Problem przechowywania aktywów cyfrowych jest jedną z kluczowych przeszkód w masowym przyjmowaniu i wdrażaniu kryptowalut do naszego codziennego życia w istniejącym systemie finansowym. Dobrze znane zdanie przedsiębiorcy Andreasa Antonopoulosa, który jest jednym z najbardziej znanych zwolenników kryptowalut i technologii blockchain, brzmi: „Nie twoje klucze, nie twoje bitcoiny”. Trudno się z nim nie zgodzić, gdyż pośrednikami są scentralizowane giełdy i usługi opiekuńcze, których sama obecność jest sprzeczna z pierwotną ideologią ekonomii P2P. Od kilku lat różne zasoby medialne zapewniają nas, że jednym z najbardziej niezawodnych i wygodnych sposobów przechowywania monet jest korzystanie z portfeli sprzętowych. W tym artykule przyjrzymy się dokładności tego stwierdzenia.

Co to jest portfel sprzętowy?

Portfele sprzętowe w rzeczywistości nie przechowują twoich aktywów. Dostęp do kryptowalut bez klucza prywatnego jest nadal niemożliwy. Portfel sprzętowy to nic innego jak fizyczne, elektroniczne urządzenie do bezpiecznego przechowywania kluczy prywatnych, a jednocześnie umożliwia użytkownikowi łatwy dostęp do jego monet i tokenów. W tej chwili na rynku obecnych jest wiele takich urządzeń. Jednak wszystkie są zaprojektowane do wykonywania tych samych funkcji, takich jak tworzenie nowych kluczy prywatnych w trybie offline (w samym urządzeniu) i niezawodne przechowywanie tych kluczy. Najpopularniejszymi portfelami kryptowalut do tej pory są urządzenia Ledger i Trezor. I chociaż firmy nie ujawniają statystyk sprzedaży swoich produktów, usługa analizy internetowej SimilarWeb podaje, że stronę sklepu internetowego Trezor odwiedza 150 – 200 tysięcy osób miesięcznie, a odpowiednio 400 tysięcy osób odwiedza stronę Ledger. Warto również zwrócić uwagę na gwałtowny wzrost frekwencji sklepu internetowego Ledger w maju 2020 roku, która sięgnęła 720 tys. Osób. Może to wskazywać na lepsze przygotowanie Ledgera do wyjścia z okresu kwarantanny.

Poziom bezpieczeństwa Ledger, Trezor i ich konkurentów

Napisano wiele artykułów o portfelach sprzętowych kryptowalut, ich cechach, zaletach i innych metodach przechowywania aktywów kryptograficznych. Wielokrotnie zadawano pytania dotyczące różnych luk w zabezpieczeniach tych urządzeń i związanych z nimi zagrożeń bezpieczeństwa. Chcielibyśmy jednak skupić się na innym często zadawanym pytaniu, graniczącym z teoriami spiskowymi: jak po otrzymaniu i zapisaniu frazy seed portfela (kod mnemoniczny do generowania i przywracania kluczy prywatnych) można mieć 100% pewności, że tylko klucze prywatne należy do nich? Jeśli zagłębisz się w to pytanie, stanie się jasne, że nie ma żadnych gwarancji. Co się stanie, jeśli podczas łączenia się z Internetem lub aktualizacji oprogramowania sprzętowego urządzenie, które ma chronić nasze klucze prywatne, faktycznie prześle frazę początkową do bazy danych producenta lub nawet dostarczy nam frazę z pamięci przygotowaną wcześniej?

Producenci urządzeń uporczywie mówią nam, że klucz prywatny nigdy nie opuszcza portfela. Ale nie ma sposobu, aby to zweryfikować. W końcu prawie wszystkie nowoczesne portfele sprzętowe mają w oprogramowaniu elementy z zamkniętym kodem. Tym samym hakowanie urządzenia sprzętowego jest praktycznie niemożliwe, ale jednocześnie nie ma gwarancji, że producenci są faktycznie po naszej stronie i nie zbierają poufnych danych.

Dlaczego wszystko sprowadza się do zaufania?

Obecnie większość producentów portfeli sprzętowych polega na swojej reputacji i audytach bezpieczeństwa stron trzecich, aby promować swoje produkty, skutecznie je sprzedawać i pozycjonować jako bezpieczne. Jednak pojawia się pytanie, jak wiarygodne są te certyfikaty bezpieczeństwa. Producenci zwracają uwagę, że certyfikacja jest testowana tylko w odniesieniu do zestawu z góry określonych scenariuszy i nie zastępuje niezależnej weryfikacji.

Jest to analogiczne do kluczy administratora dla DeFi i całkowicie staje się kwestią zaufania. Użytkownicy muszą ufać zarzutom producentów, że urządzenie jest rzeczywiście bezpieczne, że hakerzy nie wymyślili sposobu na jego złamanie, a osoby trzecie obecne w łańcuchu dostaw komponentów nie wprowadziły żadnych backdoorów. Jesteśmy przekonani, że portfel zawiera zadeklarowane elementy bezpieczeństwa i może zapewnić niezawodność, za którą płacimy. W żaden sposób nie możemy rozwiązać tej kwestii zaufania.

Możemy zweryfikować część kodu open source, ale nie będziemy mieli żadnych dowodów na to, że firmy nie gromadzą naszych poufnych danych. O teoriach spiskowych można mówić tyle, ile im się podoba, ale wszystko sprowadza się do tego, czy ufasz konkretnej firmie. Moglibyśmy również spróbować zwiększyć poziom zaufania, zadając przedstawicielom firmy jak najwięcej pytań, w tym prowokacyjnych, i wyciągając wnioski na podstawie ich reakcji na te pytania. Ten problem można częściowo rozwiązać, mając pewną wiedzę, więc jedynym sposobem jest po prostu zebranie maksymalnej możliwej ilości dodatkowych informacji, aby zdecydować, czy zaufać danemu programistowi. Sami producenci twierdzą, że tworzenie oprogramowania open source jest trudne pod względem kosztów, aspektów technicznych, patentów i czasu.

W rezultacie prawdopodobnie pojawią się pierwsze bezpieczne elementy portfela sprzętowego o otwartym kodzie źródłowym jeszcze kilka lat. W takim razie, w jaki sposób Ledger i Trezor są bardziej niezawodne niż Binance i Coinbase? Największe giełdy mają również swoją reputację, audyty bezpieczeństwa i pokaźne fundusze ubezpieczeniowe na wypadek włamań i kradzieży środków. Jednocześnie depozyty klientów usługi powierniczej BitGo są chronione programem ubezpieczeniowym, zapewnianym przez Lloyd’s of London.

Czy poczekamy na kod open source i jak długo może to potrwać?

Licencjonowanie narzędzi wymaganych do tworzenia portfeli sprzętowych typu open source do przechowywania kryptowalut jest kosztownym procesem i bardzo czasochłonnym celem, zwłaszcza przy porównywaniu bezpieczeństwa zainstalowanych bezpiecznych elementów. Nie wiemy jeszcze, które firmy mają potencjał i dysponują środkami niezbędnymi do takiej transformacji. Na razie możemy jedynie stwierdzić, że niezawodność portfeli sprzętowych kryptowalut jest mocno przesadzona. Potrzeba będzie jeszcze kilku lat i znacznych zasobów, aby oprogramowanie tych urządzeń stało się tak otwarte i dostępne, jak to tylko możliwe, aby każdy użytkownik mógł je zweryfikować. A to niewątpliwie doprowadzi do nowego etapu rozwoju tego rynku.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me