan. Varastetut varat sisälsivät Bitcoinia, Ethereumia, Solanaa, Tronia ja XRP:tä. Apple poisti myöhemmin väärennetyn sovelluksen kaupasta.
Yhteenveto
ZachXBT:n suositus omistetusta iPhonesta vähentäisi joitakin riskejä, jotka liittyvät laitteen käyttöön jokapäiväisessä selaamisessa, viestinnässä ja muussa verkkotoiminnassa. Kuitenkin älypuhelin riippuu silti käyttöjärjestelmästään, asennetuista ohjelmistoista, varmuuskäytännöistä ja käyttäjän turvallisuustottumuksista.
Keskustelu tiivistyy erilaisiin lähestymistapoihin kryptovaroiden itsehallintaan. Laitteistolompakot keskittyvät yksityisten avainten eristämiseen yleiskäyttöisistä internet-yhteydessä olevista laitteista. ZachXBT puolestaan suosii tiukkaa laite-erottelua puhelimen avulla, jota käytetään vain kryptovaroille. Molemmissa tapauksissa käyttäjät voivat silti kohdata riskejä kalastelusta, väärennetyistä sovelluksista, paljastetuista palautuslauseista ja sosiaalisesta manipuloinnista.