Kritik af Hardware Wallets
Onchain-efterforsker ZachXBT har kritiseret hardware wallets og argumenteret for, at brugere ikke bør stole på dem til kritisk transaktionssignering eller opbevaring af store mængder kryptovaluta. I et Telegram-indlæg beskrev ZachXBT hardware wallets som “fuldstændig skrald” og sagde, at han ikke anbefaler at bruge dem til vigtige opgaver.
Specifik Kritik af Ledger
ZachXBT rettede sin stærkeste kritik mod Ledger, en af de største producenter af hardware wallets. Han kaldte Ledger “den værste” og hævdede, at hyppige opdateringer til Ledger Live kan forstyrre grundlæggende funktioner. ZachXBT siger, at hardware wallets er “skrald,” med Ledger som den værste.
ZachXBT, en af de mest fremtrædende onchain-efterforskere i kryptoindustrien, sagde, at han ikke anser nuværende hardware wallets for at være egnede til at underskrive kritiske transaktioner eller opbevare store mængder aktiver.
Han nævnte, at Ledger Live modtager “regelmæssige opdateringer til UI/apps uden god grund, der bryder enkle handlinger.” Kommentarerne repræsenterer ZachXBT’s personlige vurdering, og han fremlagde ikke beviser for, at Ledger-enheder havde lidt et nyt sikkerhedsbrud, eller at deres private nøglebeskyttelse var blevet kompromitteret.
Ledger Wallets og Sikkerhedsforbedringer
Ledger har siden omdøbt Ledger Live til Ledger Wallet. Ifølge virksomhedens officielle udgivelsesnoter blev Ledger Wallet version 4.8.0 udgivet den 11. juni med sikkerhedsforbedringer, ændringer af grænsefladen og mindre fejlrettelser. Virksomheden fortsætter med at promovere hardware-baseret signering som en måde at holde private nøgler adskilt fra internetforbundne enheder.
Social Engineering Angreb
Kritikken kommer, da angribere fortsætter med at målrette hardware wallet-ejere gennem social engineering og falske applikationer. Disse angreb involverer ikke nødvendigvis at bryde sikkerheden af den fysiske wallet selv. Som tidligere rapporteret af crypto.news, mistede en kryptoindehaver mere end 282 millioner dollars i Bitcoin og Litecoin i januar efter et social engineering-svindel med en hardware wallet.
ZachXBT rapporterede, at angriberne hurtigt flyttede de stjålne midler gennem flere tjenester og konverterede en del af dem til Monero.
Hændelsen viste, hvordan angribere kan målrette brugere uden direkte at kompromittere en hardware wallets tekniske sikkerhed. Social engineering forsøger i stedet at overbevise ofrene om at afsløre følsomme oplysninger eller tage handlinger, der giver kriminelle kontrol over deres aktiver.
Risici ved Falske Applikationer
Ledger-brugere har også stået over for angreb, der involverer software, der udgiver sig for at være officielle virksomhedens produkter. Sådanne tilfælde kan skabe sikkerhedsrisici, selv når den fysiske hardware-enhed fortsætter med at fungere som designet. I april stjal en falsk Ledger Live-applikation, der blev listet på Apples App Store, mindst 9,5 millioner dollars fra mere end 50 ofre på en uge, som rapporteret af crypto.news.
Den svigagtige applikation kopierede Ledger-branding og dukkede op for brugere, der søgte efter virksomhedens wallet-software. Ofrene indtastede angiveligt deres gendannelsesfraser i den falske applikation, hvilket gjorde det muligt for angriberne at få kontrol over deres wallets. De stjålne aktiver omfattede Bitcoin, Ethereum, Solana, Tron og XRP. Apple fjernede senere den svigagtige applikation fra sin butik.
ZachXBT’s Alternativ
ZachXBT’s forslag om at bruge en dedikeret iPhone ville reducere noget af den eksponering, der er forbundet med at bruge en enhed til daglig browsing, messaging og anden online aktivitet. Dog afhænger en smartphone stadig af sit operativsystem, installeret software, backup-praksis og brugerens sikkerhedsvaner.
Debatten handler om forskellige tilgange til krypto-selvopbevaring. Hardware wallets fokuserer på at holde private nøgler isoleret fra generelle internetforbundne enheder. ZachXBT foretrækker i stedet streng enhedsadskillelse gennem en telefon, der kun bruges til krypto. I begge tilfælde kan brugere stadig stå over for risici fra phishing, falske applikationer, eksponerede gendannelsesfraser og social engineering.