Le discussioni online continuano a girare attorno al nuovo aggiornamento del firmware di Ledger per il suo portafoglio hardware crittografico, che secondo gli esperti potrebbe mettere a rischio le chiavi private degli utenti.
Mercoledì Ledger ha pubblicato un thread su Twitter nel tentativo di alleviare le preoccupazioni sulla sicurezza delle risorse degli utenti, ma ha pubblicato un tweet contraddittorio e confuso che ha alimentato ulteriormente le fiamme della controversia.
Tweet preoccupante di Ledger
In un tweet ora cancellato, Ledger supporta le critiche verificate da mercoledì esponendo una realtà problematica dell'utilizzo del loro prodotto: il produttore potrebbe, tecnicamente, rilasciare un firmware che estrae le chiavi private degli utenti dai loro portafogli.
"Ti sei sempre fidato che Ledger non distribuisse tale firmware, che tu lo sapessi o no", ha scritto la società.
Ciò contraddice un'affermazione dell'account principale dell'azienda lo scorso novembre, in cui Ledger affermava che le chiavi private dell'utente non possono essere estratte dal chip dell'elemento sicuro di un portafoglio tramite un aggiornamento del firmware.
All'epoca, Ledger e altri produttori di portafogli stavano registrando vendite record all'indomani del crollo di FTX, poiché gli investitori in criptovalute cercavano la sicurezza dell'autocustodia e del cold storage per le loro risorse crittografiche.
Giovedì, Ledger ha dichiarato di aver deciso di eliminare il suo tweet di mercoledì a causa della sua "formulazione confusa". Tuttavia, il CTO di Ledger, Charles Guillemet, ha pubblicato un thread di follow-up in cui spiega che i portafogli, in generale, hanno "molti modi" per implementare una backdoor e che è richiesto un certo livello di fiducia con qualsiasi acquisto di portafogli di terze parti.
22/
Se vuoi essere completamente senza fiducia, dovrai imparare l'elettronica per costruire il tuo computer, imparare ASM per costruire il tuo compilatore, quindi costruire uno stack di portafogli, il tuo nodo e sincronizzatore, dovrai imparare la crittografia per costruire il tuo pila di firme.— Charles Guillemet (@P3b7_) 18 maggio 2023
"L'open source non risolve davvero questo problema", ha aggiunto. "È impossibile avere garanzie che l'elettronica stessa non sia backdoor, né che il firmware che gira all'interno del portafoglio sia quello che hai controllato."
Recupero del libro mastro
Le critiche nei confronti di Ledger sono aumentate mercoledì dopo che la società ha annunciato il suo nuovo servizio di portafoglio hardware " Ledger Recover ". Con l'autorizzazione dell'utente, il servizio suddivide le chiavi private di un portafoglio in tre frammenti, le crittografa e le memorizza con tre provider centralizzati separati, uno dei quali è Ledger.
Il servizio in abbonamento richiede agli utenti di fornire informazioni di identificazione personale prima di utilizzarlo. In cambio, agli utenti viene concesso un metodo per recuperare le proprie chiavi private nel caso in cui perdano sia il dispositivo hardware che il backup cartaceo della frase iniziale.
La comunità crittografica ha criticato il servizio e l'aggiornamento del firmware associato per aver aggiunto un percorso di codice che può inviare chiavi private a terze parti. Molti esperti, tra cui sviluppatori e revisori "foobar", hanno raccomandato ai follower di smettere di utilizzare i dispositivi dell'azienda.
Se hai un libro mastro, le tue chiavi non sono (ancora) compromesse. Ma se esegui l'aggiornamento al firmware più recente, rimarrà in un percorso di codice che può inviare la tua chiave privata a terzi. Dato che il libro mastro ha doxxato i propri clienti in passato, è improbabile che mantengano queste informazioni al sicuro
— foobar (@0xfoobar) 16 maggio 2023
Il post Ledger risponde ai timori dei clienti sulla sicurezza del portafoglio, ma elimina il tweet "confuso" apparso per la prima volta su CryptoPotato .