Ledger rebate críticas ao novo serviço de recuperação de carteira

O Maker de carteiras de Cripto Ledger foi criticado esta semana por seu novo recurso "Ledger Recover", com alguns usuários no Twitter argumentando que o serviço — que armazena frases-semente criptografadas de usuários com custodiantes terceirizados — prejudica o compromisso declarado da Ledger com Política de Privacidade e segurança.

Durante uma sessão no Twitter Space, o CEO da Ledger, Pascal Gauthier, defendeu a oferta.

“Você está dizendo que isso não é o que os clientes querem. Na verdade, é isso que os futuros clientes querem”, ele disse. “Essa é a maneira como as próximas centenas de milhões de pessoas realmente embarcarão na Cripto.”

O incidente ressalta a tensão latente entre empresas focadas em blockchain que buscam atrair novos usuários e segmentos ideologicamente orientados da comunidade de Cripto : pode ser difícil conciliar a experiência do usuário com os ideais CORE .

Recuperação de razão

Ledger é um provedor de carteiras de hardware Cripto com sede em Paris – dispositivos de “armazenamento frio” que LINK a Cripto de uma pessoa a um pen drive USB. Comparado a “carteiras HOT ” baseadas em navegador como MetaMask, que permanecem conectadas à internet o tempo todo, ou exchanges como Coinbase e Binance, que mantêm Cripto em nome dos clientes, as carteiras de hardware são consideradas a maneira mais segura de manter Cripto.

Quando uma pessoa configura uma carteira, ela recebe uma sequência aleatória de palavras, chamada de frase semente, que serve como uma chave Secret de recuperação de carteira. Os usuários são instruídos a escrever a frase e escondê-la em algum lugar seguro.

Mas o sistema de frase semente tem alguns problemas óbvios de experiência do usuário: se uma pessoa perde a frase, ela não tem opções para recuperar seus fundos. E assim como a frase pode ser usada para recuperar uma carteira, ela pode ser usada para quebrar uma carteira se ela cair nas mãos erradas.

Na terça-feira, a Ledger confirmou a especulação de que estava introduzindo um serviço opcional de recuperação de frase-semente de US$ 9,99 por mês para proprietários de sua carteira NANO X. O serviço, Ledger Recover, oferece uma maneira para as pessoas protegerem suas frases rápidas sem se preocupar em perder um pedaço de papel.

“Quando você assina o Ledger Recover, uma versão pré-BIP39 da sua chave privada é criptografada, duplicada e dividida em três fragmentos, com cada fragmento protegido por uma empresa separada – Coincover, Ledger e um provedor de serviços de backup independente”, explica Ledger em seu site. “Cada um desses fragmentos criptografados é inútil por si só. Quando você quiser obter acesso à sua carteira, 2 das 3 partes enviarão fragmentos de volta ao seu dispositivo Ledger, remontando-os para construir sua chave privada.”

Reação da comunidade

Um segmento do Cripto Twitter respondeu à notícia do recurso com indignação – alegando que dividir a chave (criptografada) para terceiros poderia deixá-la vulnerável – minando assim todo o propósito de uma carteira de hardware em comparação com opções alternativas de armazenamento.

Os usuários tiveram problemas específicos com a exigência de que os clientes do Ledger Recover forneçam uma ID emitida pelo governo à empresa caso queiram usar o serviço. Para alguns na comunidade Cripto , essa etapa viola os princípios CORE da Cripto em torno da Política de Privacidade.

“Claro, você *poderia* usar o novo serviço 'Recover' do Ledger e dar a eles suas chaves privadas que controlam seus ativos, bem como uma cópia de sua ID e outras informações pessoais”, tuitou Alistair Milne, um investidor de Bitcoin (BTC) com muitos seguidores no Twitter, “mas por que então se preocupar com uma carteira de hardware em primeiro lugar?”

Alguns críticos usaram a atualização como uma oportunidade para criticar o histórico de segurança do Ledger. Em 2020, a empresasofreu uma violação de dadosque expôs os e-mails de quase 10.000 clientes. Embora nenhuma carteira tenha sido comprometida como resultado do ataque, o incidente deixou uma má impressão das práticas de segurança da empresa com sua base de usuários com mentalidade tecnológica.

“Ledger, a empresa que sofreu várias violações de segurança que expuseram as informações pessoais de centenas de milhares de seus clientes, agora quer que você exporte suas chaves privadas de sua carteira de hardware e dê fragmentos a eles, à Coincover e a um terceiro não identificado, onde quaisquer dois podem desviar fundos”,tuitou ChainLinkGod. ETH, um embaixador da comunidade para a empresa de infraestrutura de Cripto , Chainlink. “Para facilitar a recuperação, eles precisam que você se dox e forneça ainda mais informações pessoais, permitindo que qualquer pessoa com seus documentos de identidade (por exemplo, de outras violações de dados) pegue seus fundos. Isso parece... mal pensado.”

Ledger responde

Em um Twitter Space respondendo às preocupações em torno do serviço, a liderança da Ledger defendeu suas práticas de segurança, enfatizou que o novo serviço de recuperação era completamente opcional e negou as alegações de que seu novo serviço equivalia a qualquer tipo de "backdoor".

“Não é um backdoor de forma alguma. Você fica no controle. Nada vai acontecer sem o seu consentimento no dispositivo”, disse o cofundador da Ledger, Nicolas Bacca, acrescentando que a equipe planeja abrir o código-fonte de seu código no futuro para que os usuários possam ver como o serviço de recuperação da Ledger criptografa com segurança os dados do usuário e opera com segurança nos bastidores.

“As pessoas têm tido muito medo, o que talvez seja injustificado”, disse Ian Rogers, diretor de experiência da Ledger. Rogers enfatizou que a Ledger estava tornando seu serviço de recuperação totalmente opcional e era transparente sobre parcerias com custodiantes terceirizados. “Como consumidor, você tem uma escolha. E você deve saber em quem está confiando.”

Gauthier reiterou que seu recurso de recuperação era um passo necessário para atrair novos usuários de Cripto . “Sinto muito, mas o pedaço de papel é uma coisa do passado e o Ledger Recover é uma coisa do futuro”, disse ele. “Não há comprometimento da segurança.”

Gauthier também respondeu às críticas ao histórico de Ledger.

“Eu vi muitas pessoas no Twitter dizendo algo como, 'Oh, tenho certeza de que isso será hackeado nos próximos 12 meses.' OK, vamos ver.” Gauthier disse. Ele acrescentou que a empresa tem “6 milhões de dispositivos no mercado,” e que “T foi hackeado, T foi comprometido” e não tem “nenhum backdoor instalado.”

Se Ledger for hackeado, “qualquer tipo de credibilidade ou reputação na empresa estará em jogo”, disse Gauthier. “Então, é claro que não vamos cometer esse tipo de erro.”