Kryptovaluuttalompakoiden valmistaja Ledger on esitellyt uuden ominaisuuden, jonka tarkoituksena on parantaa lompakon käyttäjien turvallisuutta. Uusi ominaisuus, nimeltään Ledger Recover, on valinnainen hakuratkaisu kryptolompakoille. Sen tavoitteena on tarjota suojaa tilanteessa, jossa käyttäjät unohtavat salasanansa (seed phrase).
Ledger Recover on valinnainen palvelu, jonka avulla käyttäjät voivat käyttää ylimääräistä suojaustasoa yksityisavaimilleen (private keys). Tämä palvelu käyttää tekniikkaa, jossa käyttäjän siidi (seed phrase) on jaettu kolmeen salattuun osaan, joista jokainen lähetetään eri yrityksille säilytettäväksi. Kun nämä osat on yhdistetty ja purettu, niitä voidaan käyttää alkuperäisen salasanoja sisältävän siidi-lauseen kokoamiseen.
Kryptoyhteisön jäsenet, mukaan lukien Ledger-lompakon haltijat, ovat ilmaisseet suurta tyytymättömyyttään Ledgeriin sosiaalisessa mediassa sen uusimman ominaisuuden julkaisun jälkeen.
Yhteisön reaktio Ledgerin suunnitelmiin on ollut hyvin kriittinen, koska Ledgerillä on ollut aikaisemmin (2020) ollut haasteita tietoturvan kanssa. Tietoturva ja muutokset tietoturvaominaisuuksiin syystäkin herättävät voimakkaita tunteita kryptoyhteisön piirissä, koska hakkeroinnit alalla ovat hyvin yleisiä.
Polygon Labsin tietoturvapäällikkö Mudit Gupta kommentoi Ledgerin suunnitelmia: “Se on kauhistuttava idea, ÄLÄ ota tätä ominaisuutta käyttöön. Ongelma tässä on se, että salatut avaimet lähetetään kolmannen osapuolen yritykselle ja ne voivat uudelleen koota avaimesi.”
Bitcoin-sijoittaja ja -podcast juontaja Chris Dunnin mukaan: “Ensin he paljastivat asiakkaidensa postiosoitteet, puhelinnumerot ja sähköpostiosoitteet”, viitaten Ledger-tietovuotoon, joka paljasti käyttäjien tiedot vuonna 2020. Ja nyt he ovat avanneet takaoven siideille.”
Myös maailman suurimman kryptopörssin Binancen perustaja ja toimitusjohtaja Changpeng Zhao otti asiaan kantaa: “Joten siidi voi lähteä laitteesta nyt? Kuulostaa eri suunnalta kuin -avaimet eivät koskaan poistu laitteesta-“.
Ledgerin mukaan kuitenkin Ledger Recover on käyttäjille vain valinnainen ominaisuus, mikäli he haluavat varmuuskopioida salaisen palautuslauseensa.
Ledger: “Sinun ei tarvitse käyttää sitä, ja voit jatkaa palautuslauseesi (recovery phrase) hallintaa itse, jos ostit Ledgerin”.
Ledger on vuodesta 2014 alkaen yksi merkittävimmistä globaaleista kryptovaluuttalompakoiden laitteistovalmistajista. Yhtiön kerrotaan myyneen arviolta 4,5 miljoonaa lompakkoa. Ledgerillä on yhteensä kuusi erilaista lompakkomallia.
Euroopan veroviranomainen vaatii nyt kaikkien kryptovaihtojen ilmoittamista viranomaisille
Euroopan neuvosto hyväksyi aikaisemmin tällä viikolla voimaan DAC 8-direktiivin, jonka mukaan krypto-omaisuuden palveluntarjoajien (CASP:t) on kerättävä tietoja minkä tahansa suuruisista kryptovarojen siirroista jäljitettävyyden varmistamiseksi ja epäilyttävien tapahtumien tunnistamiseksi.
Euroopan veroviranomainen onkin nyt laajentanut veroilmoituksia koskevaa lainsäädäntöään koskemaan myös virtuaalivaluuttoja. Direktiivin tarkoituksena on myös parantaa jäsenvaltioiden kykyä havaita ja torjua veropetoksia ja veronkiertoa vaatimalla kaikkia EU:hun sijoittautuneita kryptovarojen tarjoajia niiden koosta riippumatta raportoimaan EU:ssa asuvien asiakkaiden liiketoimet viranomaisille.
