仮想通貨ハードウェアウォレットのレジャー社がユーザーの秘密鍵をデバイスから「回収」可能とする発言により物議を醸している中、その競合であるグリッドプラス社は、自社の仮想通貨ウォレットのファームウェアを「オープンソース化」すると発表した。
グリッドプラス社は5月17日にツイッターで17500人のフォロワーに対し、今年の第3四半期にすべての仮想通貨デバイスのファームウェアをオープンソース化し、透明性を高めると主張した。
The most trusted name in cryptography, relied upon by the world's governments for their highest security applications for decades, sold products backdoored by the CIA. How can we ensure this won't happen again? Open-source software.
— GridPlus (@gridplus) May 18, 2023
GridPlus will open-source its firmware in Q3. pic.twitter.com/889OnqXd20
「今週のハードウェアウォレットの議論は、信頼がどれほど前提とされているかを明確に示した」と、グリッドプラス社は追加のコメントで述べた。
「私たち産業界は自身に最も高い基準を設け、他のすべてのハードウェアウォレット製造業者も同様にファームウェアをオープンソース化するよう促す。これは私たちのエコシステムのために不可欠だ」。
レジャー社への怒りの大部分は、過去にユーザーに対しコールドウォレットから秘密鍵を抽出できないと発言していたにもかかわらず、ユーザーのコールドウォレットから秘密鍵を抽出可能にするファームウェアへの更新を行ったためだ。ファームウェアとは、ハードウェアデバイスに組み込まれたソフトウェアを指す。
特筆すべきは、レジャー社のファームウェアがクローズドソースであることだ。これは、同社の開発者だけがコードを閲覧し、欠陥を検査できるということを意味する。一方、オープンソースコードでは、任意のプログラマが既存のコードにアクセスし、それを改善し、潜在的なエラーをチェックすることが可能となる。
この点について、5月17日のツイッター上の質疑応答セッションで、レジャーサポートは、「常に」会社が秘密鍵の抽出を可能にするコードを書くことが可能であったために、ユーザーはレジャー社を信頼しなければならないとツイートにした。現在はこのツイートは削除されている。
(1/2) Technically speaking it is and always has been possible to write firmware that facilitates key extraction. You have always trusted Ledger not to deploy such firmware whether you knew it or not.
— Ledger Support (@Ledger_Support) May 17, 2023
競合他社は、レジャー社の発表を受けて迅速に行動を起こし、トレゾール社やブロックストリーム社のジェイド、そしてビットボックスなど、自社製品の大部分で割引を提供する選択をしている。