Ledger responde a las críticas sobre su nuevo servicio de recuperación de billeteras

El Maker de billeteras Cripto Ledger fue criticado esta semana por su nueva función “Ledger Recover”, y algunos usuarios en Twitter argumentaron que el servicio, que almacena frases de semillas de usuario cifradas con custodios externos, socava el compromiso declarado de Ledger con la Privacidad y la seguridad.

Durante una sesión de Twitter Space, el CEO de Ledger, Pascal Gauthier, defendió la oferta.

“Estás diciendo que esto no es lo que quieren los clientes. De hecho, esto es lo que quieren los futuros clientes”, dijo. “Así es como los próximos cientos de millones de personas se incorporarán a las Cripto”.

El incidente subraya la tensión que existe desde hace tiempo entre las empresas centradas en blockchain que buscan atraer nuevos usuarios y los segmentos de la comunidad Cripto con mentalidad ideológica: puede ser difícil conciliar la experiencia del usuario con los ideales CORE .

Recuperación de libro mayor

Ledger es un proveedor parisino de monederos físicos Cripto : dispositivos de almacenamiento en frío que LINK las Cripto de una persona a una memoria USB. En comparación con los monederos HOT basados ​​en navegador, como MetaMask, que permanecen conectados a internet en todo momento, o plataformas de intercambio como Coinbase y Binance, que almacenan Cripto en nombre de los clientes, los monederos físicos se consideran la forma más segura de almacenar Cripto.

Cuando una persona crea una billetera, recibe una secuencia aleatoria de palabras, llamada frase semilla, que funciona como clave Secret de recuperación. Se le indica a los usuarios que anoten la frase y la guarden en un lugar seguro.

Pero el sistema de frases semilla presenta algunos problemas obvios para la experiencia del usuario: si alguien pierde la frase, no tiene opciones para recuperar sus fondos. Y así como la frase puede usarse para recuperar una billetera, también puede usarse para hackearla si cae en manos indebidas.

El martes, Ledger confirmó las especulaciones sobre el lanzamiento de un servicio opcional de recuperación de frases de inicio por $9.99 al mes para los propietarios de su billetera NANO X. El servicio, Ledger Recover, ofrece a los usuarios una manera de proteger sus frases de velocidad sin preocuparse por perder un papel.

Al suscribirse a Ledger Recover, una versión anterior a BIP39 de su clave privada se cifra, se duplica y se divide en tres fragmentos, cada uno protegido por una empresa independiente: Coincover, Ledger y un proveedor de servicios de respaldo independiente. Cada uno de estos fragmentos cifrados es inútil por sí solo. Cuando desee acceder a su billetera, dos de las tres partes enviarán fragmentos a su dispositivo Ledger, reensamblándolos para crear su clave privada.

Reacción de la comunidad

Un segmento de Cripto Twitter respondió a las noticias de la función con indignación, alegando que dividir la clave (encriptada) entre terceros podría dejarla vulnerable, socavando así todo el propósito de una billetera de hardware frente a las opciones de almacenamiento alternativas.

Los usuarios se mostraron especialmente preocupados por el requisito de que los clientes de Ledger Recover proporcionen una ID oficial a la empresa si desean utilizar el servicio. Para algunos miembros de la comunidad Cripto , esta medida viola los principios CORE de las Cripto en materia de Privacidad.

“Claro, *podrías* usar el nuevo servicio 'Recover' de Ledger y darles tus claves privadas que controlan tus activos, así como una copia de tu ID y otra información personal”, tuiteó Alistair Milne, un inversor de Bitcoin (BTC) con muchos seguidores en Twitter, “pero ¿por qué molestarse entonces con una billetera de hardware en primer lugar?”

Algunos críticos aprovecharon la actualización para criticar duramente el historial de seguridad de Ledger. En 2020, la empresa...sufrió una violación de datosQue expuso los correos electrónicos de casi 10,000 clientes. Aunque ninguna billetera se vio comprometida como resultado del ataque, el incidente dejó una mala impresión de las prácticas de seguridad de la empresa entre sus usuarios con mentalidad tecnológica.

Ledger, la empresa que ha sufrido múltiples brechas de seguridad que expusieron la información personal de cientos de miles de sus clientes, ahora quiere que exportes tus claves privadas desde tu billetera de hardware y les entregues fragmentos a ellos, a Coincover y a un tercero anónimo, donde cualquiera de los dos puede desviar fondos.ETH ChainLinkGod.eth, embajador comunitario de la empresa de infraestructura de Cripto , Chainlink. «Para facilitar la recuperación, necesitan que te denuncies y proporciones aún más información personal, lo que permite que cualquiera con tus documentos de identidad (por ejemplo, de otras filtraciones de datos) pueda robar tus fondos. Esto parece… mal pensado».

Ledger responde

En un espacio de Twitter en respuesta a las preocupaciones en torno al servicio, los líderes de Ledger defendieron sus prácticas de seguridad, enfatizaron que el nuevo servicio de recuperación era completamente opcional y negaron las acusaciones de que su nuevo servicio equivaliera a algún tipo de "puerta trasera".

"No es una puerta trasera en absoluto. Tú mantienes el control. Nada ocurrirá sin tu consentimiento en el dispositivo", dijo Nicolas Bacca, cofundador de Ledger, y agregó que el equipo planea abrir su código fuente en el futuro para que los usuarios puedan ver cómo el servicio de recuperación de Ledger cifra los datos de forma segura y opera de forma segura internamente.

“La gente ha tenido mucho miedo, lo cual quizás no esté justificado”, dijo Ian Rogers, director de experiencia de Ledger. Rogers enfatizó que Ledger estaba haciendo que su servicio de recuperación fuera completamente opcional y que era transparente sobre las asociaciones con custodios externos. “Como consumidor, tienes una opción. Y debes saber en quién confías”.

Gauthier reiteró que su función de recuperación era un paso necesario para atraer nuevos usuarios de Cripto . "Lo siento, pero el papel es cosa del pasado y Ledger Recover es cosa del futuro", dijo. "La seguridad no se ve comprometida".

Gauthier también respondió a las críticas sobre el historial de Ledger.

He visto a mucha gente en Twitter diciendo: "Seguro que esto será hackeado en los próximos 12 meses". Bueno, veamos", dijo Gauthier. Añadió que la compañía tiene "6 millones de dispositivos en el mercado" y que "no ha sido hackeada, no ha sido comprometida" y "no tiene puertas traseras instaladas".

Si Ledger alguna vez es hackeado, «cualquier tipo de credibilidad o reputación de la empresa estará en juego», dijo Gauthier. «Así que, por supuesto, no vamos a cometer ese tipo de errores».