DAC 8-direktiivi on hallinnollista yhteistyötä koskeva direktiivi ja se koostuu esimerkiksi verotustarkoituksiin laadituista menettelysäännöksistä, jotka käsittävät automaattisen tietojenvaihdon EU-jäsenvaltioiden viranomaisten välillä.
DAC 8:n tarkoituksena on vahvistaa Euroopan unionin rahanpesun ja terrorismin rahoituksen vastaisia sääntöjä (AML/CFT). Direktiivissä myös ehdotetaan uuden eurooppalaisen rahanpesun vastaisen elimen perustamista.
Direktiivin mukaan krypto-omaisuuden palveluntarjoajien tulee jatkossa:
“Varmistaa, että kryptovarojen siirtoihin liitetään saajan nimi, saajan hajautettu pääkirjaosoite, jos kryptovarojen siirto on rekisteröity verkkoon DLT- tai vastaavalla tekniikalla, (ja) saajan tilinumero, jos tällainen tili on olemassa.”
Direktiivin mukaan nämä tiedot tulee toimittaa turvallisella tavalla ja ennen kryptovarojen siirtoa tai samanaikaisesti. Raportointivaatimus koskee kaikkia palveluntarjoajia, jotka toteuttavat kryptovaroilla tehtäviä siirtoja EU:ssa asuville asiakkaille.
Euroopan neuvosto luonnollisesti pitää direktiiviä hyvänä asiana. Ruotsin valtiovarainministeri Elisabeth Svantessonin mukaan: ”Tämänpäiväinen päätös on huono uutinen niille, jotka ovat käyttäneet kryptovaroja väärin laittomaan toimintaansa, EU:n pakotteiden kiertämiseen tai terrorismin ja sodan rahoittamiseen. Se ei ole enää mahdollista Euroopassa ilman kiinnijäämistä.”
DAC8 ei kuitenkaan sellaisenaan astu EU-jäsenvaltioissa voimaan. DAC:n muutoksia ei toteuteta suoraan jäsenvaltioita velvoittavalla lainsäädännöllä. Sen sijaan ensin Eurooppa-neuvoston jäsenmaita kuullaan asiasta, jonka jälkeen jäsenvaltiot voivat saattaa direktiivin voimaan kansallisesti.
Tämä antaa jäsenvaltioille enemmän liikkumavaraa sääntelyn toteuttamisessa, joka käytännössä tarkoittaa yleensä sitä, että jäsenvaltio voi toteuttaa (implementoida) direktiivin tarkoitusta kansallisesti joko tiukemmin, direktiivin mukaisesti tai joustavasti jättäen enemmän liikkumavaraa.
Suomessa yleensä direktiivien kansallinen implementointi on ollut tiukempaa kuin ylikansallinen EU-direktiivi.
Kryptovaroja koskeva MiCA-asetus hyväksyttiin ensin voimaan viime kuussa, jonka jälkeen DAC 8 -direktiivi voitiin hyväksyä. MiCA-asetus tuli saattaa ensin voimaan, koska DAC 8-direktiivissä käytetään mm. MiCA-asetuksen määritelmiä.
Lue lisää: Kryptovaluuttalainsäädäntö muuttuu Euroopassa – näin MiCA-asetus vaikuttaa
Kaspersky: Iso kryptopörssi on myynyt väärennettyjä Trezorin lompakoita
Kryptovaluuttojen tietoturvaan erikoistuneen Kasperskyn mukaan eräs suuri tällä hetkellä nimeämätön kryptopörssi on myynyt väärennettyjä Trezorin lompakoita. Kaspersky kehottaakin kryptovaluuttojen käyttäjiä käyttämään vain laitteenvalmistajan alkuperäisiä laitteita.
Kasperskyn kybervahinkojen asiantuntija Stanislav Golovanov kertoi hiljattain ongelmista, jotka koskevat väärennettyjä lompakoita, jotka esiintyvät lompakkovalmistaja Trezorin nimellä. Tapaus sattui maaliskuussa 2022. Trezor on yksi suurimmista kryptovaluuttalompakoiden tarjoajista.
