Topic: Ledger recover saçmalığı (Read 239 times)

Donanım cüzdanlar için onay mekanizmasını cep telefonu üzerinden gerçekleştirmek onları sıcak cüzdan haline getirir. Banka hesabınızdan daha güvenli yapan şeylerden birisi bu özellik zaten onu ortadan kaldırdığınızda bir tx'in geri döndürülme olasılığı da olmadığı için (sizin cüzdanınızla ilgili bir sorun oldu diye bloklar geri alınmayacak yada zincir forklanmayacak) cüzdanın banka hesabından neredeyse farkı kalmayacak.

Cep telefonlarından oluşturulan çeşitli donanım cüzdan denemeleri var fakat bunların çoğu offline ve internete bağlanmayan cihazlar. Ancak bu şekilde dediğiniz olabilir ama kim 2 cep telefonu taşımak ister. Ledger Stax gibi yeni nesil cüzdanların bile gereğinden abartılı ve getirilerinden daha fazla hacim getirdiğini düşünüyorum. Donanım cüzdan işlevini kaybetmediği sürece ne kadar küçük o kadar iyi.

Bu keylerin yazıcıdan çıktısının alınması bile aslında kendi içinde bir güvenlik riski değil mi? İleride belki sırf bu konu için fiziki depolama sağlayabilecek hizmetler çıkabilir. Cüzdanlarda 2FA tarzı bir şey gelir ya da bilemiyorum. Fakat şu anki sistemin gelişmesi gerektiği şart.

Hatta bankacılıktaki gibi. Cüzdan içerisindeki işlemin telefondan onaylanması çok mantıklı ve güzel olabilirdi.

Safepal'in en büyük handikapı metamask v.b. ile entegre olmasının aşırı çetrefilli olması. Hocam donanım cüzdan metamask ne alaka diyeceksiniz fakat ben donanım cüzdanları iki farklı şekilde kullanıyorum. Bir seed tamamen hiç bir platforma bağlanmamış şekilde bir seed metamask v.b. online ortamlarda işlem gerçekleştirmek üzere. Safepal büyük oranda sadece ilk görevi görebiliyor.

Almayı dusunuyordum geçenlerde dünyaya tüm kargo ucretsizdi bu konu geldi vazgeçtim böyle saçmalık olmaz.

Safepala daha da aşık oldum tamamen offline alet

Ledger nano s plus kullanıcısıyım. Manuel izne bağlıysa vermeyeceğim. Ama yine de insanın aklında bir soru işareti oluyor.

Yani bunu bastırarak söylemeleri çok güzel ama gerçekten böyle olacak mı? Bilmiyorum ben şu sıralar çok paranoyak moddayım. Her gün telefonuma onlarca kumar sitelerinden, free spin mesajları geliyor ve bugüne kadar hiç bir siteye bu şekilde bağlanma yoluna, oyun yoluna gitmemiştim. Diğer yandan beklenmedik mesajlar ile gün boyu karşılaşmak normalleşedursun, zırt pırt ortaya çıkan siyasi aramalar da cabası. Birileri bir şeylere ulaşmak isterse yazılım ile bu çok kolay bir hal alıyor. Ledger’i güvenlik için kullanıyoruz böyle bir aksiyona gerek var mıydı? Bence gereksizdi.

Siteyi incelediğimde 2 farklı işletim sistemi yapıp bunları tekrar tekrar güncellemenin maliyetli olduğunu söylemişler. Bu yüzden ana ledger işletim sistemine böyle bir güncelleme atmayı tercih etmişler. Ayrıca ısrarla ifade ediyorlar ki manuel bir şekilde izin verilmedikçe bu işlem gerçekleşmiyor. Yani evet gerçekleşme ihtimali bile kötü, tehlikeli ama içimizi rahatlatmaya yetti diyebilirim ben. Zaten kullanmayı düşünmüyordum. (Nano x kullanıcısıyım)

16 mayısta yayınlanan nano x 2.2.1 güncellemesini geri çekmişler. Sanırım bu güncellemeyle devreye girecekti.
nano s lerde recovery mümkün değil sanırım.

sitesinde yazılan:

Şu anda Ledger Recover, Ledger Nano X ile uyumludur. Yakın gelecekte Ledger Nano S Plus ve Ledger Stax ile de uyumlu olacaktır.

