Kritik mot Hårdvaruplånböcker
Onchain-utredaren ZachXBT har kritiserat hårdvaruplånböcker och hävdat att användare inte bör förlita sig på dem för kritisk transaktionssignering eller för att lagra stora mängder kryptovaluta. I ett Telegram-inlägg beskrev ZachXBT hårdvaruplånböcker som ”fullständigt skräp” och rekommenderade att inte använda dem för viktiga uppgifter.
Rekommendationer och Kritik mot Ledger
Istället föreslog han att använda en separat iPhone som är helt dedikerad till att hantera kryptotillgångar. ZachXBT riktade sin starkaste kritik mot Ledger, en av de största tillverkarna av hårdvaruplånböcker, och kallade företaget för ”den värsta”. Han hävdade att frekventa uppdateringar av Ledger Live kan störa grundläggande funktioner.
ZachXBT menar att hårdvaruplånböcker är ”skräp”, med Ledger som den sämsta. Han, som är en av kryptovalutaindustrins mest framträdande onchain-utredare, anser att nuvarande hårdvaruplånböcker inte är lämpliga för att signera kritiska transaktioner eller lagra stora mängder tillgångar.
Han påpekade att Ledger Live får ”regelbundna uppdateringar för användargränssnitt och appar utan god anledning, vilket bryter enkla åtgärder.” Kommentarerna representerar ZachXBT:s personliga bedömning, och han har inte presenterat några bevis för att Ledger-enheter har drabbats av ett nytt säkerhetsbrott eller att deras skydd av privata nycklar har komprometterats.
Ledger Wallet och Säkerhetsåtgärder
Ledger har sedan dess döpt om Ledger Live till Ledger Wallet. Enligt företagets officiella versionsanteckningar släpptes Ledger Wallet version 4.8.0 den 11 juni med särskilda säkerhetsförbättringar, gränssnittsändringar och mindre buggfixar. Företaget fortsätter att främja hårdvarubaserad signering som ett sätt att hålla privata nycklar åtskilda från internetanslutna enheter.
Social Ingenjörskonst och Angrepp
Kritiken kommer i takt med att angripare fortsätter att rikta in sig på ägare av hårdvaruplånböcker genom social ingenjörskonst och falska applikationer. Dessa attacker involverar inte nödvändigtvis att bryta säkerheten för den fysiska plånboken själv. Som tidigare rapporterats av crypto.news förlorade en kryptoinnehavare mer än 282 miljoner dollar i Bitcoin och Litecoin i januari efter en social ingenjörskonst som involverade en hårdvaruplånbok.
ZachXBT rapporterade att angriparna snabbt flyttade de stulna medlen genom flera tjänster och konverterade en del av dem till Monero. Incidenten visade hur angripare kan rikta in sig på användare utan att direkt kompromettera den tekniska säkerheten för en hårdvaruplånbok. Social ingenjörskonst syftar istället till att övertyga offren att avslöja känslig information eller vidta åtgärder som ger brottslingar kontroll över deras tillgångar.
Bedrägliga Applikationer och Säkerhetsrisker
Ledger-användare har också drabbats av attacker som involverar programvara som utger sig för att vara officiella företagsprodukter. Sådana fall kan skapa säkerhetsrisker även när den fysiska hårdvaruenheten fortsätter att fungera som avsett. I april stal en falsk Ledger Live-applikation som listades på Apples App Store minst 9,5 miljoner dollar från mer än 50 offer på en vecka, enligt rapporter från crypto.news.
Den bedrägliga applikationen kopierade Ledger-varumärket och dök upp för användare som sökte efter företagets plånboksprogramvara. Offer rapporterade att de angav sina återställningsfraser i den falska applikationen, vilket gjorde att angriparna kunde få kontroll över deras plånböcker. De stulna tillgångarna inkluderade Bitcoin, Ethereum, Solana, Tron och XRP. Apple tog senare bort den bedrägliga applikationen från sin butik.
Alternativa Lösningar och Risker
ZachXBT:s rekommendation av en dedikerad iPhone skulle minska viss exponering kopplad till att använda en enhet för vardaglig surfning, meddelanden och annan onlineaktivitet. Men en smartphone är fortfarande beroende av sitt operativsystem, installerad programvara, säkerhetskopieringspraxis och användarens säkerhetsvanor.
Debatten handlar om olika tillvägagångssätt för kryptosjälvförvaring. Hårdvaruplånböcker fokuserar på att hålla privata nycklar isolerade från allmänna internetanslutna enheter, medan ZachXBT förespråkar strikt enskildhetsåtskillnad genom en telefon som endast används för kryptovaluta. I båda fallen kan användare fortfarande möta risker från phishing, falska applikationer, exponerade återställningsfraser och social ingenjörskonst.