Ledger Bats Back Criticism ng Bagong Wallet Recovery Service

Ang Crypto wallet Maker na Ledger ay sinisiraan ngayong linggo dahil sa bagong feature nitong “Ledger Recover,” na may ilang poster sa Twitter na nangangatwiran na ang serbisyo – na nag-iimbak ng mga naka-encrypt na user seed na parirala sa mga third-party na tagapag-alaga – ay nagpapahina sa nakasaad na pangako ng Ledger sa Privacy at seguridad.

Sa isang sesyon ng Twitter Space, ipinagtanggol ng Ledger CEO Pascal Gauthier ang alok.

"Sinasabi mo na hindi ito ang gusto ng mga customer. Sa totoo lang, ito ang gusto ng mga customer sa hinaharap," sabi niya. "Ito ang paraan na ang susunod na daan-daang milyong tao ay aktuwal na makakasakay sa Crypto."

Binibigyang-diin ng insidente ang matagal na pag-igting sa pagitan ng mga kumpanyang nakatuon sa blockchain na naghahanap upang makaakit ng mga bagong user at mga segment ng Crypto community na may pag-iisip na ideolohikal: Maaaring mahirap i-quare ang karanasan ng user sa mga CORE ideyal.

Pagbawi ng Ledger

Ang Ledger ay isang provider na nakabase sa Paris ng mga Crypto hardware wallet – mga “cold storage” na device na LINK ng Crypto ng isang tao sa isang USB thumb drive. Kung ikukumpara sa mga “HOT wallet” na nakabatay sa browser tulad ng MetaMask, na nananatiling konektado sa internet sa lahat ng oras, o mga palitan tulad ng Coinbase at Binance, na humahawak ng Crypto sa ngalan ng mga customer, ang mga hardware wallet ay itinuturing na pinakasecure na paraan para magkaroon ng Crypto.

Kapag nag-set up ang isang tao ng wallet, bibigyan siya ng random na string ng mga salita, na tinatawag na seed phrase, na nagsisilbing Secret wallet recovery key. Inutusan ang mga user na isulat ang parirala at itago ito sa isang lugar na ligtas.

Ngunit ang seed phrase system ay may ilang malinaw na isyu sa karanasan ng user: Kung mawala ng isang tao ang parirala, wala silang mga opsyon para sa pagbawi ng kanilang mga pondo. At kung paanong ang parirala ay maaaring gamitin upang mabawi ang isang pitaka, maaari itong magamit upang basagin ang isang pitaka kung ito ay nahulog sa maling mga kamay.

Noong Martes, kinumpirma ng Ledger ang haka-haka na nagpapakilala ito ng opsyonal, $9.99-per-month seed phrase recovery service para sa mga may-ari ng NANO X wallet nito. Ang serbisyo, Ledger Recover, ay nag-aalok ng isang paraan para sa mga tao na ma-secure ang kanilang mga bilis ng parirala nang hindi nababahala tungkol sa pagkawala ng isang piraso ng papel.

"Kapag nag-subscribe ka sa Ledger Recover, isang pre-BIP39 na bersyon ng iyong pribadong key ay naka-encrypt, nadoble at nahahati sa tatlong fragment, na ang bawat fragment ay sinigurado ng isang hiwalay na kumpanya - Coincover, Ledger at isang independiyenteng backup na service provider," paliwanag ni Ledger sa website nito. "Ang bawat isa sa mga naka-encrypt na fragment na ito ay walang silbi sa sarili nitong. Kapag gusto mong makakuha ng access sa iyong wallet, 2 sa 3 partido ay magpapadala ng mga fragment pabalik sa iyong Ledger device, na muling ibubuo ang mga ito upang buuin ang iyong pribadong key."

Backlash ng komunidad

Ang isang segment ng Crypto Twitter ay tumugon sa mga balita ng tampok na may galit - na sinasabing ang paghahati sa (naka-encrypt) na susi sa mga ikatlong partido ay maaaring mag-iwan dito na mahina - kaya pinapahina ang buong layunin ng isang hardware wallet kumpara sa mga alternatibong opsyon sa storage.

Ang mga user ay nagkaroon ng partikular na isyu sa pangangailangan na ang mga customer ng Ledger Recover ay magbigay ng ID na ibinigay ng gobyerno sa kumpanya kung nais nilang gamitin ang serbisyo. Para sa ilan sa komunidad ng Crypto , ang hakbang na ito ay lumalabag sa mga CORE prinsipyo ng Crypto tungkol sa Privacy.

