Минфин - Курсы валют Украины

Установить
7 июня 2023, 15:27 Читати українською

Конец анонимности холодных криптокошельков: почему скандал с Ledger — только начало

Скандал вокруг новой функции продукции Ledger обострил проблему конфиденциальности холодных криптокошельков, считающихся самым безопасным способом хранения криптоактивов. Как решается эта проблема сейчас и к чему готовиться криптоинвесторам в ближайшей перспективе, расскажет Минфин.

В мае французский крипто-стартап Ledger, специализирующийся на изготовлении аппаратных холодных криптокошельков, представил новую услугу «Ledger Recover». Она предусматривает восстановление сид-фразы (набор от 12 до 24 слов, необходимых для восстановления доступа к криптовалютам, хранящимся в криптокошельке, если владелец потерял доступ к нему) при подтверждении лица владельца кошелька.

Новости такого масштаба меняют рыночные расклады.

По данным свежего исследования, в 2022 году мировой рынок аппаратных кошельков для криптовалюты оценивался в $292,3 млн. Как ожидается, к 2029 году его объем достигнет $1669,3 млн, что свидетельствует о среднегодовом темпе роста в 33,7%.

Основными игроками на рынке аппаратных кошельков для криптовалюты остаются четыре компании: Ledger, Trezor, KeepKey, Digital Beatbox и т. д., контролирующие более 60% рынка.

На первый взгляд полезная функция от Ledger вызвала шквал критики в адрес руководства компании. В чем же тут дело и что не так ли с последним обновлением Ledger?

Как работают холодные криптокошельки

Холодный кошелек — это средство, где хранятся ключи доступа к вашей криптовалюте. Ключевое отличие от горячего кошелька — отсутствие постоянного подключения к сети Интернет. Вариантов реализации холодного кошелька множество — от простой записи на бумаге до гравировки на дереве или металле. Однако наибольшей популярностью среди криптанов пользуются аппаратные холодные криптокошельки. Внешне они похожи на флешку, в большинстве своем имеют небольшой дисплей с возможностью подключения к ПК или смартфону. Их особенность состоит в том, что сид фраза не покидает устройство, а хранится в специальном чипе с высокой степенью защиты на уровне кредитных карт или биометрических документов (последние модели).

Проще говоря, аппаратный криптокошелек можно сравнить с обычным кошельком, который вы носите в кармане. Когда вы его достали и открыли, можете взять оттуда наличные деньги и рассчитаться за товары и услуги. Когда вы открываете холодный аппаратный криптокошелек, вы можете провести операцию с криптовалютой. Современные холодные криптокошельки позволяют подключаться к любым устройствам вне зависимости от операционной системы. Они, как и наличные только в блокчейне, обеспечивают анонимность и безопасность.

Холодный аппаратный криптокошелек имеет преимущество над кошельком с наличными деньгами — в случае его потери третье лицо не сможет воспользоваться найденными средствами, поскольку он защищен пин-кодом. Однако есть и другая сторона этого преимущества, если аппаратный криптокошелек потерян и вы забыли (потеряли) сид фразу, то ваши криптоактивы будут потеряны навсегда. Они останутся в блокчейне, но доступ к ним вы уже никогда не получите.

На сегодняшний день около 20% уже добытых биткоинов потеряно именно из-за этого.

Что предложил Ledger

Ledger попытался исправить недостаток холодных аппаратных криптокошельков, предложив опцию восстановления секретной сид-фразы с помощью услуги «Ledger Recover». Она призвана сделать взаимодействие с криптовалютой более легкой и доступной.

Как это работает:

  1. Пользователь активирует опцию «Ledger Recover».
  2. Шифрование. Защищенный элемент шифрует и разделяет секретную фразу обновления на три фрагмента. Эти зашифрованные фрагменты будут отправлены через 3 независимых защищенных канала к поставщику резервного копирования этих фрагментов. Затем каждый фрагмент защищается отдельной независимой компанией в разных странах: Coincover, Ledger и Escrowtech. Ни одна компания не имеет доступа ко всей резервной копии, и каждый отдельный фрагмент сам по себе ничего не стоит.
  3. Подтверждение личности. Пользователь предоставляет копию удостоверения личности и селфи, чтобы идентифицировать себя. Далее поставщик идентификационных данных Onfido связывает человека с зашифрованными фрагментами фразы Secret Recovery. Поставщик идентификационной информации хранит эти идентификационные данные в зашифрованном виде. Таким образом, служба может проверить, кем вы являетесь, в случае запроса на восстановление, но ваша личная информация остается конфиденциальной.
  4. Расшифровка. Если пользователь хочет восстановить кошелек, он инициирует восстановление через Ledger Live. Ему нужно войти в свою учетную запись, затем пройти 2 независимые процедуры подтверждения личности. На этом этапе две из трех сторон пошлют назад свои фрагменты на устройство Ledger с помощью того же механизма безопасного канала. После попадания в защищенный элемент они расшифровываются и восстановят сид-фразу. Это позволит получить доступ к средствам. Если пользователь подключил Ledger Recover, он также имеет возможность восстановить свою учетную запись на любом новом устройстве Ledger. Это означает, что он будет защищен, даже если его устройство и секретная фраза будут уничтожены.

