Μέχρι χθες γνωρίζαμε πως τα «κρύα» (hardware) πορτοφόλια, τύπου Ledger, Trezor κ.λπ., είναι απολύτως ασφαλή και απαραβίαστα. Και πράγματι είναι. Υπό προϋποθέσεις. Γιατί και εκεί χρειάζεται προσοχή και επαγρύπνηση. Αποδεικνύεται από την παραβίαση ενός πορτοφολιού της εταιρείας Ledger, με αποτέλεσμα 1,33 Bitcoin αξίας 30.000 ευρώ, να κάνουν… φτερά για άλλες πολιτείες (διευθύνσεις).
Τι ακριβώς συνέβη; Κατ' αρχάς να εξηγήσουμε τι είναι τα hardware πορτοφόλια. Είναι συσκευές που μοιάζουν με ένα συνηθισμένο USB στικάκι που συνδέεται με τον υπολογιστή και οι οποίες αποθηκεύουν τις λέξεις-κλειδιά της διεύθυνσης των κρυπτονομισμάτων των κατόχων τους. Το πλεονέκτημά τους βρίσκεται στην αυξημένη κρυπτογραφία και ότι δεν είναι συνέχεια on-line, όπως τα «ζεστά» πορτοφόλια που βρίσκονται στο κινητό ή στον υπολογιστή.
Μέχρι τώρα γνωρίζαμε πως οι παραβιάσεις τέτοιων πορτοφολιών γίνονται σε περιπτώσεις απόκτησης δεδομένων από απροσεξία των κατόχων, οι οποίοι τα μεταβιβάζουν συχνά χωρίς να το αντιλαμβάνονται. Για παράδειγμα δεν θα πρέπει ποτέ, μα ποτέ, να εμπιστευτούμε μία συσκευή η οποία δεν έχει προέρθει κατευθείαν από τον παραγωγό. Γιατί; Υπάρχει η πιθανότητα ο ενδιάμεσος έμπορος να την έχει «πειράξει». Κάποιοι άλλοι, παριστάνοντας πως εκπροσωπούν τη Ledger, προθυμοποιούνται να σου αλλάξουν δωρεάν τη συσκευή με μια «εξελιγμένη», δωρεάν.
Πού βρήκαν τα στοιχεία των ιδιοκτητών Ledger συσκευών; Από τα ίδια τα δεδομένα της εταιρείας, τα οποία κλάπηκαν από χάκερ τον Δεκέμβριο του 2020 και άρχισαν να διαρρέουν ελεύθερα στο Internet. Δυστυχώς οι απατεώνες γίνονται όλο και πιο εφευρετικοί. Βέβαια η διαρροή των δεδομένων δεν επηρέασε άμεσα την ασφάλεια του πορτοφολιού. Ωστόσο οι κάτοχοι των συσκευών έγιναν ευάλωτοι σε επιθέσεις με τη μορφή phishing και ενδεχομένως σε εκβιασμούς.
Στη συγκεκριμένη περίπτωση που αναφέραμε στην αρχή, η συσκευή είχε πειραχθεί εσωτερικά με τέτοιο τρόπο, έτσι ώστε να δώσει στους επιτιθέμενους συνολικά 1.280 επιλογές, για να ανακαλύψουν το «κλειδί». Το πορτοφόλι κρυπτονομισμάτων φαινόταν να λειτουργεί ως συνήθως, αλλά από την αρχή οι απατεώνες είχαν τον απόλυτο έλεγχό του.
Αναστάτωση στην κρυπτοκοινότητα
Στη Ledger έπεσαν τα φώτα της δημοσιότητας χθες και για έναν άλλο λόγο. Η νεότερη ενημέρωση λογισμικού (firmware) 2.2.1 του Nano X αποδείχτηκε προβληματική, καθώς περιλαμβάνει μια επιλογή όπου μπορεί να δημιουργήσει αντίγραφο για την φράση-κλειδί (seed phrase) που δίνει πρόσβαση στα χρήματά σας. Όπως αναφέρουν προβληματισμένοι χρήστες της κρυπτοκοινότητας στο twitter, είναι τουλάχιστον περίεργο να τους ενθαρρύνει η εταιρεία να γίνουν συνδρομητές σε μια υπηρεσία που βάζουν τις λέξεις-κλειδιά στο Internet.
Το θέμα περιπλέκεται ακόμα περισσότερο, καθώς η εγγραφή στη συνδρομητική υπηρεσία Ledger Recover, την οποία σκοπεύουν να χρεώσουν 9,99 δολάρια τον μήνα, απαιτεί επίσημα έγγραφα όπως το Διαβατήριο ή την ταυτότητα σε μια σειρά από χώρες όπως ΗΠΑ, Ευρωπαϊκή Ένωση, Ηνωμένο Βασίλειο, Καναδά. Τι υπηρεσία είναι αυτή; Ανάκτησης «κλειδιού» που βασίζεται σε αναγνωριστικά και παρέχει ένα αντίγραφο ασφαλείας για την ανάκτηση της μυστικής φράσης.
