Ledger é criticado por fiasco do serviço de recuperação de frase semente

A Ledger recebeu duras críticas de sua comunidade por sua mais recente ideia de recuperação de frase-semente, com membros recorrendo às mídias sociais para expressar sua desaprovação.
Ledger rebateu as críticas, afirmando que há várias imprecisões.
Novo serviço de recuperação de frase semente do Ledger
O novo serviço de recuperação de frase semente da Ledger é chamado Ledger Recover e oferece aos usuários salvaguardas adicionais caso percam sua frase semente. O serviço foi lançado na carteira de firmware mais recente da Ledger e é um serviço de assinatura que oferece aos usuários uma camada adicional de proteção para suas chaves privadas. O Ledger Recover usa uma técnica que divide a frase semente de um usuário em três fragmentos criptografados que são confiáveis ​​com três custodiantes, a saber, Ledger, Coinover e uma terceira entidade. Um porta-voz da Ledger elaborou sobre o mesmo, afirmando:
“Cada fragmento é armazenado pelas partes em módulos de segurança de hardware (HSMs) que são essencialmente Ledgers superpoderosos. É o que usamos para o Ledger Enterprise. Cada fragmento é inútil por si só e só pode ser descriptografado em um Ledger. Eles são completamente seguros.”
Os usuários podem reconstruir a frase original assim que os fragmentos separados forem combinados e descriptografados. A empresa também declarou que o serviço é opcional e que os usuários do Ledger não precisam usar o serviço caso não queiram.
“Você não precisa usá-lo e pode continuar gerenciando sua frase de recuperação sozinho, se for por isso que comprou um Ledger.”
Então, onde está o problema?
Embora Ledger pareça animado com a nova atualização, a reação da comunidade tem sido bem o oposto. Isso ocorre porque, para usar o serviço, os usuários precisam fornecer uma carteira de identidade nacional ou passaporte para usar o serviço, e a frase-semente dos usuários teria que ser confiável com “custódios externos”. Vários membros proeminentes da comunidade de criptomoedas e proprietários de carteiras Ledger recorreram às mídias sociais para criticar a Ledger pelo que alguns usuários chamaram de “desastre esperando para acontecer”. Um usuário do Reddit explicou:
“Este é um desastre esperando para acontecer. Eu realmente não consigo acreditar no que estou lendo; isso parece absolutamente louco para um provedor de carteira de hardware encorajar você a fazer backup de sua frase semente online E dar a eles seu Passaporte/ID — especialmente um que já sofreu uma violação de dados!”
A Ledger sofreu um sério vazamento de dados em 2020, que expôs os números de telefone e endereços físicos de mais de 300.000 clientes. A violação também incluiu os endereços de e-mail de mais de um milhão de usuários. Outros, como o investidor Chris Dunn e o investidor de criptomoedas DCinvestor, também fizeram referência ao infame vazamento de dados ao criticar o novo Seed Phrase Recovery Service da Ledger. Dunn declarou:
“Primeiro, eles expuseram endereços de correspondência, números de telefone e endereços de e-mail de seus clientes… E agora eles colocaram uma porta dos fundos em frases-semente. É hora de dizer adeus ao @Ledger.”
O DCinvestor também não se conteve, afirmando:
“Lembrete de que há vários anos, a Ledger vazou o nome e os endereços residenciais de todos os seus clientes por meio de uma violação de dados. [A] última coisa que você quer nos servidores deles é sua chave privada.”
O diretor de segurança de informações da Polygon, Mudit Gupta, chamou isso de uma ideia horrenda e pediu que Ledger se abstivesse de habilitar o novo recurso. Em um tópico do Twitter, Gupta explicou que as chaves criptografadas seriam enviadas para três corporações que poderiam reconstruir as chaves privadas, levando a grandes problemas de segurança. O CEO da Binance, Changpeng Zhao, respondeu a Gupta, acrescentando:
“Então a semente pode deixar o dispositivo agora? Parece uma direção diferente de “suas chaves nunca deixam o dispositivo.”
O líder de triagem de tecnologia da ImmuneFi, Adrian Hetman, chamou o novo recurso de uma má postura de segurança, afirmando:
“Expor sua frase semente e então permitir que qualquer um com sua identidade ou passaporte recupere o acesso aos fundos bloqueados é uma má postura de segurança. O roubo de identidade é comum, e isso exporia os usuários de criptomoedas a uma nova forma de ataque.”
Ledger reage às críticas
Ledger reagiu contra a enxurrada de críticas contra seu novo serviço, afirmando que havia “muitas imprecisões” nas críticas que estava enfrentando e que não havia backdoor ou vulnerabilidade de segurança. Em resposta a Hetman, Ledger afirmou que a ID do governo é apenas uma parte de um processo completo e não representa um risco de segurança.
“Também temos detecção de vivacidade completa, onde você usa sua câmera, e ela lhe dá prompts aleatórios que não podem ser falsificados ou pré-gravados. Isso é revisado pela tecnologia e também por humanos para garantir uma correspondência antes que o processo de recuperação seja iniciado. Então, alguém roubando sua ID não será capaz de recuperar seu [Secret Recovery Phrase] SRP.”
Ledger chamou o novo serviço de um serviço altamente seguro que sua equipe Donjon havia testado. A equipe Donjon havia detectado violações anteriormente em várias carteiras, incluindo TrustWallet.
“Se você quer mais tranquilidade ou acha que o gerenciamento de frases de recuperação é uma barreira, agora você tem um serviço altamente seguro, testado por nossa equipe Donjon, que expôs violações no TrustWallet e em muitas outras carteiras, tanto de software quanto de hardware.”
A empresa também acrescentou que o novo serviço é opcional e que, se um usuário não quiser usá-lo, ele pode escolher não habilitá-lo. Ela acrescentou que aqueles que desejam usar o serviço teriam que iniciar um processo de aprovação que usa a exibição segura de sua carteira Ledger.
Aviso Legal: Este artigo é fornecido apenas para fins informativos. Ele não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.