나노 시리즈 하드웨어 월렛을 만드는 렛저사가 요상한 짓을 하고 있네요.
그제인가 레딧에서 이 글을 봤었는데.. id베이스로 복구서비스를 한다고? 에헤.. 또 누가 스캠 메일을 받고 올렸군 했었는데.
헐... 이게 공식 구독서비스 라네요. 월 10불??
https://support.ledger.com/hc/ko/articles/9579368109597?docs=true
복구시드는 별도로 암호화 된후 3개로 쪼개져 별개의 회사가 관리하는 별도의 저장소에 보관되고 관리된다는데..
일단 알려진 바에 의하면 렛저 나노X에 최신펌웨어로 서비스를 이용할수 있고.
나중에 나노 S 플러스와. 신형 Stax도 지원예정이라고 합니다. 구형 나노S는 미지원.
유일한 복구 방법인 24 단어세트의 관리의 어려움을 분실시 영원한 손실.. 등을 이러한 구독서비스를 제공해서 해결해보려 한건알겠는데. 일단 백업절차가 어떤지는 모르겠는데. 음.. 원래 입력된 시드는 장치외부로 나오면 안되는 근본적인 룰이 깨진거 아닌지 싶네요.
설명을 보니. 해당 서비스를 이용하면 BIP39 스탠다드에 의해 TRNG를 통해 니모닉이 선택되고 이를 가지고 private키가 생성된후 내부의 보안칩에 저장되는데. 니모닉이 아닌 이 프라이빗 키를 암호화한 후에 shamir secret sharing를 통해 3개로 나눈다네요. 음. 선택해야만 쓸수 있다곤 해도 어쨋든 private키에 access가 된다는 소리인데..
음.. 서비스 런칭과 해당기능이 지갑에 탑재되는게 취소 되지 않으면 파장이 크겠습니다.
아놔.. 이러면 나가린데.. 접 그대로 런칭한다고 계속 억지 부리면 회사 망하는 수준일거 같은데 어제 나노 플러스 하나 주문한거 취소해야 하나요 ㅜ.ㅜ
저런 서비스가 나오면 반기는 사람들도 있겠다 싶긴 한데 아예 제품군을 다르게 하지.
굳이 어려운길 알아서 가는 사람들에게 근본적인 룰을 깨는 짓을 하는건 이해가 안되네요.
다들 눈에 불을 켜고 해킹하려 들겠네요
지들탓에 털려도 고작 5만불까지만 보상
저번에 ledger 본사가 사용자들 개인정보 털린것도 그렇고
저 씨드 구문 저장 서비스도 얼마 안가서 마찬가지로 털릴테니
ledger 지갑 몇개 있는거 지금 당장 바꿔야 겠네요.
개인적인 심정으로는 안타까울뿐입니다. 잘 마무리 되었으면 좋겠는데. 전 좀더 지켜보려구요.
여차하면 구형 나노S 를 메인으로 써야될수도 있겠네요.
그런데 사람들이 분노하는 부분은 그동안 렛저가 계속 강조한게. "당신의 키는 절대 렛저 밖으로 나오지 않습니다." 였는데. 그걸 그냥 깨버린거거든요. 위에도 말씀 드렸지만 키 관리가 쉽지 않아 저런 방식이 어쩌면 미래의 키 관리방식이 될수도 있겠다 싶기도 한데.
기존 제품을 저렇게 변경할게 아니라.. 아예 다른 제품군으로 냈으면 이정도 충격은 없었을거 같거든요.
사실 동작방식을 보면 공격자가 리버스엔지니어링이나 기타 공격을 통해 키를 유출할수 없을뿐이지 정상적인 사용방법상으로는 정해진 절차에 따라 키에 접근이 가능하거든요.
렛저는 오픈소스도 아니어서 일정부분 제조회사를 어느정도 신뢰(렛저 본사는 또 별도의 기관에서 감사를 받지만)하고 사용해야 하는 부분도 있긴한데. 암튼 어려분 부분인거 같습니다.
개인적으로는 렛저를 그냥 사용할수도 있지 않나 싶긴 하지만 - 부득이한 경우 구형 나노S를 메인으로 - 주변에 맘놓고 추천을 할수 있을지 모르겠습니다.
이번 이슈 많이 관심있게 보고 있습니다.
렛저나노s는 그냥 써도 될것 같습니다.
매우 공감합니다. 이 서비스를 신청하지 않아도 본인의 렛저 시드가 (암호화된) 밖으로 나올수는 있다는 말이겠죠 ..
트위터와 레딧을 보니 렛저를 해머로 부수고 토치로 지지고 버리고 난리났네요 ..
이정도면 다시 주워 담고 다시 생각해볼만한데. 기술적인 부분만 강조해서 문제가 없다고 계속 공식적으로 이야기 하니 엔지니어가 회사를 운영하면 저렇게 되는건가 ? 하는 생각이 드니 무섭습니다.
회사 사정이 어떤지는 알수가 없는데 새로운 신규 수익모델이 절실했던 모양인데. ㅠ.ㅠ