Услуга Ledger Recover обойдется пользователю в $9,99 в месяц.

Что не так с новой услугой

Предлагаемая услуга нарушила фундамент преимущества, которое предоставляют холодные аппаратные криптокошельки — сид фраза никогда не попадает в сеть. Из-за социальных сетей начался протест главным лозунгом которого стало выражение: «Мы не хотим делиться секретной сид фразой с третьими лицами, даже в обмен на возможность восстановления кошелька с помощью KYC!». Вместо того чтобы успокоить криптосообщество, представители компании наоборот подлили горючего в огонь заявив, что компания всегда могла это делать. После этого сообщество было уже не остановить: криптоинвесторы толкли, жгли, дробили кошельки Ledger в прямом эфире. Не обошлось и без сарказма. Генерального директора компании чуть не довели до слез.

Скандал вокруг новой услуги Ledger стал находкой конкурентов. Так, чешский производитель аппаратных устройств Trezor увеличил продажи на 900% по сравнению с неделей до упоминавшихся событий. В Trezor заявили, что на их устройствах удаленное извлечение сид фразы невозможно, и добавили, что такая функция никогда не будет реализована.

Хотя криптокошельки Trezor также испытывают проблемы с безопасностью. Компания Unciphered нашла способ физического взлома популярного аппаратного криптокошелька Trezor T, используя уязвимость чипа, о которой стало известно еще в 2020 году.

Правда, в Trezor ответили, что этот взлом требует физического воровства устройства и «чрезвычайно сложных технологических знаний и современного оборудования». Компания заявила, что уже нашла решение этой проблемы и разработала другие надежные элементы для своих девайсов.

Ledger под давлением клиентов была вынуждена отложить выпуск новой функции. Но даже сообщение, что без обновления все будет работать по-прежнему не улучшило ситуацию, поскольку утверждение, что Secure Element не позволяет ключам покидать устройство, оказалось мифом.

Возможно ли решить вопрос восстановления сед фразы без снижения безопасности?

Впрочем, проблему восстановления сид фразы таки придется решать. Ведь отсутствие ключей приводит к безвозвратной потере всех криптоактивов, хранившихся по соответствующему адресу.

Сейчас очень интересное решение этого вопроса предложил проект Worldcoin. Он будет подтверждать личность с помощью World ID. World ID — это паспорт человека в новый онлайн-мир. Получить его можно с помощью Orb (сканирование сетчатки глаза). Цифровой паспорт можно использовать для легкого входа на веб-сайты, мобильные и криптографические приложения. Он позволяет подтверждать, что пользователь уникальное и подлинное лицо без передачи личных данных.

По сей день проект работает в бета-версии, вероятно будет запущен в этом месяце. Как таковых метрик нет, но можно сделать срез по приложению, который уже доступен. Он бьет рекорды в финансовом разделе App Store и Google Play.

Пользовательская база растет в геометрической прогрессии и это при том, что она еще не работает. Приложение имеет криптовалютный кошелек, позволяющий пользователям покупать, продавать и обменивать криптовалюты. В случае потери гаджета, на котором было установлено приложение, доступ можно будет восстановить с помощью повторного сканирования сетчатки глаза.

Приложение Worldcoin. Источник: https://worldcoin.org

Проект принадлежит Сему Альтману, генеральному директору OpenAI, компании, разработавшей ChatGPT.

В Украине пока, что получить World ID невозможно, но приложение уже доступно.

Будет ли World wallet безопаснее холодных аппаратных криптокошельков с возможностью восстановления доступа к криптоактивам, покажет время, но идея заслуживает внимания.

Когда государство узнает о владельцах холодных криптокошельков

Некоторые аналитики предположили, что причиной серьезных изменений в политике Ledger (возможность доступа других пользователей к сид-фразе) могло стать желание компании не допустить разногласий с регуляторами, стремящимися сделать крипторынок абсолютно прозрачным.

20 апреля 2023 г. Европарламент принял регламент MiCA, охватывающий регулирование многих составляющих криптоиндустрии в Евросоюзе. В тот же день ЕС принял регламент информации, сопровождающей переводы средств и виды определенных криптоактивов.