“Siyempre, *maaari* mong gamitin ang bagong serbisyo ng 'Recover' ng Ledger at ibigay sa kanila ang iyong mga pribadong key na kumokontrol sa iyong mga asset pati na rin ang isang kopya ng iyong ID at iba pang personal na impormasyon," tweet ni Alistair Milne, isang Bitcoin (BTC) investor na may maraming tagasunod sa Twitter, "ngunit bakit nga ba mag-abala sa isang hardware wallet sa unang lugar?"

Ginamit ng ilang kritiko ang pag-update bilang pagkakataon para i-bash ang rekord ng seguridad ng Ledger. Sa 2020, ang kumpanya nagdusa mula sa isang paglabag sa data na naglantad sa mga email ng halos 10,000 customer. Bagama't walang mga wallet na nakompromiso bilang resulta ng pag-atake, ang insidente ay nag-iwan ng masamang impresyon sa mga gawi sa seguridad ng kompanya kasama ang base ng user na may pag-iisip sa teknolohiya.

“Ang Ledger, ang kumpanyang nakaranas ng maraming paglabag sa seguridad na naglantad sa personal na impormasyon ng daan-daang libong mga customer nito, ngayon ay gusto mong i-export ang iyong mga pribadong key mula sa iyong hardware wallet at bigyan sila ng mga fragment, Coincover, at isang hindi pinangalanang third party, kung saan sinumang dalawa ang makakapagsipsip ng mga pondo,” tweet ni ChainLinkGod. ETH, isang community ambassador para sa Crypto infrastructure firm, Chainlink. "Upang mapadali ang pagbawi, kailangan nilang ayusin mo ang iyong sarili at ibigay ang higit pa sa iyong personal na impormasyon, na nagpapahintulot sa sinumang may mga dokumento ng iyong pagkakakilanlan (hal. mula sa iba pang mga paglabag sa data) na kunin ang iyong mga pondo. Mukhang ... ito ay hindi pinag-isipan."

Tumugon ang Ledger

Sa isang Twitter Space na tumutugon sa mga alalahanin sa paligid ng serbisyo, ipinagtanggol ng pamunuan ng Ledger ang mga kasanayan sa seguridad nito, binigyang-diin na ang bagong serbisyo sa pagbawi ay ganap na opsyonal, at tinanggihan ang mga paratang na ang bagong serbisyo nito ay katumbas ng anumang uri ng "backdoor."

"It's not a backdoor at all. Mananatili kang may kontrol. Walang mangyayari kung wala ang iyong pahintulot sa device," sabi ng Ledger Co-founder na si Nicolas Bacca, at idinagdag na plano ng team na buksan ang source ng code nito sa hinaharap upang makita ng mga user kung paano ligtas na na-encrypt ng serbisyo sa pagbawi ng Ledger ang data ng user at ligtas na gumagana sa ilalim ng hood.

"Ang mga tao ay nagkaroon ng maraming takot, na marahil ay hindi makatwiran," sabi ni Ian Rogers, punong opisyal ng karanasan ng Ledger. Binigyang-diin ni Rogers na ginagawang ganap na opsyonal ng Ledger ang serbisyo sa pagbawi nito at malinaw ang tungkol sa pakikipagsosyo sa mga third-party na tagapag-alaga. "Bilang isang mamimili, mayroon kang pagpipilian. At dapat mong malaman kung sino ang iyong pinagkakatiwalaan."

Inulit ni Gauthier na ang tampok na pagbawi nito ay isang kinakailangang hakbang para makaakit ng mga bagong gumagamit ng Crypto . "Paumanhin, ngunit ang piraso ng papel ay isang bagay ng nakaraan at ang Ledger Recover ay isang bagay ng hinaharap," sabi niya. "Walang kompromiso sa seguridad."

Tumugon din si Gauthier sa mga kritika ng track record ng Ledger.

"Nakakita ako ng maraming tao sa Twitter na nagsasabing, 'Naku, sigurado akong ma-hack ito sa susunod na 12 buwan.' OK, tingnan natin.” Sabi ni Gauthier. Idinagdag niya na ang kumpanya ay may "6 na milyong device sa merkado," at ito ay "T na-hack, T nakompromiso" at "walang backdoors na naka-install."

Kung sakaling ma-hack ang Ledger, "anumang uri ng kredibilidad o reputasyon sa kumpanya ay nakataya," sabi ni Gauthier. "Kaya siyempre hindi tayo gagawa ng mga ganitong uri ng pagkakamali."