Ledger Dikecam Karena Kegagalan Layanan Pemulihan Frase Seed

Ledger mendapat kritik pedas dari komunitasnya atas ide pemulihan frase terbarunya, dan para anggotanya menggunakan media sosial untuk menyuarakan ketidaksetujuan mereka. 
Ledger menolak kritik tersebut, dengan menyatakan bahwa ada beberapa ketidakakuratan. 
 Layanan Pemulihan Frase Benih Baru Ledger 
Layanan pemulihan frase awal baru Ledger disebut Ledger Recover dan menawarkan perlindungan tambahan kepada pengguna jika mereka salah menempatkan frase awal mereka. Layanan ini dirilis di dompet firmware terbaru Ledger dan merupakan layanan berlangganan yang memberi pengguna lapisan perlindungan tambahan untuk kunci pribadi mereka. Ledger Recover menggunakan teknik yang membagi frase awal pengguna menjadi tiga fragmen terenkripsi yang dipercaya oleh tiga kustodian, yaitu Ledger, Coinover, dan entitas ketiga. Juru bicara Ledger menguraikan hal yang sama, dengan menyatakan, 
“Setiap fragmen disimpan oleh para pihak di modul keamanan perangkat keras (HSM) yang pada dasarnya merupakan Buku Besar yang sangat bertenaga. Itu yang kami gunakan untuk Ledger Enterprise. Setiap fragmen tidak berguna jika berdiri sendiri dan hanya dapat didekripsi di Buku Besar. Mereka benar-benar aman.”
Pengguna dapat merekonstruksi frase lihat asli setelah fragmen terpisah digabungkan dan didekripsi. Perusahaan juga menyatakan bahwa layanan ini opsional dan pengguna Ledger tidak perlu menggunakan layanan ini jika mereka tidak menginginkannya. 
“Anda tidak harus menggunakannya dan dapat terus mengelola frase pemulihan Anda sendiri jika itu sebabnya Anda membeli Buku Besar.”
 Jadi Dimana Masalahnya? 
Meskipun Ledger tampak bersemangat dengan pembaruan baru ini, reaksi komunitas justru sebaliknya. Hal ini karena untuk menggunakan layanan ini, pengguna harus memberikan kartu identitas nasional atau paspor untuk menggunakan layanan ini, dan frase awal pengguna harus dipercaya dengan “penjaga eksternal.” Beberapa anggota komunitas kripto terkemuka dan pemilik dompet Ledger melalui media sosial mengkritik Ledger atas apa yang oleh beberapa pengguna disebut sebagai “bencana yang menunggu untuk terjadi.” Seorang pengguna Reddit menjelaskan, 
“Ini adalah bencana yang menunggu untuk terjadi. Saya sebenarnya tidak percaya dengan apa yang saya baca; ini tampaknya benar-benar gila bagi penyedia dompet perangkat keras yang mendorong Anda untuk mencadangkan frase awal Anda secara online DAN memberi mereka Paspor/ID Anda—terutama yang sebelumnya pernah mengalami pelanggaran data!”
Ledger mengalami kebocoran data serius pada tahun 2020, yang mengungkap nomor telepon dan alamat fisik lebih dari 300.000 pelanggan. Pelanggaran tersebut juga mencakup alamat email lebih dari satu juta pengguna. Lainnya, seperti investor Chris Dunn dan investor kripto DCinvestor juga merujuk pada kebocoran data yang terkenal itu sambil mengkritik Layanan Pemulihan Frase Benih Ledger yang baru. Dunn menyatakan, 
“Pertama, mereka mengungkap alamat surat, nomor telepon, dan alamat email pelanggan mereka… Dan sekarang mereka memasang pintu belakang pada frase awal. Saatnya mengucapkan selamat tinggal pada @Ledger.”
DCinvestor juga tidak menahan diri, menyatakan, 
“Ingatlah bahwa beberapa tahun lalu, Ledger membocorkan nama dan alamat rumah semua pelanggannya melalui pelanggaran data. [T]hal terakhir yang Anda inginkan di server mereka adalah kunci pribadi Anda.”
Kepala petugas keamanan informasi Polygon, Mudit Gupta, menyebutnya sebagai ide yang buruk dan mendesak Ledger untuk tidak mengaktifkan fitur baru tersebut. Dalam utas Twitter, Gupta menjelaskan bahwa kunci terenkripsi akan dikirim ke tiga perusahaan yang dapat merekonstruksi kunci pribadi, yang menyebabkan masalah keamanan besar. CEO Binance Changpeng Zhao membalas Gupta, menambahkan, 
“Jadi benihnya bisa keluar dari perangkat sekarang? Kedengarannya seperti arah yang berbeda dari “kunci Anda tidak pernah lepas dari perangkat”.
Triager pemimpin teknologi di ImmuneFi, Adrian Hetman, menyebut fitur baru ini sebagai postur keamanan yang buruk, dengan menyatakan, 
“Mengekspos frase awal Anda dan kemudian mengizinkan siapa pun yang memiliki ID atau Paspor Anda untuk mendapatkan kembali akses ke dana yang terkunci adalah postur keamanan yang buruk. Pencurian ID adalah hal biasa, dan itu akan membuat pengguna kripto terkena bentuk serangan baru.”
 Ledger Menolak Kritik 
Ledger telah menolak rentetan kritik terhadap layanan barunya, dengan menyatakan bahwa ada “banyak ketidakakuratan” dalam kritik yang dihadapinya dan tidak ada pintu belakang atau kerentanan keamanan. Menanggapi Hetman, Ledger menyatakan bahwa ID pemerintah hanyalah salah satu bagian dari keseluruhan proses dan tidak menimbulkan risiko keamanan. 
“Kami juga memiliki deteksi keaktifan penuh, saat Anda menggunakan kamera, dan ini memberi Anda perintah acak yang tidak dapat dipalsukan atau direkam sebelumnya. Hal ini ditinjau oleh teknologi dan juga oleh manusia untuk memastikan kecocokan sebelum proses pemulihan dimulai. Jadi, seseorang yang mencuri ID Anda tidak akan dapat memulihkan SRP [Frasa Pemulihan Rahasia] Anda.”
Ledger menyebut layanan baru ini sebagai layanan yang sangat aman yang telah diuji oleh tim Donjonnya. Tim Donjon sebelumnya telah mendeteksi pelanggaran di sejumlah dompet, termasuk TrustWallet.
 “Jika Anda ingin lebih tenang atau menganggap manajemen frase pemulihan sebagai penghalang, Anda sekarang memiliki layanan yang sangat aman, diuji oleh tim Donjon kami, yang mengungkap pelanggaran di TrustWallet dan banyak dompet lainnya, baik perangkat lunak maupun perangkat keras.”
Perusahaan juga menambahkan bahwa layanan baru ini bersifat opsional dan jika pengguna tidak ingin menggunakannya, mereka dapat memilih untuk tidak mengaktifkannya. Ia menambahkan bahwa mereka yang ingin menggunakan layanan ini harus memulai proses persetujuan yang menggunakan tampilan aman dari dompet Ledger mereka.
Penafian: Artikel ini disediakan untuk tujuan informasi saja. Hal ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, perpajakan, investasi, keuangan, atau lainnya.