Με άλλα λόγια, η Ledger ζητάει από τους χρήστες της να της πληρώσουν 9,99 δολάρια για να κρατήσουν τα ιδιωτικά «κλειδιά» στους διακομιστές (servers) τους! Για ποιο λόγο; Για να τους βοηθήσουν στην ανάκτηση των «κλειδιών», αν χρειαστεί. Από τη Ledger ισχυρίζονται πως η υπηρεσία είναι ασφαλής, καθώς διαμοιράζονται τα δεδομένα σε τρεις διαφορετικές οντότητες. Κάθε κομμάτι είναι άχρηστο από μόνο του και μπορεί να αποκρυπτογραφηθεί μόνο σε ένα Ledger.
Ο προβληματισμός και η δυσπιστία έχει βάση. Πέρα από το ποιος στα αλήθεια μπορεί να είναι σίγουρος, ο διαμοιρασμός έστω και με αυτό τον «ασφαλή» τρόπο, υπονομεύει το νόημα της αυτοεπιμέλειας. Ότι είσαι ο αποκλειστικός κάτοχος του πλούτου σου, χωρίς να απαιτείται θεματοφυλακή. Μπορεί να θεωρείται από κάποιους μειονέκτημα ότι αν χάσουν τις λέξεις-κλειδιά να χάσουν για πάντα, με μη ανακτήσιμο τρόπο, την πρόσβαση στα χρήματά τους, αλλά έτσι διασφαλίζεται ότι κανείς άλλος δεν μπορεί να ελέγξει, να παγώσει, να κατασχέσει, να αρπάξει τα νομίσματά σας.
Γιατί το κάνανε τότε; Είναι τρελοί; Επειδή με αυτόν τον τρόπο επιχειρούν να λύσουν το υπαρκτό και σοβαρό ζήτημα της φύλαξης των λέξεων-κλειδιά. Όπως γνωρίζουμε, αν χάσεις τις λέξεις, έχασες και τα χρήματα σου. Επίσης είναι το πρώτο βήμα για να δώσει διέξοδο και σε ένα άλλο υπαρκτό και σοβαρό πρόβλημα: τι γίνεται όταν κάποιος φεύγει από τη ζωή. Πως μπορούν να βρουν τα νομίσματα οι κληρονόμοι του. Ωστόσο, όπως έχουμε εξηγήσει πολλές φορές «not your keys, not your coins».
Η συνδρομή βέβαια είναι προαιρετική. Από ό,τι εξηγούν από την εταιρεία, όποιος επιθυμεί, μπορεί να συνεχίσει να διαχειρίζεται μόνος του τη φράση ανάκτησης, χωρίς να χρειάζεται να τη μοιραστεί με κανέναν. Ωστόσο οι αντιδράσεις από πολλά μέλη της κρυπτοκοινότητας δείχνουν πως η Ledger έβαλε ένα… επικό αυτογκόλ, όσον αφορά την αξιοπιστία της, καθώς πολλοί δεν κρύβουν πως σκέφτονται να εγκαταλείψουν την εταιρεία και τα προϊόντα της.
Τα νέα της αγοράς
Η αναστάτωση που προκλήθηκε με αφορμή τα περιστατικά που σχετίζονται με τη Ledger δεν επηρέασαν την τιμή του Bitcoin. Όπως παρατηρούμε στο 4ωρο διάγραμμα, η τιμή βρίσκεται στο κρίσιμο τεχνικά επίπεδο των 27.300 δολαρίων, αναποφάσιστη. Δεν τη βοήθησε να αποφασίσει ούτε το αμερικανικό χρηματιστήριο, παρά την υποχώρηση κατά 1% του δείκτη Dow Jones στη χθεσινή συνεδρίαση.
Σεμινάρια και βιβλίο για τα κρυπτονομίσματα
https://shop.media2day.gr/seminars/1/prodcategory
Το βιβλίο «Το επενδυτικό εγχειρίδιο του Bitcoin» μπορείτε να το προμηθευτείτε από το
https://shop.media2day.gr/books/2/prodcategory
Ο νέος κύκλος σεμιναρίων που οργανώνει το euro2day.gr περιλαμβάνει τα εξής:
Επενδύσεις και trading στα κρυπτονομίσματα
https://shop.media2day.gr/seminars/trading/3/prodcategory
Εισαγωγή στο Bitcoin και στα cryptos
https://shop.media2day.gr/seminars/crypto/4/prodcategory
Προστασία κινητού και υπολογιστή για όλους
https://shop.media2day.gr/seminars/cybersecurity/5/prodcategory
Κρυπτονομίσματα & Cyber Security
https://shop.media2day.gr/seminars/cryptosecurity/6/prodcategory
* Το άρθρο δεν αποτελεί προτροπή για αγορά ή πώληση των αναφερόμενων τίτλων. Παρέχεται για πληροφοριακούς σκοπούς και μόνο.