Ledger gerät wegen Fiaskos beim Seed Phrase Recovery Service in die Kritik

Ledger ist wegen seiner neuesten Idee zur Wiederherstellung von Seed-Phrasen in der Community heftiger Kritik ausgesetzt gewesen und die Mitglieder äußerten in den sozialen Medien ihre Missbilligung.
Ledger wies die Kritik mit der Begründung zurück, dass mehrere Ungenauigkeiten vorlägen.
Ledgers neuer Seed-Phrase-Wiederherstellungsdienst 
Ledgers neuer Seed-Phrase-Wiederherstellungsdienst heißt Ledger Recover und bietet Benutzern zusätzlichen Schutz für den Fall, dass sie ihre Seed-Phrase verlegen. Der Dienst wurde in Ledgers neuester Firmware-Wallet veröffentlicht und ist ein Abonnementdienst, der Benutzern eine zusätzliche Schutzebene für ihre privaten Schlüssel bietet. Ledger Recover verwendet eine Technik, die die Seed-Phrase eines Benutzers in drei verschlüsselte Fragmente aufteilt, die drei Verwahrern anvertraut werden, nämlich Ledger, Coinover und einer dritten Stelle. Ein Sprecher von Ledger erläuterte dies und erklärte:
„Jedes Fragment wird von den Parteien auf Hardware-Sicherheitsmodulen (HSMs) gespeichert, die im Wesentlichen Ledger mit Super-Power sind. Das ist es, was wir für Ledger Enterprise verwenden. Jedes Fragment ist für sich genommen nutzlos und kann nur auf einem Ledger entschlüsselt werden. Sie sind absolut sicher.“
Benutzer können die ursprüngliche See-Phrase rekonstruieren, sobald die einzelnen Fragmente kombiniert und entschlüsselt wurden. Das Unternehmen erklärte außerdem, dass der Dienst optional sei und dass Ledger-Benutzer den Dienst nicht nutzen müssten, wenn sie dies nicht möchten.
„Sie müssen es nicht verwenden und können Ihre Wiederherstellungsphrase weiterhin selbst verwalten, wenn Sie aus diesem Grund einen Ledger gekauft haben.“
Wo liegt also das Problem?
Während Ledger von dem neuen Update begeistert zu sein scheint, ist die Reaktion der Community genau das Gegenteil. Denn um den Dienst nutzen zu können, müssen die Benutzer einen Personalausweis oder Reisepass vorlegen und die Seed-Phrase der Benutzer muss „externen Verwahrern“ anvertraut werden. Mehrere prominente Mitglieder der Krypto-Community und Besitzer von Ledger-Wallets haben Ledger in den sozialen Medien für das kritisiert, was einige Benutzer als „unvermeidbare Katastrophe“ bezeichneten. Ein Reddit-Benutzer erklärte:
„Das ist eine Katastrophe, die nur darauf wartet, zu passieren. Ich kann nicht wirklich glauben, was ich da lese; es scheint absolut verrückt, dass ein Hardware-Wallet-Anbieter Sie dazu auffordert, Ihre Seed-Phrase online zu sichern UND ihnen Ihren Reisepass/Personalausweis zu geben – insbesondere wenn es bereits einen Datendiebstahl gab!“
Ledger erlitt 2020 einen schwerwiegenden Datenverlust, der die Telefonnummern und Postadressen von über 300.000 Kunden offenlegte. Der Datenverlust umfasste auch die E-Mail-Adressen von über einer Million Benutzern. Andere, wie der Investor Chris Dunn und der Krypto-Investor DCinvestor, verwiesen ebenfalls auf den berüchtigten Datenverlust, als sie Ledgers neuen Seed Phrase Recovery Service kritisierten. Dunn erklärte:
„Zuerst haben sie Postanschriften, Telefonnummern und E-Mail-Adressen ihrer Kunden offengelegt … Und jetzt haben sie eine Hintertür in Seed-Phrasen eingebaut. Es ist Zeit, sich von @Ledger zu verabschieden.“
Auch DCinvestor hielt sich nicht zurück und erklärte:
„Zur Erinnerung: Vor einigen Jahren hat Ledger durch einen Datendiebstahl die Namen und Privatadressen aller seiner Kunden weitergegeben. [D]as Letzte, was Sie auf ihren Servern haben wollen, ist Ihr privater Schlüssel.“
Mudit Gupta, Chief Information Security Officer bei Polygon, nannte dies eine schreckliche Idee und forderte Ledger auf, die neue Funktion nicht zu aktivieren. In einem Twitter-Thread erklärte Gupta, dass die verschlüsselten Schlüssel an drei Unternehmen gesendet würden, die die privaten Schlüssel rekonstruieren könnten, was zu großen Sicherheitsproblemen führen würde. Binance-CEO Changpeng Zhao antwortete Gupta und fügte hinzu:
„Der Seed kann das Gerät also jetzt verlassen?“ Klingt nach einer anderen Richtung als „Ihre Schlüssel verlassen das Gerät nie.“
Adrian Hetman, technischer Leiter bei ImmuneFi, bezeichnete die neue Funktion als schlechte Sicherheitslage und erklärte:
„Ihre Seed-Phrase offenzulegen und dann jedem mit Ihrem Ausweis oder Reisepass den Zugriff auf die gesperrten Gelder zu ermöglichen, ist eine schlechte Sicherheitslage. Identitätsdiebstahl ist weit verbreitet und würde Krypto-Benutzer einer neuen Form von Angriffen aussetzen.“
Ledger wehrt sich gegen Kritik 
Ledger hat sich gegen die heftige Kritik an seinem neuen Dienst gewehrt und erklärt, dass die Kritik, der er ausgesetzt war, „viele Ungenauigkeiten“ enthielt und dass es keine Hintertür oder Sicherheitslücke gebe. In seiner Antwort an Hetman erklärte Ledger, dass der staatliche Ausweis nur ein Teil eines vollständigen Prozesses sei und kein Sicherheitsrisiko darstelle.
„Wir haben auch eine vollständige Echtheitserkennung, bei der Sie Ihre Kamera verwenden und zufällige Eingabeaufforderungen erhalten, die nicht gefälscht oder voraufgezeichnet sein können. Dies wird sowohl von der Technologie als auch von Menschen überprüft, um eine Übereinstimmung sicherzustellen, bevor der Wiederherstellungsprozess eingeleitet wird. Jemand, der Ihren Ausweis stiehlt, kann also Ihre [geheime Wiederherstellungsphrase] SRP nicht wiederherstellen.“
Ledger bezeichnete den neuen Service als einen hochsicheren Service, den sein Donjon-Team getestet hatte. Das Donjon-Team hatte zuvor bei einer Reihe von Wallets, darunter TrustWallet, Sicherheitslücken festgestellt.
„Wenn Sie sich mehr Sicherheit wünschen oder die Verwaltung der Wiederherstellungsphrase ein Hindernis darstellt, steht Ihnen jetzt ein hochsicherer Dienst zur Verfügung, der von unserem Donjon-Team getestet wurde, das Sicherheitslücken bei TrustWallet und vielen anderen Wallets, sowohl Software- als auch Hardware-Wallets, aufgedeckt hat.“
Das Unternehmen fügte außerdem hinzu, dass der neue Dienst optional sei und dass ein Benutzer, der ihn nicht nutzen möchte, ihn auch nicht aktivieren könne. Es fügte hinzu, dass diejenigen, die den Dienst nutzen möchten, einen Genehmigungsprozess einleiten müssten, der die sichere Anzeige ihrer Ledger-Wallet nutzt.
Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken. Er ist nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht und wird auch nicht als solche angeboten.