Kasperskyn mukaan uhri osti väärennetyn Trezor-lompakon “luotetun myyjän kautta suositun ilmoitussivuston kautta”.
Väärennetty Trezor-lompakko antoi huijareille mahdollisuuden varastaa bitcoinia vaihdetun mikro-ohjaimen kautta, mikä antoi hyökkääjille mahdollisuuden ottaa haltuunsa käyttäjän yksityisavaimet (private keys).
Kaspersky: ”Hyökkääjät todellakin tiesivät yksityisavaimen etukäteen. Näillä tiedoilla hyökkääjät voivat ohjata varoja vaihtoehtoisen lompakon kautta, joka käyttää samaa yksityistä avainta, ja siten ryöstää omaisuuden itselleen.”
Kaspersky tarkensi: ”Väärennetty kryptolompakko toimi normaalisti, mutta hyökkääjät hallitsivat sitä täysin alusta alkaen. Tapahtumahistorian mukaan heillä ei ollut mitään kiirettä. He vain he odottivat koko kuukauden ajan, kunnes lompakkoon ilmaantui varoja, jonka jälkeen he veivät varat lompakosta. Omistajalla ei ollut minkäänlaista suojaa: peli oli menetetty heti siitä hetkestä lähtien, kun rahat saapuivat ensimmäisen kerran troijalaiseen lompakkoon.”
Uhrin kerrotaan ostaneen Trezorin Model T:tä muistuttaneen hardware-kryptolompakon. Väärennetty lompakko näytti olevan täsmälleen sama kuin aito Trezor Model T -lompakko, joka tarjosi vakiosarjan lompakon toimintoja.
Golovanov raportoi uhrin kokemuksia seuraavasti: “Lompakkoa käsiteltäessä mikään ei vaikuttanut epäilyttävältä: kaikki toiminnot toimivat niin kuin piti eikä käyttöliittymä poikennut alkuperäisestä”.
Väärennetty lompakko oli kuitenkin peukaloitu sisältä. Kasperskyn tiimin mukaan hyökkääjät pääsivät käsiksi käyttäjien kryptovaroihin vaihtamalla sisäisen laiteohjelmiston.
Golovanov: “Varkauden todellinen mekanismi on edelleen epäselvä. Ongelma johtui “tyypillisestä toimitusketjuhyökkäyksestä (supply chain attack)”.
Trezorin mukaan: “Joitakin sisäisiä komponentteja oli vaihdettu. Tämän ansiosta pahantahtoiset toimijat saattoivat huijata laitteen toimintaa ja ohittaa lompakon suojausominaisuudet.” Trezor myös neuvoo käyttäjiään noudattamaan Trezorin antamia ohjeita Trezor-lompakkonsa todentamiseksi tarjoamalla viralliset oppaat Model One:lle ja Model T:lle.
Kasperskyn mukaan hardware-kryptolompakot tulisi hankkia vain suoraan viralliselta myyjältä.
- Verohallinto: Huomattavasta osasta virtuaalivaluuttatuloja ei makseta veroja
- BRC-20-tokenit nostivat Bitcoinin vaihtovolyymin ja siirtokustannukset ennätyskorkealle – mitä tämä tarkoittaa bitcoin-sijoittajille?
- Kryptovaluuttalainsäädäntö muuttuu Euroopassa – näin MiCA-asetus vaikuttaa
- Jälleen uusi yhdysvaltalainen pankki kaatui & Bitcoin-verkon vaihtovolyymi kaikkien aikojen ennätykseen
- NFT – Apinakuvista miljardibisnekseksi
- Ethereumin Shanghai-päivitys on nyt valmis – mitä tapahtui?
- Metaversumit ja niiden tulevaisuus
- Bittirahan alkuvuoden yhteenveto: Mitä kryptomarkkinoilla on tapahtunut vuonna 2023 ja mitä on vielä luvassa?
- EU:ssa suunnitellaan 1000 euron ylärajaa anonyymeille kryptosiirroille
- Parhaat tavat ansaita Bitcoinilla
Uskomme Bittirahalla vahvasti, että kryptovaluutoista tulee osa jokapäiväistä elämäämme. Missionamme on tehdä kryptovaluutoista helposti saatavilla olevia kaikille, kokemuksesta ja tietotaidosta riippumatta. Luo tili ja sijoita Bitcoiniin helposti Coinmotionissa.