⚠️ Ledger Recover, Ledger Nano S ile uyumlu değildir.

https://support.ledger.com/hc/en-us/articles/9579368109597-Ledger-Recover-FAQs?docs=true

Gelen yoğun tepkiler sonucunda recover olayını ertelemiş görünüyorlar. Yapılabiliyor olması bile yeterince güven kaybına sebep oldu. Yakında her donanım cüzdan donanım cüzdan değildir gibi bir sloganın çıkmasına sebep olabilirler.

bir şey hem güvenli hem pratik olmaz , çok güvenli sistemler zahmetli şekilde çalışırlar kırılmaları da zor yada imkansız olur, pratik bir sistem yaparsanız da güvenlik sorunu olduğunda herşey hızlıca çalınabilir. Windowsa girişte şifresiz girebilirsiniz , gayet pratik olur ama macintosh şifre ister , olur da bilgisayar başından kalkarsanız tekrar geri döndüğünüzde o şifreyi girmeniz gerekir, linux ta da benzer şekildedir. Ama mac ini tamire veren bir bayan görmüştüm şifresi 12345 zaten demişti yani windows kafasında güvenliği bypass etmiş biriymiş . Pc de çok güvenli iş yapmanız lazımsa pratiklikten vazgeçip mac yada linux kullanmanız lazım. Ama insanlar güvenlikten anlamadıkları için firmaları pratik yöntemlere zorluyorlar. Windows bilmiyor mu şifreyi zorunlu tutmayı, biliyor ama çok aptal olduğundan ve güvenlik ihtiyacı olmayan çok pc olduğundan o pazara hitap için pratik yöntemi seçiyor. Saçma sapan bir dosya yönetici izni alıp her .oku yiyor windowsta sonra dosyalar şifrelenip btc isteniyor mail ile, ağlayarak gelen o tiplerin hepsi windows kullanıcıları işte.
 Ledger da yaygınlaştıkça oldukça güvenli olması gereken sistemini kullanıcı eliyle pratik bir hale getirilmeye zorlanıyor, onlarda bunu yaptıkça mac ten windowsa doğru geçip olası ihlallerin önünü açıyorlar. Donanım cüzdanı alınca onu geliştiren firmaya güvenmiş oluyorsunuz yani mantığına güveniyorsunuz ama mantıkları windows gibi olmaya başlayınca korkutuyor doğal olarak. Açık kaynak olsa firma ne yapıyor her güncellemeyle görürdük ama o zaman da hacklenme olasılığı yüksek olurdu orası da iki ucu shit değnek kıvamında.Şimdi yanlış anlamadıysam Nano X için mümkünmüş bu şifre saklama durumu fakat diğer cüzdan tipleri de teknik olarak bunu yapabiliyor olabilir firma şimdi bize demiyor ama dünde hiç öyle yapılmaz diyordu , binance ın mail 2fa yöntemiyle başvurduğu bu salaklık ile ledger in yaptığı satış birbiriyle yarışır halde.
  Ayrıca firma private keye (seed) erişebiliyorsa milletin parası firmanın insafına kalmış demektir, borsadan ne farkın kaldı, 100 milyar dolar emanette duruyordu cüzdanlarda firmada birisi bu parayı gözünü karartıp almak isteyebilir, milyar dolarlık borsalar milletin parasıyla kayboldular. ben SSS yöntemini organik olarak kullanıyorum zaten şifrelerimi kısmen güvenli şekilde dağıtıp saklayabilirim bunu akıl edemeyecekler için firma biz yapalım diyor. Kolaylık sağlayıp güvenlikten feragat ediyor. Yönetimleri en azından ledger dumb diye bir donanım cüzdanı çıkartıp sadece bu cüzdana yapıyoruz zaten diğerlerinden private key ve seedler alınamaz diyebilirlerdi ama yok mevcut müşterilerden 9 dolar almak lazım. Aptallar yüzünden akıllılar acı çekiyor yine.

aynen öyle olmuş. trezor daha güvenilir gibi ama o da çok kullanışsız.

Cihazdan seed keyler bir şekilde alınabilir olduğu sürece aslında içindekileri dondurmak için sizin onaylamış olmanıza da gerek yok. Bunu tercihe bağlı olarak yayınladıkları gibi zorunluya da diledikleri zaman evrilebileceği ortaya çıkmış oldu. Elimde 3 tane Ledger donanım cüzdan var, bir çok kişiye çeşitli kampanyalar aracılığıyla hediye ettim ama maalesef artık ölü bir cüzdan.

Gerçekten çok sıkıntılı bir durum oluşmuş. Yüklü fon tutan ledger kullanıcılarının dikkatli olması gerekiyor.



Soru:
"Şeytanın avukatını oynayacak olursak, hükümet Ledger veya üçüncü taraflara bir mahkeme emri çıkarırsa, Ledger'a erişmek için Recover kullanılmasını sağlayabilir mi"

Murzika'nın cevabı: (Ledger Co-Founder)

"Eğer Recover kullanıcısıysanız o zaman evet, hükümet onları mahkeme emriyle çağırabilir ve fonlarınıza erişebilir.

