Ledger respinge le critiche al nuovo servizio di recupero portafogli

Il Maker di Cripto Ledger è finito sotto accusa questa settimana per la sua nuova funzionalità "Ledger Recover", con alcuni utenti su Twitter che sostengono che il servizio, che archivia frasi iniziali utente crittografate presso depositari terzi, compromette l'impegno dichiarato di Ledger nei confronti della Privacy e della sicurezza.

Durante una sessione su Twitter Space, il CEO di Ledger Pascal Gauthier ha difeso l'offerta.

"Stai dicendo che questo non è ciò che vogliono i clienti. In realtà, questo è ciò che vogliono i clienti futuri", ha detto. "Questo è il modo in cui le prossime centinaia di milioni di persone saliranno effettivamente a bordo delle Cripto".

L'incidente sottolinea la tensione latente tra le aziende focalizzate sulla blockchain che cercano di attrarre nuovi utenti e segmenti ideologici della comunità Cripto : può essere difficile conciliare l'esperienza utente con gli ideali CORE .

Recupero del registro

Ledger è un fornitore di portafogli hardware Cripto con sede a Parigi, dispositivi di "archiviazione a freddo" che LINK le Cripto di una persona a una chiavetta USB. Rispetto ai "portafogli HOT " basati su browser come MetaMask, che rimangono sempre connessi a Internet, o agli exchange come Coinbase e Binance, che conservano le Cripto per conto dei clienti, i portafogli hardware sono considerati il ​​modo più sicuro per conservare le Cripto.

Quando una persona crea un portafoglio, le viene data una stringa casuale di parole, chiamata frase seme, che funge da chiave Secret di recupero del portafoglio. Gli utenti sono istruiti a scrivere la frase e a nasconderla in un posto sicuro.

Ma il sistema seed phrase ha alcuni evidenti problemi di user experience: se una persona perde la frase, non ha opzioni per recuperare i propri fondi. E proprio come la frase può essere usata per recuperare un portafoglio, può essere usata per crackare un portafoglio se cade nelle mani sbagliate.

Martedì, Ledger ha confermato le speculazioni secondo cui avrebbe introdotto un servizio opzionale di recupero delle frasi seed da 9,99 $ al mese per i possessori del suo portafoglio NANO X. Il servizio, Ledger Recover, offre alle persone un modo per proteggere le loro frasi rapide senza preoccuparsi di perdere un foglietto di carta.

"Quando ti iscrivi a Ledger Recover, una versione pre-BIP39 della tua chiave privata viene crittografata, duplicata e divisa in tre frammenti, con ogni frammento protetto da una società separata: Coincover, Ledger e un fornitore di servizi di backup indipendente", spiega Ledger sul suo sito web. "Ciascuno di questi frammenti crittografati è inutile di per sé. Quando vuoi accedere al tuo portafoglio, 2 delle 3 parti invieranno frammenti al tuo dispositivo Ledger, riassemblandoli per creare la tua chiave privata".

Reazione negativa della comunità

Una parte di Cripto Twitter ha risposto con indignazione alla notizia di questa funzionalità, sostenendo che la suddivisione della chiave (criptata) a terze parti potrebbe renderla vulnerabile, compromettendo così l'intero scopo di un portafoglio hardware rispetto alle opzioni di archiviazione alternative.

Gli utenti hanno sollevato particolari problemi con il requisito che i clienti di Ledger Recover forniscano un ID rilasciato dal governo all'azienda qualora desiderino utilizzare il servizio. Per alcuni nella comunità Cripto , questo passaggio viola i principi CORE Cripto in materia Privacy.

"Certo, *potresti* usare il nuovo servizio 'Recover' di Ledger e fornire loro le tue chiavi private che controllano i tuoi asset, nonché una copia del tuo ID e altre informazioni personali", ha twittato Alistair Milne, un investitore in Bitcoin (BTC) con un ampio seguito su Twitter, "ma perché allora preoccuparsi di un portafoglio hardware in primo luogo?"

Alcuni critici hanno sfruttato l'aggiornamento come un'opportunità per criticare il record di sicurezza di Ledger. Nel 2020, la societàha subito una violazione dei datiche ha esposto le email di quasi 10.000 clienti. Sebbene nessun portafoglio sia stato compromesso a seguito dell'attacco, l'incidente ha lasciato una cattiva impressione delle pratiche di sicurezza dell'azienda con la sua base di utenti orientata alla tecnologia.

"Ledger, la società che ha subito molteplici violazioni della sicurezza che hanno esposto le informazioni personali di centinaia di migliaia di suoi clienti, ora vuole che tu esporti le tue chiavi private dal tuo portafoglio hardware e fornisca frammenti a loro, a Coincover e a una terza parte senza nome, dove due persone possono sottrarre fondi",ha twittato ChainLinkGod. ETH, un ambasciatore della comunità per la società di infrastrutture Cripto , Chainlink. "Per facilitare il recupero, hanno bisogno che tu ti doxi e fornisca ancora più informazioni personali, consentendo a chiunque abbia i tuoi documenti di identità (ad esempio da altre violazioni di dati) di prendere i tuoi fondi. Questo sembra... mal pensato."

Ledger risponde

In uno spazio Twitter in risposta alle preoccupazioni sul servizio, la dirigenza di Ledger ha difeso le sue pratiche di sicurezza, ha sottolineato che il nuovo servizio di recupero era completamente facoltativo e ha negato le accuse secondo cui il suo nuovo servizio equivalesse a una sorta di "backdoor".

"Non è affatto una backdoor. Mantieni il controllo. Non accadrà nulla senza il tuo consenso sul dispositivo", ha affermato il co-fondatore di Ledger Nicolas Bacca, aggiungendo che il team prevede di rendere open source il suo codice in futuro in modo che gli utenti possano vedere come il servizio di recupero di Ledger crittografa in modo sicuro i dati degli utenti e opera in modo sicuro sotto il cofano.

"Le persone hanno avuto molta paura, il che è forse ingiustificato", ha affermato Ian Rogers, Chief Experience Officer di Ledger. Rogers ha sottolineato che Ledger stava rendendo il suo servizio di recupero completamente opzionale ed è stato trasparente sulle partnership con i depositari terzi. "Come consumatore, hai una scelta. E dovresti sapere di chi ti fidi".

Gauthier ha ribadito che la sua funzione di recupero era un passaggio necessario per attrarre nuovi utenti Cripto . "Mi dispiace, ma il pezzo di carta è una cosa del passato e Ledger Recover è una cosa del futuro", ha affermato. "Non c'è compromesso sulla sicurezza".

Gauthier ha anche risposto alle critiche sui precedenti di Ledger.

"Ho visto un sacco di gente su Twitter dire tipo, 'Oh, sono sicuro che questo verrà hackerato nei prossimi 12 mesi.' OK, vediamo." ha detto Gauthier. Ha aggiunto che la società ha "6 milioni di dispositivi sul mercato" e "T è stato hackerato, T è stato compromesso" e non ha "nessuna backdoor installata."

Se Ledger venisse mai hackerato, "qualsiasi tipo di credibilità o reputazione nell'azienda sarebbe in gioco", ha detto Gauthier. "Quindi ovviamente non faremo questo genere di errori".