В полном объеме эти регламенты будут введены в действие в январе 2025 года. Что они предполагают:

  • Операции с криптоактивами будут отслеживаться так же, как и традиционные денежные переводы.
  • Компании, предоставляющие услуги, связанные с криптоактивами, должны проводить идентификацию клиента (ФИО, дата рождения, место рождения, адрес проживания).
  • Компании, предоставляющие услуги, связанные с криптоактивами, должны будут убедиться, что клиент не подпадает под действие санкций.
  • Компании, предоставляющие услуги, связанные с криптоактивами, должны будут хранить персональные данные.
  • Компании, предоставляющие услуги, связанные с криптоактивами, должны будут передавать персональные данные вместе с транзакцией.
  • Транзакции между физлицами с использованием некастодиальных (холодных) кошельков на сумму свыше 1000 евро потребуют проверки владельца кошелька.
  • Регламенты не регулируют способы и место хранения ключей доступа для некастодиальных кошельков.

Регламент MICA — один из наиболее значимых и глубоких документов в области регулирования виртуальных активов, фактически положит конец анонимности в мире цифровых активов. Украинские законотворцы подстраивают Закон о виртуальных активах под эти регламенты, так что уже сейчас можем понимать, что нас ожидает.

С большой вероятностью, подобные законы будут приняты в большинстве стран мира.

Где хранить фразу

Проблему безопасности сохранения активов на холодных криптокошельках должен решать пользователь.

Последние события показывают, что компании выпускающие аппаратные кошельки не являются «искренними» со своими клиентами, а защита, которую они продают, имеет пробелы. Поэтому тем, кто заботится о безопасности своих цифровых активов, остается только один достаточно надежный способ сохранения сид фразы — металлические капсулы или пластины. Они защищают скрытую информацию от механических повреждений, огня, воды и коррозии. Благо — выбор есть, но есть и недостаток — сидовая фраза хранится в таких устройствах в незашифрованном виде.

Наиболее популярными металлическими устройствами для сохранения сид фразы являются:

  • Cryptotag Zeus (титан).
  • Cryptosteel Capsule (нержавейка).
  • Keystone Tablet Plus (нержавейка).
  • SafePal Cypher Seed Board (нержавейка).
  • Privacy Pros Billfodl (нержавейка).

Обойдется такое удовольствие не менее $80.

Комментарии - 5

+
+44
neverice
neverice
7 июня 2023, 19:22
#
20% втрат говорять самі за себе. Якщо сума в крипті невелика — то нащо заморочуватись. Якщо велика — то краще не зберігати її в крипті. Для любителів сховати свої заощадження від моніторингу більшість розвинених країн давно ввела моніторинг витрат та підтвердження походження коштів.
В інших же випадках — значно надійніше і зручніше мати рахунок в офшорі.
+
+61
parseval
parseval
7 июня 2023, 19:52
#
В криптогаманке???криптогаманцев??? ви вже визначіться або криптогаманцев або криптогаманців. Хоча б вичитували ледь перед публікацією.
+
+27
user mf
user mf
7 июня 2023, 19:55
#
Десь 2−3 дн. назад я писав, і ще раз — у нас всіх є час до кінця 24 р. аби вивезти (в разі потреби) «…все что нажито непосильным трудом…», тобто до дати вступу в дію МіСА. А далі - «конець» всім сподіванням. Щодо зберігання сід-фрази — ну ви ще б запропонували яму викопати — покласти туди титанову капсулу і бетоном залити, а як же потім переховувати? (із серії: «…тіха українськая ночь…»). Вважаю, що кожен робить це простіше — копіює на декілька носіїв (ну, якщо спиш погано — одну з флешок можна в сейф…)
+
+1
Три літри
Три літри
8 июня 2023, 7:32
#
Знов брехливий заголовок якій не має відношення до суті статті.

Регламент який згадується наприкінці міг би трохи виправдати заголовок якби вимоги зазначені у ньому можна було реалізувати. Але принаймі ось ці два пункти повністю ігнорують реальний стан речей і не можуть бути виконані.

* Компанії, що надають послуги пов’язані з криптоактивами, повинні будуть передавати персональні дані разом з транзакцією.
* Транзакції між фізособами з використанням некастодіальних (холодних) гаманців на суму понад 1000 евро потребуватимуть перевірки власника гаманця.
+
+1
oleg990
oleg990
14 июня 2023, 9:56
#
Навіть якщо виключити питання регулювання, металева резервна копія дає спокій і впевненість у безпеці коштів. Я сам використовую Cryptosteel Capsule, і це просто працює. Хоча на створення резервної копії потрібно витратити 20 хвилин і перевірити її варто уважно.
Чтобы оставить комментарий, нужно войти или зарегистрироваться