Recover kullanmak size kolay bir geri yükleme seçeneği sunar ancak varlıklarınız hükümet tarafından dondurulabilir."

yani bunu okuyup Ledger cüzdanı güvenli olarak kabul etmek ne kadar doğru bilemedim.

Okuduğum hiçbir haberde bu riskten bahsetmemişlerdi baya şaşırdım böyle bir durum olmasına. Bu konuda tepki gelmesi oldukça normal o zaman. Ledger sahibi olarak ben de çok rahatsız hissettim eğer seed lerimizin kesin bir şekilde offline kalabileceğine güvenemeyeceksek soğuk cüzdan kullanmanın ne anlamı kalır? Yüklerim electrum u geçerim yani. Garip. Ledger bu işten geri adım atar umarım o yazılımsal destek de tamamen devre dışı kalmış olur.

Şu ana kadar bilinen kullanılan çip aracılığı ile seed keylere erişilemeyeceği yönündeydi. Yeni özelliğin duyurulmasıyla birlikte aslında ledgerin dilediği zaman bir güncelleme yayınlayarak seed keylere erişebileceği itiraf edilmiş oldu. Şimdilik opsiyonel sunmuş olsalar dahi ledger tarafından yayınlanan güncellemeler open source olmadığı için içeriği bilmeden yüklüyoruz ve bu güncellemelerin birinde dilediklerini yapabilir hale geliyorlar. Yani özelliğin opsiyonel olması ledger tarafında ciddi bir açığın olduğu gerçeğini değiştirmiyor.

Bence bu durum gerçek bir saçmalık bu kesinlikle doğru ama neden müşteri kaybedeceklerini anlayamadım. Bu zaten opsiyonel bir hizmet beğenmeyen kullanmaz. Benim de dikkatimi çekti hatta ben de ilk anda ha siktirin tepkisi çektim ama 1000 dolar falan gibi nispeten küçük parasını koruyacak Amerikan için bu hizmet gayet mantıklı gelecektir. Ha biz Türkler bu konularda ihtiyatlıyız (altını bile fiziki alıyoruz) bizim için anlamsız. Ücret ödeme işi ağır saçmalık o ayrı konu. Bunun yerine tamamen offline sikko bir nokia cep telefonuna private key yazılsa daha kötü olmaz hani.

Sadece kasanın anahtarını başkasına emanet etmek değil emanet ettiğiniz kişiye ücret ödemeyi de ekleyin olayın vehameti çok daha fazla artıyor. Çok ciddi tepki alıyorlar. Ledger cihazlarını kıranlar, çöpe atanlar sosyal medyada paylaşım yapıyorlar. Bir zorunluluk olmasa bile seed keyin dışarı aktarılabileceği bir mekanizma kurulmuş olması bile yeterli sebep. Rekabette öne geçmek için yapılmış yanlış hamleler sıralamasında ön sıraları zorlar.

Kasayı koruması için anahtarı başkasına emanet etmekle eş değer bir durum ortaya çıkmış. Hele ki kripto gibi kurtlar sofrasının ortasında koyunu kurda al da koru demek gibi. Keyleri başkasına güvenmek yapılacak en son hata olmalı.

Soğuk cüzdan ledger kullanıcılarına yeni bir hizmetini duyurdu. Kullanıcılar eğer isterlerse belirli bir ücret ödeyerek seed keylerini şifrelenmiş olarak API aracılığı ile farklı şirketlere gönderip onların korumasını sağlayabilecekmiş. Hayatımda gördüğüm en saçma olaylar listesinde zirveye yerleşmiş olabilir.

İnsanlar donanım cüzdanları seed keylerini başkalarıyla paylaşmamak, varlıklarını güvende tutmak için kullanıyor. Daha önce 2 kere veri sızıntısı (bilinen) yaşayan ledger hem seedleri API aracılığı ile gönderilebilir hale getiriyor hem de para verip seed keylerinizi başkalarına emanet etme seçeneği sunuyor.

Muhtemelen bunu bazı kullanıcıların 12/24 kelimelik seed keyleri koruyamaması sebebiyle yapıyorlar ancak bu ciddi bir güvenlik açığı.

Tehlikeli bir nokta daha var. Bu hizmeti kullanırken recover edebilmek için KYC benzeri bir kimlik onayından geçeceksiniz ve geri kurtarmak istediğinizde de kimlik kanıtı sunmanız gerekecek. Yani olası bir aracı kurum veri sızıntısında birileri seedleri ve kimlik bilgilerinizi ele geçirecek. Hangi cüzdanların size ait olduğunu doğrudan bulabilecek.

Bu saçmalıktan vazgeçmezlerse ciddi oranda müşteri kaybetmeye mahkumlar.